Критическое обновление плагина Jetpack для WordPress

Популярный плагин Jetpack насчитывает почти десять миллионов скачиваний в официальной директории WordPress.org. Разработчики Jetpack сообщили о серьезной уязвимости и выпустили обновление для 11 веток разных версий плагина.

Найденная уязвимость в Jetpack позволяет злоумышленнику публиковать записи и страницы на сайте с активным плагином. При определенных настройках сайта, опубликованные записи могут так же содержать код JavaScript, который может легко привести к краже куки аутентификации администратора сайта.

Критическое обновление Jetpack

Критическое обновление Jetpack

Подобная уязвимость является более чем серьезной, и перед ее разглашением команда разработчиков Jetpack проработали план обновлений, который коснулся многих крупных хостинг-провайдеров, а так же ядро WordPress.

Механизм автоматических обновлений в ядре WordPress начиная с версии 3.7 поддерживает не только само ядро, но и темы и плагины WordPress, хотя подобные обновления отключены по умолчанию. Данный функционал был разработан специально для случаев связанных с безопасностью популярных плагинов, и Jetpack является первым, кто им воспользовался.

Если вы работаете с версией WordPress 3.7.2 или выше, то обновление плагина Jetpack должно произойти автоматически до самой свежей версии в рамках вашей ветки. Например, если вы используете Jetpack версии 2.6, то обновление до версии 2.6.3 произойдет автоматически.

Тем не менее, мы рекомендуем не ждать автоматического обновления, а выполнить обновление вручную, которое по словам разработчиков Jetpack доступно для следующих веток: 1.9.4, 2.0.6, 2.1.4, 2.2.7, 2.3.7, 2.4.4, 2.5.4, 2.6.3, 2.7.2, 2.8.2, и 2.9.3. Если вы владеете большим количеством сайтов, сетью или хостинг-площадкой советуем связаться с командой Jetpack, которая поможет внедрить блокировку на уровне сети.

Интересно отметить, что это уже третье обновление связанное с безопасностью веб-сайтов за эту неделю. Очередное доказательство того, что необходимо всегда обновляться вовремя.

Павел Федоров

Создатель этого сайта и многих других (на WordPress, конечно же). Любит WordPress и делает на нем всякие сумасшедшие сложные штуки, которые никто в здравом уме делать не станет. Умеет работать на фрилансе, в офисе, без офиса, без оглядки и без сна. Один из немногих участников программы FSA/FLEX, кого выдворили из Америки за плохое поведение. С тех пор умеет слушать. Обожает Star Wars, Ведьмака, горные лыжи, байдарку, пешие прогулки, спонтанные путешествия и хорошую компанию. Больше не боится vim.

Добавить комментарий

%d такие блоггеры, как: