You are here: Home » WordPress » WordPress 3.9.2 – bezpečnostní aktualizace

WordPress 3.9.2 – bezpečnostní aktualizace

Od středy 6. srpna 2014 se automaticky aktualizují WordPresy po celém světě a pokud máte automatické aktualizace vypnuté, měli byste provést manuální, co možná nejdříve, protože se jedná o bezpečnostní update.

Nejdůležitější je oprava chyby, která mohla způsobovat přetížení redakčního systému pomocí vytěžování PHP, které zpracovává XML. Výsledkem bylo zahlcení CPU a odstavení webu. Více se této chybě věnují na webu oficiální české podpory pro WordPress na separatista.net.

Zajímavá je, že tento problém se týkal i redakčního systému Drupal a vývojáři obou CMS pracovali na odstranění společně. V oficiální zprávě je zmíněno, že je to poprvé co při opravě problému koordinovali svůj postup. Drupal vydal aktualizace 7.31 a 6.33. Samozřejmě se doporučuje neprodlená aktualizace.

Přeštěte si   Pár tipů jak poznát zavirovaný anebo hacknutý WordPress

Mezi další bezpečnostní aktualizace patří odstranění chyby PHP, která teoreticky umožňovala spuštění skriptu při práci s widgety. V základní instalaci WordPress však nepředstavovala nebezpečí.

Za určitých okolností umožňovala knihovna GetID3 získat informace meta tagů z nahraných multimediálních souborů.

Byla zvýšena ochrana proti brute force útoku na CSRF token. Tato slabina byla nahlášena členem bezpečnostního týmu Google.

Dále byla posílena ochrana proti CSS útokům (cross site scripting), který mohl spustit přímo administrátor. Jak takový útok teoreticky funguje si můžete přečíst třeba v tomto článku.

Pokud nepoužíváte verzi WordPress 3.9, například z důvodu kompatibilnosti se staršími pluginy, tak byly vydány aktualizace k 3.8.4 a 3.7.4. Aktualizace by měli proběhnout automaticky do 12 hodin od vydání. O její úspěšnosti budete informování e-mailem. Doporučuji si okamžitě web zkontrolovat. Některé cachovací pluginy mohou mít totiž problém a je třeba obsah cache manuálně vyprázdnit.

Přeštěte si   WordPres 4.8

Automatické aktualizace se využívají při bezpečnostních updatech. Aby nebyly servery, z kterých se stahuje, zahlceny probíhá postupně. V případě vážnějších hrozeb však mohou servery vyslat webům na WordPress signál a ty začnou intenzivněji požadovat nové aktualizace. Teoreticky tam mohou být všechny WordPressy s povolenou automatickou aktualizací, aktualizovány do jedné hodiny. Prozatím se celý princip ještě testuje, ale do budoucna údajně budou moct proběhnout aktualizace rychleji.

Share Button

Programuju v PHP už několik let spíše pro zábavu. Baví mě WordPress, protože tak lenivým lidem jako jsem já ušetří spoustu času. A rád sbírám reklamní flash disky. Tento blog používám pro utřídění myšlenek.

http://n-host.cz

Napsat komentář

Vaše emailová adresa nebude zveřejněna. Vyžadované informace jsou označeny *