WordPress 3.9.2 исправляет уязвимости безопасности, пользователям рекомендуется обновиться
Поскольку уязвимость присутствует в версиях WordPress 3.5 – 3.9.1, некоторые сайты необходимо вручную обновить для того, чтобы установить защиту. Автоматические обновления для выпусков безопасности были введены в WordPress 3.7, вследствие чего пользователи версий 3.6 и 3.5 остаются потенциально уязвимыми. В соответствии со статистикой, приведенной на сайте WordPress.org, 26,8% всех WordPress-сайтов не обновляются автоматически. Среди этих сайтов 18,8% до сих пор используют WordPress 3.5.
WordPress 3.9.2 также включает в себя и некоторые другие обновления безопасности:
- Исправлено возможное, но маловероятное выполнение кода при обработке виджетов (по умолчанию, WordPress не затрагивается), обнаруженное Алексом Конча из команды безопасности WordPress.
- Предотвращено раскрытие информации через атаку XML объекта во внешней библиотеке GetID3, о чем предупредил Иван Новиков из ONSec.
- Добавлены меры защиты против брутфорс атак на CSRF токены, что отметил Дэвид Томашик из команды безопасности Google.
- Реализовано дополнительное усиление безопасности, как, к примеру, предотвращение кроссайтового скриптинга, который может быть инициирован только администраторами.
Вы можете обновиться прямо сейчас, перейдя в раздел Консоль – Обновления в бэкэнде WordPress. Сайты с настроенным автоматическим обновлением будут обновлены в течение 12 часов. Сайты, использующие WordPress 3.8.3 или 3.7.3, будут обновлены до 3.8.4 и 3.7.4 соответственно. Старые версии WordPress не поддерживаются, поэтому, пожалуйста, обновитесь до 3.9.2, чтобы стать сильнее и лучше.
Удивительно видеть, как команды безопасности WordPress и Drupal работают сообща для сохранения пользователей защищенными.
Источник: wptavern.com
