WordPress 3.8.2: первый релиз безопасности, выпущенный как фоновое обновление
Эндрю Нейсин указал основные исправление безопасности в данном релизе. Среди них:
- Исправлена уязвимость, которая позволяла злоумышленнику попасть на ваш сайт, подделав аутентификационные cookie.
- Заплатка, исправляющая возможность некорректной публикации записей для пользователей с ролью участника.
- Обновление, связанной с передачей дополнительной информации при обработке уведомлений, которое поможет хостам идентифицировать потенциально вредоносные запросы.
- Исправлена низкоуровневая SQL-инъекция через проверенных пользователей
- Предотвращен возможный кроссдоменный скриптинг через Plupload, стороннюю WordPress библиотеку, используемую для загрузки файлов.
Все эти проблемы с безопасностью были втайне переданы разработчикам WordPress, однако теперь, когда они являются общеизвестным фактом, нужно обязательно обновить свои сайты по последней версии.
Первый релиз безопасности WordPress, поставляемый как фоновое обновление
Вместе с версией безопасности 3.8.2 был также поставлен и релиз 3.7.2, который включает в себя те же самые исправления, но для сайтов, работающих до сих пор с версией 3.7.1.
Мы плавно перешли к новой эре обновлений безопасности WordPress, когда сайты, придерживающиеся старых версий системы, могут включить для себя фоновые обновления и получить актуальную защиту. Передача тех же самых обновлений безопасности для старых версий, когда это возможно, является целесообразным действием.
Я задал Нейсину вопрос, насколько далеко готова зайти команда в поддержке безопасности старых версий WordPress. «Мы, естественно, не хотим, чтобы сайты придерживались старых версий», отметил Нейсин. «Однако, понятно, что очень трудно отказаться от возможности сделать их максимально безопасными».
Нет никакого фиксированного набора ограничений или рамок, до какой версии команда разработчиков будет углубляться в своей поддержке безопасности, однако Нейсин заверил, что они продолжат делать все возможное. «Это был пробный шар, первый релиз безопасности, выпущенный в виде фонового обновления, что стало в новинку и для нас самих», признался Нейсин. «Мы сделаем все возможное, чтобы сохранить сайты безопасными и защищенными».
Напомню, что официальный выпуск WordPress 3.9 намечен на 16 апреля.
Источник: wptavern.com