e-Learning Education

Έκδοση WordPress 4.1.2

Έκδοση WordPress 4.1.2 για λόγους ασφάλειας

έκδοση wordpress 4.1.2Κυκλοφόρησε σήμερα, 21/4, η έκδοση WordPress 4.1.2 η οποία καλύπτει σημαντικά κενά ασφάλειας τα οποία παρουσιάστηκαν πρόσφατα σε αρκετές λειτουργικές μονάδες, plugins. Όταν βγαίνει μια τέτοια έκδοση  καλό είναι, για να μην πούμε επιβάλλεται, να γίνεται η ενημέρωση άμεσα.

Περί θεμάτων ασφάλειας

Τόσο η τρέχουσα έκδοση όσο και οι παλαιότερες από αυτήν είχαν ζητήματα ασφάλειας. Ποιο συγκεκριμένα τις τελευταίες ημέρες βγήκαν πολλές αναφορές για επιθέσεις σε sites τα οποία χρησιμοποιούσαν μια σειρά από plugins. Η επιθέσεις αυτές ήταν εφικτές λόγο κενών ασφάλειας τα οποία επέτρεπαν σε χρήστες να έχουν πρόσβαση στην βάση δεδομένων του συστήματος. Τα κενά ασφάλειας ήταν αποτέλεσμα εσφαλμένου κώδικα στα plugins αυτά.

Το plugin το οποίο επλήγη περισσότερο ήταν το WordPress SEO. Για τον λόγο αυτόν όταν γίνεται το update αυτό και μπούμε στο σύστημα διαχείρισης, βλέπουμε την οθόνη καλωσορίσματος του plugin με τις νέες ενημερώσεις αυτού.

Εκτός από αυτή την ευπάθεια υπήρχε και ακόμα μια η οποία αφορούσα μια κατηγορία χρηστών. Ποιο συγκεκριμένα, όταν ένας χρήστης ήταν ανώνυμος μπορούσε, εφόσον είχε τεχνικές γνώσεις, να πλήξει την ασφάλεια του WordPress site έκδοσης 4.1.2. Η ομάδα ασφάλειας του WordPress εντόπισε το θέμα αυτό.
Σημειώστε τέλος ότι η έκδοση αυτή είναι minor, πράγμα το οποίο σημαίνει ότι γίνεται αυτόματα, ενώ για της 21/4 αναμένεται η κύρια έκδοση 4.2.

Τι άλλες βελτιώσεις έγιναν

Εκτός από το συγκεκριμένο θέμα ασφάλειας, επίλυση έγινε και σε άλλα θέματα όπως:

  • Από την έκδοση WordPress 4.1 και μετά μπορούσε να γίνει φόρτωση αρχείων με άκυρα ή μη ασφαλή ονόματα.
  • Από την έκδοση 3.9 και μετά, υπήρχε ένας μικρός αριθμός επιθέσεων σε μορφή script το οποίο μπορούσε να χρησιμοποιηθεί ως μέρος μιας γενικής επίθεσης του social engineering.
  • Ορισμένα plugins είχαν ευπάθεια στο ότι μπορούσε να εισαχθεί κώδικας sql σε μορφή script προκαλώντας ζημιά στην βάση δεδομένων.

Οι βελτιώσεις αυτές έγιναν και σε επίπεδο plugins τα οποία πρέπει και αυτά να ενημερωθούν. Ενημερωθείτε επιπλέον στην σελίδα του WordPress.org.