A WordPress 4.7-es verzióját több, mint 10millió alkalommal töltötték le a 2016. december 6-i megjelenése óta és örömmel jelentjük be a 4.7.1-es frissítést. A szóban forgó változat egy biztonsági kiadás az előző verziókhoz, és erősen ajánljuk a meglévő oldalak frissítését.
A WordPress 4.7-es és az azt megelőző verziók 8 biztonsági problémát tartalmaztak, melyek az alábbiak:
-
Távoli kódvégrehajtás (RCE, remote Code Execution) a PHP Mailer-ben: nem tűnt fel probléma ezzel kapcsolatosan sem a WordPress-ben, sem bármelyik nagyobb, ismertebb kiegészítőben, amit vizsgáltak, de a biztonság kedvéért frissítették a PHPMailer-t ebben a kiadásban. A hibalehetőséget Dawid Golunski és Paul Buonopane jelentette.
-
A REST API kiadta minden olyan felhasználó adatait a többi felhasználó számára, akik nyilvános posztokat készítettek. A WordPress 4.7.1 korlátozza ezt úgy, hogy csak meghatározott poszt-típusok jeleníthetőek meg a REST API-ban. A hibát jelezte Krogsgard és Chris Jean.
-
Oldalak közötti parancsfájlok futtatása (XSS, Cross-Site Scripting) a bővítmény nevét vagy verzióját tartalmazó fejlécen keresztül az update-core.php fájlban. A problémát Dominik Schilling, a WordPress biztonsági csapatának tagja jelentette.
-
Oldalak közötti kérés-hamisítás (CSRF, Cross-Site Request Forgery) Flash fájl feltöltésén keresztül. A biztonsági rést Abdullah Hussam fedezte fel.
-
Oldalak közötti parancsfájlok futtatása (fentebbiekben említett XSS) a téma nevének visszavonásakor. A hiba észlelője Mehmet Ince.
-
Poszt létrehozása, miközben a mail.sajatdomain.hu címen az emailek lekérdezése zajlik, amennyiben az alapértelmezett beállítások nem lettek módosítva. A problémát a WordPress biztonsági csapatának tagja, John Blackbourn jelezte.
-
Oldalak közötti kérés-hamisítás (CSRF) lehetősége widget szerkesztése során. A hibát Ronnie Skansing jelentette.
-
Gyenge kriptográfiai biztonság a többoldalas (multisite) aktivációs kulcs esetén. Jack jelentette.
A WordPress köszöni azok munkáját, akik a hibák felfedezésében és megoldásában segédkeztek.
A fent említett biztonsági réseken kívül a WordPress 4.7.1-es verziójában további 62 bug került kijavításra. További információkért meg lehet tekinteni a kiadás jegyzeteit és a változások listáját.
A WordPress 4.7.1 letöltése ITT, vagy a WordPress oldalunk Vezérlőpultjában, a Frissítések almenüre kattintva automatikusan, a háttérben futtatva elvégezhetjük a frissítést.
A domain-tarhely.net -nél elérhető automata telepítő segítségével már a legfrissebb, 4.7.1 -es verzió telepíthető. Az itt telepített korábbi WordPress verziók a tárhely kezelő felületre (CPanel) belépve, az automata telepítőre kattintva frissíthető.
A domain-tarhely.net csapata a funkcionalitás fejlesztése mellett nagy hangsúlyt fektet a biztonságos honlapok és futtató környezet (tárhely szolgáltatás) üzemeltetésére. Tárhely és domain regisztráció szolgáltatásunkról bővebben a Minőségi tárhely (http://domain-tarhely.net/minosegi-tarhely) aloldalunkon olvashat.
