Pouze tři dni po vydání WordPressu 4.2 přichází bezpečnostní aktualizace. Kromě verze 4.2.1 vychází také aktualizace i pro starší WordPress instalace (4.1.1, 4.1.3, a 3.9.3).
V aktualizaci dochází k odstranění zranitelnosti Zero Day XSS, která dovoluje útočníkovi podstrčit JavaScript přes komentář a hacknout vám stránku. Tato aktualizace je velmi důležitá a pokud jste tak neučinili doposud, měli by jste aktualizovat svůj WordPress co nejdříve.
Cross-site scripting (XSS) je metoda narušení WWW stránek využitím bezpečnostních chyb ve skriptech (především neošetřené vstupy). Útočník díky těmto chybám v zabezpečení webové aplikace dokáže do stránek podstrčit svůj vlastní javascriptový kód, což může využít buď pouze k poškození vzhledu stránky, jejímu znefunkčnění, získávání citlivých údajů návštěvníků stránek nebo obcházení bezpečnostních prvků aplikace. Často je též využíván při phishingu tak, že je skrze XSS zranitelnosti uživateli ukázán jiný obsah na jinak důvěryhodné stránce.
Bezpečnostní chybu nalezl Jouko Pynnönen a její popis se poprvé objevil na serveru Klikki Oy. Bezpečnostní chybu popsal následovně:
Po spuštění přihlášením administrátorem je útočník v základním nastavení WordPressu schopný spustit další nebezpečný kód přes editor pluginu nebo šablony.
Dále pak může změnit heslo administrátora, vytvořit nový administrátorský účet nebo udělat cokoliv k čemu má v současné době přihlášený uživatel práva.
Jouko chybu nejdříve zveřejnil na svých stránkách a dokonce udělal i video. Tím pádem je hack poměrně profláknutý.
Jako vždy, pokud máte vše aktualizované jste v bezpečí.
zdravím,
stále používám wp 3.3.1. i na ní je bezpečnostní aktualizace?
Zdravím,
není. Nejstarší verze, pro kterou je aktualizace jej 3.9.
děkuji za info… oprava mám v 3.3.2. a ta je zřejmě také zranitelná tímto způsobem?
Pokud ano, stále se nemohu rozhodnout zda WP aktualizovat a ještě na jakou verzi. Jako zkušený WP mi doporučuje co? Hlavně se obávám, aby všechny mé pluginy byly aktuální s danou verzí.
Chyba byla odstraněna pouze pro verze 4.2, 4.1.2, 4.1.1, and 3.9.3. Pro starší verze určitě doporučuji udělat kompletní aktualizaci. Pokud se bojíte, že by mohlo dojít k pádu webu udělejte si před aktualizací zálohu, s kterou v případě potřeby budete moci web obnovit do funkčního stavu.
rozumím…. a jakou z těchto verzí mi doporučujete?
Určitě na nejnovější WordPress.