Обновление безопасности WordPress 4.0.1

Обновление WordPress 4.0.1 является очень важным релизом с исправлениями, касающимися безопасности. Всем владельцам сайтов и блогов на WordPress настоятельно рекомендуется обновить код ядра на версию 4.0.1.

Наиболее важное исправление

Одним из наиболее важных исправлений в WordPress 4.0.1 является изменение, которое закрывает дыру в безопасности, а именно очень серьезную уязвимость для XSS (кросс сайт скриптинг). Используя XSS-уязвимость хакеры могут запускать практически любой вредоносный код на сайтах с WordPress 3.9 и более ранних версий.

Апгрейд старых версий

В связи с тем, что все таки не все и не всегда обновляют свои сайты WordPress на самые последние версии, и у многих до сих пор используются даже версии ниже 3.8, сообщество WP решило и выпустить обновление даже для старых версий, и в результате сейчас можно воспользоваться четырьмя обновлениями — 4.0.1, 3.9.3, 3.8.5 и 3.7.5.

Автоматическое обновления в фоновом режиме

В WordPress, начиная с версии 3.7 была добавлена возможность обновления скриптов ядра в фоновом режиме. Так что все сайты, у которых не было отключено фоновое обновления ядра, получат обновление автоматически.

WordPress-Security-Measures

Список обновлений

XSS-уязвимость, которая присутствует в WordPress 3.9.2 и более ранних, нет в версии 4.0, но все же несколько важных «заплаток» внесено в 4.0.1. Вот перечень устраненных проблем:

  1. Три проблемы с XSS, при наличии которых Автор или Участник могли скомпрометировать сайт.
  2. Подделка запроса с помощью XSS, которая могла быть использована, чтобы обмануть пользователя, принудив его сменить пароль.
  3. Ошибка, которая может привести к отказу в обслуживании при проверке (валидации) паролей.
  4. Добавлены дополнительные меры защиты от подделок запросов на стороне сервера, когда WordPress выполняет HTTP-запросы.
  5. Проблема, когда учетная запись пользователя могла быть поставлена под угрозу, правда лишь в том случае, если пользователь не входил под своим аккаунтом с 2008 года, что хоть и маловероятно, но все же это могло случиться.
  6. Ссылку для подтверждения сброса пароля в письмах электронной почты WordPress теперь считает недействительной (аннулирует) после того, как пользователь залогинился на сайт, перейдя по ней, и затем в своем аккаунте сменил адрес своей электронной почты.