WordPress 4.1.2 – kritická bezpečnostní aktualizace

Druhá opravná verze pro WordPress 4.1 vyšla během včerejšího dne a tentokrát jde o závažné bezpečnostní problémy. Samotná aktualizace proběhne automaticky, aniž byste museli nějak zasahovat.

Asi nejzávažnější problém se objevil v podobě Cross-site scriptingu (XSS), kdy za určitých okolností mohl na web proniknout nepřihlášený uživatel a provést nežádoucí změny. Zájemci mohou prostudovat velmi poučný článek, kde je chyba podrobně vysvětlena, a to včetně jejího nalezení a následné opravy (celé to trvalo déle než rok). Z tohoto důvodu byla chyba označena za kritickou a objevuje se i ve všech předchozích verzích, takže vyšel i WordPress 4.0.2, 3.9.4, 3.8.6 a 3.7.6. Pokud používáte ještě nějakou starší verzi, tak i tam mohou případní útočníci chybu zneužít, ale automatické aktualizace se nedočkáte. Není tedy na co čekat a doporučujeme v tomto případě aktualizovat.

Opraveny byly ještě další 3 bezpečnostní chyby:

  • Ve WordPressu 4.1 se vývojáři pokoušeli opravit problém s chybnou kontrolou některých souborů (v případě volitelných parametrů v URL adrese) ve funkci wp_check_filetype(), ale bohužel to vedlo k tomu, že umožnili nahrávat i soubory s neplatným nebo nebezpečným názvem (oprava).
  • Od WordPressu 3.9 byla aktivní další XSS chyba, která mohla být zneužita pro skrytou instalaci škodlivých pluginů (oprava). Další podrobnosti si můžete přečíst zde.
  • Některé pluginy mohly být potenciálně napadeny prostřednictvím SQL injection.

Dále byla na čtyřech místech bezpečnost ještě raději preventivně posílena, např. názvy příspěvků uvedené na Nástěnce v administraci jsou nyní správně escapovány, tedy převedeny na bezpečné znaky (oprava).

Další podrobnosti o nové verzi naleznete zde, zájemci si mohou projít i detailní přehled změn ve zdrojovém kódu. A nezapomeňte také na pluginy s bezpečnostními problémy, které se aktualizovat samy nebudou a budete muset zasáhnout (nebo byste alespoň měli, a to co nejdříve).

Čeština pro WordPress 4.1.2 patrně nikdy nevyjde, protože bude nahrazena (patrně již zítra) novým WordPressem 4.2. Aktualizace na anglickou verzi WordPress 4.1.2 proběhne automaticky a k žádným změnám v lokalizaci nedošlo, takže čeština zůstane zachována v původním stavu. Noví uživatelé si mohou zatím stáhnout český instalační balíček pro WordPress 4.1.1, který bude hned po instalaci automaticky aktualizován na nejnovější verzi.

Ideální český hosting pro český WordPress CZECHIA

1 komentář u „WordPress 4.1.2 – kritická bezpečnostní aktualizace“

Napsat komentář

Vaše emailová adresa nebude zveřejněna. Vyžadované informace jsou označeny *