Как то быстро так вышло обновление WordPress 4.8.2. Как и свойственно вордпрессу обновление прошло за 20 секунд, без каких либо проблем. Последнее у меня обычная присказка, после привычек обновлять Instant, когда приходилось идти по всем сайтам и на каждый тратить день, сверяя и смерживая данные. Надеюсь там в будущем тоже решат вопрос с безболезненностью обновлений. Но пока вот список тех изменений, что были в релизе 4.8.2, который в основном закрывает найденные уязвимости в безопасности.
WordPress 4.8.2 теперь доступен. Это релиз безопасности для всех предыдущих версий , и мы настоятельно рекомендуем вам немедленно обновить свои сайты.
WordPress версии 4.8.1 и более ранние затронутые этими вопросами безопасности:
$wpdb->prepare()
может создать неожиданные и опасные запросы , приводящие к потенциальной инъекции SQL (SQLI). WordPress ядро непосредственно не подвержены этой проблеме, но мы добавили закалка ,чтобы предотвратить плагины и темы из случайно вызывает уязвимость. Об этом сообщает SlavCo- Скриптовый кросс-сайт (XSS) уязвимость была обнаружена в открытии oEmbed. Сообщил xknown Группы по безопасности WordPress.
- Скриптовый межсайтовое (XSS) уязвимость была обнаружена в визуальном редакторе. Об этом сообщает Родольфо Ассис (@brutelogic) из Sucuri безопасности.
- Путь обхода была обнаружена уязвимость в коде файла распаковки. Об этом сообщает Алекс Чепмен (noxrnet) .
- Скриптовый межсайтовое (XSS) уязвимость была обнаружена в редакторе плагинов. Сообщил 陈瑞琦 (Chen Ruiqi).
- Открытый редирект был обнаружен на пользователь и срок редактирования экранов. Об этом сообщает Ясин Солимана (ysx) .
- Путь обхода уязвимость была обнаружена в настройщика. Об этом сообщает Уэстон Ратер Группы по безопасности WordPress.
- Скриптовый межсайтовое (XSS) уязвимость была обнаружена в именах шаблонов. Об этом сообщает Луке (sikic) .
- Скриптовый межсайтовое (XSS) уязвимость была обнаружена в модальных связи. Об этом сообщает Анас Roubi (qasuar) .
Ну а мы продолжаем работать с сайтами и убеждаюсь, что вордпресс очень резво реагирует на найденные проблемы с безопасностью, что очень здорово.
Какие изменения включает обновление WordPress 4.8.2?
Каковы основные изменения в обновлении WordPress 4.8.2?
Помимо обновления WordPress до версии 4.8.2, были внесены следующие изменения:
– Добавлена закалка, чтобы предотвратить случайное вызывание уязвимостей в плагинах и темах при использовании $wpdb->prepare(). Это предотвратит потенциальную инъекцию SQL (SQLI), хотя само ядро WordPress не подвержено этой проблеме.
– Обнаружена скриптовая кросс-сайт (XSS) уязвимость в открытии oEmbed. Это было сообщено Группам по безопасности WordPress.
– Рекомендуется всем пользователям мгновенно обновить свои сайты до версии 4.8.2, так как данный релиз является релизом безопасности и закрывает возможные проблемы безопасности, которые затронули предыдущие версии.
Обновление WordPress до последней версии является важным шагом для обеспечения безопасности вашего сайта, поэтому рекомендуется не откладывать это.
Какие уязвимости в безопасности были закрыты в обновлении WordPress 4.8.2?
Интересно, как быстро произошло обновление WordPress до версии 4.8.2, и, как вы отметили, это особенно приятно после тех времён, когда обновление каждого сайта занимало так много времени. Однако возникает вопрос: а как именно работает этот процесс улучшения безопасности в WordPress? Например, вы упомянули, что внедрены изменения для предотвращения SQL-инъекций. Можете подробнее рассказать о том, как именно происходит эта “закалка”? Как она влияет на работу плагинов и тем?
Также отметили уязвимость XSS в oEmbed. Она затрагивает возможность внедрения вредоносного кода через вложения, верно? Не могли бы вы пояснить, как разработчикам плагинов и тем следует подходить к предотвращению подобных уязвимостей в будущем?
К тому же будет полезно обсудить, как пользователи могут сами оценить безопасность используемых ими плагинов и тем, чтобы минимизировать риски до или после обновления. Есть ли какие-то лучшие практики, которые можно было бы внедрить, чтобы делать сайты на WordPress более безопасными, или, может быть, существуют рекомендованные инструменты для проверки уязвимостей?