Trusted WordPress tutorials, when you need them most.
Beginner’s Guide to WordPress
Puchar WPB
25 Million+
Websites using our plugins
16+
Years of WordPress experience
3000+
WordPress tutorials
by experts

WordPress 4.2.1 – Wydanie z poprawkami błędów w zabezpieczeniach naprawiono lukę Zero Day XSS – Zaktualizuj teraz

Zaledwie 3 dni po wydaniu WordPress 4.2, badacz zabezpieczeń znalazł lukę Zero day XSS Vulnerability, która ma wpływ na WordPress 4.2, 4.1.2, 4.1.1, 4.1.3 i 3.9.3. Pozwala to atakującemu na wstrzyknięcie JavaScript do komentarzy i włamanie się na twoją witrynę. Zespół WordPress szybko zareagował i rozwiązano problem zabezpieczenia w WordPress 4.2.1. Zdecydowanie zalecamy natychmiastową aktualizację twoich witryn.

WordPress XSS Security

Jouko Pynnönen, badacz zabezpieczeń z Klikki Oy, który zgłosił problem, opisał go jako:

Jeśli zostanie uruchomiony przez zalogowanego administratora, przy domyślnych ustawieniach atakujący może wykorzystać lukę do wykonania dowolnego kodu na serwerze za pośrednictwem edytorów wtyczek i motywów.

Alternatywnie atakujący może zmienić hasło administratora, utworzyć nowe konta administratora lub zrobić cokolwiek innego, co aktualnie zalogowany administrator może zrobić w systemie docelowym.

Ta konkretna luka jest podobna do tej zgłoszonej przez Cedrica Van Bockhavena, która została załatana w wydaniu WordPress 4.1.2 z poprawkami błędów w zabezpieczeniach.

Niestety, nie zastosował on odpowiedniego zabezpieczenia i zamiast tego opublikował exploit publicznie na swojej witrynie. Oznacza to, że osoby, które nie zaktualizują swojej witryny, będą narażone na poważne ryzyko.

Aktualizacja: Dowiedzieliśmy się, że próbowali skontaktować się z zespołem ds. zabezpieczeń WordPress, ale nie udało im się uzyskać odpowiedzi na czas.

Jeśli nie wyłączyłeś automatycznych aktualizacji, Twoja witryna zostanie zaktualizowana automatycznie.

Po raz kolejny zdecydowanie zalecamy aktualizację Twojej witryny do wersji WordPress 4.2.1. Przed aktualizacją wykonaj kopię zapasową twojej witryny.

Ujawnienie: Nasze treści są wspierane przez czytelników. Oznacza to, że jeśli klikniesz na niektóre z naszych linków, możemy otrzymać prowizję. Zobacz jak WPBeginner jest finansowany, dlaczego to ma znaczenie i jak możesz nas wspierać. Oto nasz proces redakcyjny.

Avatar

Editorial Staff at WPBeginner is a team of WordPress experts led by Syed Balkhi with over 16 years of experience in WordPress, Web Hosting, eCommerce, SEO, and Marketing. Started in 2009, WPBeginner is now the largest free WordPress resource site in the industry and is often referred to as the Wikipedia for WordPress.

Najlepszy zestaw narzędzi WordPress

Uzyskaj BEZPŁATNY dostęp do naszego zestawu narzędzi - zbiór produktów i zasobów związanych z WordPressem, które każdy profesjonalista powinien mieć!

Reader Interactions

16 komentarzyZostaw odpowiedź

  1. Syed Balkhi

    Hey WPBeginner readers,
    Did you know you can win exciting prizes by commenting on WPBeginner?
    Every month, our top blog commenters will win HUGE rewards, including premium WordPress plugin licenses and cash prizes.
    You can get more details about the contest from here.
    Start sharing your thoughts below to stand a chance to win!

  2. Rajnish Tyagi

    hi there,

    my site was 2 times in last week, i am using aws server, for database i am using RDS, but today my database was crashed it take 2 hours for recover, i am using the latest version of wprdress 4.2.2

    please advice me some good security tips

    Thanks
    Rajnish

  3. Paul

    Thanks for the post. I’ll update my sites immediately!

  4. Mike

    If you have Akismet running there is a good chance that the comments will get flagged as spam so do not check your spam queue.

  5. Bernhard

    Please take a look at http://klikki.fi/adv/wordpress2.html where it is clearly explained how they tried contacting wordpress.com and received no reply SINCE NOVEMBER 2014 (Confirmed vulnerable: WordPress 4.2, 4.1.2, 4.1.1, 3.9.3.):

    „WordPress has refused all communication attempts about our ongoing security vulnerability cases since November 2014. We have tried to reach them by email, via the national authority (CERT-FI), and via HackerOne. No answer of any kind has been received since November 20, 2014. According to our knowledge, their security response team have also refused to respond to the Finnish communications regulatory authority who has tried to coordinate resolving the issues we have reported, and to staff of HackerOne, which has tried to clarify the status our open bug tickets.”

    If that is correct, disclosing the issue was the only responsible thing to do, and sites are vulnerable not because of the disclosure, but because of the failure on the part of WordPress to address this issue for almost 6 Months.

    I understand that security is a complex issue, but please get your facts straight.

  6. Bilal Bin Amar

    but after the update, my CMS(wordpress) and my Site have became very slow, under the CMS when i click in the added a plugin this is giving error

  7. William Charles

    I was auto updated and now it’s asking me to update my database, when I update my data base I get the following error: Catchable fatal error: Object of class WP_Error could not be converted to string in /home/doctorof/public_html/wp-admin/includes/upgrade.php on line 1459

    Any thoughts on how to fix it? Tried the usual methods (turning off plugins, default theme etc).

    • Editorial Staff

      Please get in touch with your hosting provider. This may be happening due to a database corrupt table. We had it happened with our site List25, and our host was able to fix it right away.

      Administrator

    • kunwar

      Just visit your admin login page /wp-admin and then press the update database button, this should fix the issue.

  8. pmisun

    After the auto update applied it totally messed up our instances and we got no server responses. Investigating for 6 hours now, with no positive results. Server is fine, ip providers / isps are fine…

  9. raja babu

    i want to know how can i secure my site , how can i stop auto update of site??? please help me

    • WPBeginner Support

      It is highly recommended that you update your WordPress site as soon as there is a new update is available. Not doing so makes your site vulnerable. However, if for some reason you want to update manually, then you can disable automatic updates in WordPress

      Administrator

  10. Elaine Maul

    Thank you for the alert! Although I have automatic updates set, it hadn’t got round to doing it yet for some reason, so I have actioned it myself :)
    Thank you :)

    • Editorial Staff

      The auto update is done by the WordPress team if you didn’t disable them.

      4.1.4 also fixes the issue.

      Administrator

Zostaw odpowiedź

Dziękujemy za pozostawienie komentarza. Pamiętaj, że wszystkie komentarze są moderowane zgodnie z naszymi polityka komentarzy, a Twój adres e-mail NIE zostanie opublikowany. NIE używaj słów kluczowych w polu nazwy. Przeprowadźmy osobistą i konstruktywną rozmowę.