Internet

Aktualizacja Wordpress usunęła ważną lukę - sprawdź czy u Ciebie też

opublikowano przez Karol Żebruń w dniu 2017-02-12

Wordpress niedawno zaktualizował swój kod do wersji 4.7.2, by wyeliminować groźną dziurę pozwalającą na podmienianie zawartości stron.

Wordpress to popularny system zarządzania treścią (CMS), który wykorzystują miliony stron na całym świecie. Pod koniec stycznia deweloperzy Wordpressa zaktualizowali jego kod, by wyeliminować niebezpieczną lukę, która pozwalała na wstrzykiwanie kodu na stronę.

Wstrzykiwanie kodu to technika stosowana przez cyberprzestępców dla modyfikacji zawartości stron w wyniku błędnego (z perspektywy logiki kodu jednak jak najbardziej poprawnego) przetworzenia wprowadzonych na stronę danych. Dane te dostają się kanałami w pełni legitymowanymi, na które pozwalają strony, ale już ich zawartość nie jest taką jaką oczekiwałby właściciel strony. Zamiast standardowego zapytania czy wpisu w komentarzu podawany jest kod, który na pozór nie jest szkodliwy, a w praktyce, po przetworzeniu przez silnik witryny, staje się niebezpieczny.

Informacja dla użytkowników Wordpress

Najnowsza (stan na dzień 11.02.2017) wersja Wordpress nosi numer 4.7.2 i eliminuje wykrytą kilka dni wcześniej lukę w gałęzi Wordpress 4.7. Dotyczyła ona API REST i pozwalała na zmodyfikowanie dowolnego postu lub treści strony.

Wordpress dokonał aktualizacji po cichu i jeśli nasz CMS jest skonfigurowany tak, by samodzielnie wdrażać aktualizacje, to nie musimy się przejmować.

Jeśli wszelki poprawki wprowadzamy samodzielnie, a nasza wersja Wordpress to 4.7 lub 4.7.1, to aktualizacja jest wskazana. Problem z REST API nie dotyczy użytkowników starszych wersji Wordpress.

Źródło: CW, Wordpress

marketplace

Komentarze

4
Zaloguj się, żeby skomentować
avatar
Dodaj
Komentowanie dostępne jest tylko dla zarejestrowanych użytkowników serwisu.
  • avatar
    @csr777 - masz takie pojęcie o WP jak "kozia dupa o byciu trąbką".
    Zarówno Core "bywa" dziurawy, wtyczki są dziurawe, szablony są dziurawe, szczególnie jak ściągasz je z lewych źródeł. Mam na myśli oczywiście szablony premium.

    Kwestią pozostaje zabezpieczenie WP i modlenie się, że udało się to zrobić w miarę poprawnie.

    Usunięcie zbędnych wtyczek, instalacja skanera, instalacja ukrywania folderów WP i inne, ciekawe modyfikacje httaccess.
    A i to wszystko jest na "ch*j" jak użytkownicy panelu (niezależnie od roli) są durni i włażą tam bez sensownego "antywira". A jeszcze lepiej, jak dadzą dostęp do FTP (bo do SSH to broń BORze) każdemu, kto o to poprosi.

    Jak to mówią:
    "Problem exist beetween chair and keybord".

    Ave
  • avatar
    Jak by to cos pomoglo... WP to najbardziej dziurawy CMS jaki istnieje:

    https://www.cvedetails.com/vulnerability-list/vendor_id-2337/product_id-4096/
    Zaloguj się