Aktualizacja Wordpress usunęła ważną lukę - sprawdź czy u Ciebie też

Wordpress to popularny system zarządzania treścią (CMS), który wykorzystują miliony stron na całym świecie. Pod koniec stycznia deweloperzy Wordpressa zaktualizowali jego kod, by wyeliminować niebezpieczną lukę, która pozwalała na wstrzykiwanie kodu na stronę.

Wstrzykiwanie kodu to technika stosowana przez cyberprzestępców dla modyfikacji zawartości stron w wyniku błędnego (z perspektywy logiki kodu jednak jak najbardziej poprawnego) przetworzenia wprowadzonych na stronę danych. Dane te dostają się kanałami w pełni legitymowanymi, na które pozwalają strony, ale już ich zawartość nie jest taką jaką oczekiwałby właściciel strony. Zamiast standardowego zapytania czy wpisu w komentarzu podawany jest kod, który na pozór nie jest szkodliwy, a w praktyce, po przetworzeniu przez silnik witryny, staje się niebezpieczny.

Informacja dla użytkowników Wordpress

Najnowsza (stan na dzień 11.02.2017) wersja Wordpress nosi numer 4.7.2 i eliminuje wykrytą kilka dni wcześniej lukę w gałęzi Wordpress 4.7. Dotyczyła ona API REST i pozwalała na zmodyfikowanie dowolnego postu lub treści strony.

Wordpress dokonał aktualizacji po cichu i jeśli nasz CMS jest skonfigurowany tak, by samodzielnie wdrażać aktualizacje, to nie musimy się przejmować.

Jeśli wszelki poprawki wprowadzamy samodzielnie, a nasza wersja Wordpress to 4.7 lub 4.7.1, to aktualizacja jest wskazana. Problem z REST API nie dotyczy użytkowników starszych wersji Wordpress.

Źródło: CW, Wordpress