Wczoraj w moim „systemie aktualizacji WordPressów” pojawiła się informacja o nowej aktualizacji (4.7.3), z informacją, że „naprawiono kilka błędów, w tym błędów zabezpieczeń”. Po zapoznaniu się z załatanymi błędami zabezpieczeń (podatnościami) zdecydowanie zalecą pilną aktualizację, nawet jeśli większość z nich wymaga „kreta” wśród zarejestrowanych użytkowników naszej strony, i to z odpowiednimi uprawnieniami.
WordPress 4.7.3
Według informacji na stronie WordPress.org wersja 4.7.3 łata 6 błędów bezpieczeństwa:
- Cross-site scripting (XSS) via media file metadata
- Control characters can trick redirect URL validation
- Unintended files can be deleted by administrators using the plugin deletion functionality
- Cross-site scripting (XSS) via video URL in YouTube embeds
- Cross-site scripting (XSS) via taxonomy term names
- Cross-site request forgery (CSRF) in Press This leading to excessive use of server resources
Wprawdzie większość załatanych błędów wymaga akcji (wgranie odpowiednio spreparowanego pliku audio lub wideo, użycie na stronie odpowiednio spreparowanego adresu URL do filmu na YouTube), to jednak zalecam jak najszybszą aktualizację (choć w przypadku tego typu aktualizacji jest duża szansa, że zostaną one zainstalowane na Waszej stronie automatycznie).
Kilka szczegółowych informacji dotyczących niektórych załatanych podatności:
- WordPress 4.0-4.7.2 – Authenticated Cross-Site Scripting (XSS) in YouTube URL Embeds
- WordPress 4.7.0-4.7.2 – Authenticated Unintended File Deletion in Plugin Delete
- WordPress 2.8.1-4.7.2 – Control Characters in Redirect URL Validation
- WordPress 3.6.0-4.7.2 – Authenticated Cross-Site Scripting (XSS) via Media File Metadata
Pasjonat nowych technologii - od sprzętu po oprogramowanie, od serwerów po smartfony i rozwiązania IoT. Potencjalnie kiepski bloger, bo nie robi zdjęć "talerza" zanim zacznie jeść.
Dumny przyjaciel swoich psów :-)
- Wtyczka BackWPup w wersji 5.x to doskonały przykład, jak wylać dziecko z kąpielą i z relatywnie świetnego narzędzia zrobić właściwie bezwartościowego gniota - 1970-01-01
- Testowy przelew w Bitcoinach z najniższą prowizją, czyli krótka historia o tym, jak zamroziłem BTC na (ponad) rok - 1970-01-01
- Nowy system kopii zapasowych w Home Assistant 2025.1 to zapewne krok w dobrym kierunku, ale zdecydowanie przedwczesny - 1970-01-01
)
Witam.
Dziś zalogowałem się do WordPressa (mam stronę zrobioną na kupionym szablonie) i okazało się, że z kokpitu znikły wszystkie wtyczki oraz panel szablonu. Strona działa, ale nic nie mogę zrobić. Chciałem zrobić też aktualizacji – też nie mogę! (WordPress 4.7.3 jest dostępny! Proszę poinformować administratora witryny). Co zrobić w tej sytuacji?
Niestety, ale na podstawie tych informacji niewiele jestem w stanie pomóc/wywnioskować – przyczyn może być wiele, ale to trzeba by sprawdzić bezpośrednio na stronie. Możesz ew. skontaktować się z nami za pomocą prywatnej wiadomości (możesz skorzystać z formularza kontaktowego).