Bara 3 dagar efter lanseringen av WordPress 4.2 hittade en säkerhetsforskare en Zero day XSS-sårbarhet som påverkar WordPress 4.2, 4.1.2, 4.1.1, 4.1.3 och 3.9.3. Detta gör det möjligt för en angripare att injicera JavaScript i kommentarer och hacka din webbplats. WordPress-teamet svarade snabbt och åtgärdade säkerhetsproblemet i WordPress 4.2.1, och vi rekommenderar starkt att du uppdaterar dina webbplatser omedelbart.
Jouko Pynnönen, en säkerhetsforskare på Klikki Oy, som rapporterade problemet beskrev det som:
Om det utlöses av en inloggad administratör, kan angriparen under standardinställningar utnyttja sårbarheten för att exekvera godtycklig kod på servern via plugin- och temaredigerarna.
Alternativt kan angriparen ändra administratörens lösenord, skapa nya administratörskonton eller göra vad som helst annat som den inloggade administratören kan göra på målsystemet.
Denna specifika sårbarhet liknar den som rapporterades av Cedric Van Bockhaven, som åtgärdades i säkerhetsuppdateringen WordPress 4.1.2.
Tyvärr använde de inte korrekt säkerhetsredovisning och publicerade istället exploateringen offentligt på sin webbplats. Detta innebär att de som inte uppgraderar sina webbplatser kommer att vara i allvarlig risk.
Uppdatering: Vi har fått veta att de försökte kontakta WordPress säkerhetsteam men misslyckades med att få ett snabbt svar.
Om du inte har inaktiverat automatiska uppdateringar, kommer din webbplats att uppdateras automatiskt.
Återigen, vi rekommenderar starkt att du uppdaterar din webbplats till WordPress 4.2.1. Se till att säkerhetskopiera din webbplats innan du uppdaterar.
Rajnish Tyagi
hej där,
min webbplats var 2 gånger förra veckan, jag använder aws-server, för databas använder jag RDS, men idag kraschade min databas, det tog 2 timmar att återställa, jag använder den senaste versionen av wprdress 4.2.2
vänligen ge mig några bra säkerhetstips
Tack
Rajnish
Paul
Tack för inlägget. Jag uppdaterar mina webbplatser omedelbart!
Mike
Om du har Akismet igång är det stor chans att kommentarerna flaggas som skräppost, så kontrollera inte din skräppostkö.
Bernhard
Vänligen ta en titt på http://klikki.fi/adv/wordpress2.html där det tydligt förklaras hur de försökte kontakta wordpress.com och inte fick något svar SEDAN NOVEMBER 2014 (Bekräftat sårbar: WordPress 4.2, 4.1.2, 4.1.1, 3.9.3.):
”WordPress har vägrat alla kommunikationsförsök angående våra pågående säkerhetsbrister sedan november 2014. Vi har försökt nå dem via e-post, via den nationella myndigheten (CERT-FI) och via HackerOne. Ingen respons av något slag har mottagits sedan 20 november 2014. Enligt vår kännedom har deras säkerhetsteam också vägrat att svara den finska kommunikationsmyndigheten som har försökt samordna lösningen av de problem vi har rapporterat, och personalen på HackerOne, som har försökt klargöra statusen för våra öppna buggrapporter.”
Om det stämmer var det enda ansvarsfulla att avslöja problemet, och webbplatser är sårbara inte på grund av avslöjandet, utan på grund av WordPress misslyckande att åtgärda detta problem i nästan 6 månader.
Jag förstår att säkerhet är en komplex fråga, men vänligen se till att dina fakta stämmer.
WPBeginner Support
Våra innerligaste ursäkter. Vi har uppdaterat artikeln.
Admin
Bilal Bin Amar
men efter uppdateringen har mitt CMS (wordpress) och min webbplats blivit väldigt långsamma, under CMS när jag klickar på lägg till ett plugin ger det fel
William Charles
Jag uppdaterades automatiskt och nu ber den mig att uppdatera min databas, när jag uppdaterar min databas får jag följande fel: Catchable fatal error: Object of class WP_Error could not be converted to string in /home/doctorof/public_html/wp-admin/includes/upgrade.php on line 1459
Några tankar om hur man fixar det? Försökte de vanliga metoderna (stänga av plugins, standardtema etc).
Redaktionell personal
Vänligen kontakta din webbhotell. Detta kan bero på en korrupt databastabell. Det hände med vår webbplats List25, och vår värd kunde fixa det direkt.
Admin
kunwar
Besök bara din admininloggningssida /wp-admin och tryck sedan på knappen uppdatera databas, detta bör åtgärda problemet.
pmisun
Efter att den automatiska uppdateringen tillämpades förstördes våra instanser helt och vi fick inga server-svar. Undersöker i 6 timmar nu, utan positiva resultat. Servern är okej, IP-leverantörer / internetleverantörer är okej...
raja babu
Jag vill veta hur jag kan säkra min webbplats, hur kan jag stoppa automatisk uppdatering av webbplatsen??? snälla hjälp mig
WPBeginner Support
Det rekommenderas starkt att du uppdaterar din WordPress-webbplats så snart en ny uppdatering finns tillgänglig. Att inte göra det gör din webbplats sårbar. Men om du av någon anledning vill uppdatera manuellt, kan du inaktivera automatiska uppdateringar i WordPress
Admin
Elaine Maul
Thank you for the alert! Although I have automatic updates set, it hadn’t got round to doing it yet for some reason, so I have actioned it myself
Thank you
ha manh bui
Hur kan jag veta om min webbplats http://homelytips.com/ är påverkad, den uppdateras bara automatiskt till 4.1.4
Redaktionell personal
Automatiska uppdateringar görs av WordPress-teamet om du inte har inaktiverat dem.
4.1.4 åtgärdar också problemet.
Admin