Совсем недавно было выпущено обновление WordPress 4.0.1, которое по сути является очень важным релизом с исправлениями, касающимися безопасности. Всем владельцам сайтов и блогов на WordPress настоятельно рекомендуется обновить код ядра на версию 4.0.1.
Одним из наиболее важных исправлений в WordPress 4.0.1 является изменение, которое закрывает дыру в безопасности, а именно очень серьезную уязвимость для XSS (кросс сайт скриптинг). Используя XSS-уязвимость хакеры со злыми умыслами могут запускать практически любой вредоносный код на сайтах с WordPress 3.9 и более ранних версий.
В связи с тем, что все таки не все и не всегда обновляют свои сайты WordPress на самые последние версии, и у многих до сих пор используются даже версии ниже 3.8, сообщество WP решило и выпустить обновление даже для старых веток, и в результате сейчас можно воспользоваться четырьмя обновлениями — 4.0.1, 3.9.3, 3.8.5 и 3.7.5.
Коль уж было принято такое решение, то думаю вы понимаете, насколько критически важным для всех является обновление безопасности WordPress 4.0.1 для наилучшей защиты от злоумышленников.
Кстати, для тех кто не знает или уже забыл — в WordPress начиная с версии 3.7 была добавлена возможность обновления скриптов ядра в фоновом режиме. Так что в принципе в течении суток со времени выпуска релиза безопасности WP 4.0.1 все сайты, у которых не было отключено фоновое обновления ядра, получат обновление автоматически.
XSS-уязвимость, которая присутствует в WordPress 3.9.2 и более ранних, нет в версии 4.0, но все же несколько важных «заплаток» внесено в 4.0.1. Вот перечень устраненных проблем:
- три проблемы с XSS, при наличии которых Автор или Участник могли скомпрометировать сайт;
- подделка запроса с помощью XSS, которая могла быть использована, чтобы обмануть пользователя, принудив его сменить пароль;
- ошибка, которая может привести к отказу в обслуживании при проверке (валидации) паролей;
- добавлены дополнительные меры защиты от подделок запросов на стороне сервера, когда WordPress выполняет HTTP-запросы;
- проблема, когда учетная запись пользователя могла быть поставлена под угрозу, правда лишь в том случае, если пользователь не входил под своим аккаунтом с 2008 года, что хоть и маловероятно, но все же это могло случиться;
- ссылку для подтверждения сброса пароля в письмах электронной почты WordPress теперь считает недействительной (аннулирует) после того, как пользователь залогинился на сайт, перейдя по ней, и затем в своем аккаунте сменил адрес своей электронной почты;
Полный список изменений, вошедших в WordPress 4.0.1 вы можете получить на баг-трекере WP.
Кстати, уже доступна для тестирования вторая Бета версия WordPress 4.1, финальный релиз которой намечен на Декабрь 2014. Скачать вторую бету можно здесь: wordpress-4.1-beta2.zip
Надо обновляться. Немного боязно: иногда после обновлений люди жалуются на всякие баги и глюки. Правда, у меня для этого есть копия сайта на локале, можно всё испытать и отладить там, прежде чем оперировать действующий блог.
А попытки всяких атак меня уже достали: мне о них плагины докладывают на почту ежедневно. Кто-то (возможно, не один) не унимается.
Этого обновления не стоит бояться — только ядро обновляется, а не полный функционал. Тем более, что у вас есть бэкапы. Вообще нужно всем за правило брать — если наметил что-то обновить на сайте или заменить, то обязательно перед этим сделать бэкап, как файловой структуры, так и базы данных.
Все руки не доходят обновить ядро Вордпресс до 4.0.1. Не совсем правда понял насчет последнего пункта устраненных проблем, ссылки на сброс пароля не работают, если пользователь вдруг вспомнил пароль и изменил email для восстановления пароля?
Master-It,
я поменял описание последнего пункта. Думаю, что сейчас будет более понятно.
Ох уж этот английский, да словами не-англичан или для не-англичан :)
Возможно что-то не совсем доходчиво в релиз-нотисе написал Andrew Nacin, возможно я не сходу сам понял, пока не посмотрел изменения в исходном коде. Кстати, вот ссылка на фикс в баг-трекере. Там по коду видно что к чему.
Ну так что?? Кто-нить обновился?? А то мне на почту все письма приходят с просьбой обновления — а все как то стремно. Боюсь за работу плагинов.
Леонид, этот блог уже давно обновился, и как видите, он жив здоров :)
Сделайте для подстраховки резервную копию файлов и базы данных и обновляйтесь — это важное обновление, и не окажитесь последним :)
Я сегодня один блог обновила.Да так , что пришлось из резервной копии восстанавливать.Хотя раньше такого не было просто никогда.Я , даже никогда перед обновлением WP никогда не делала бэкапы.Всегда процесс происходил просто и легко.Буду учится соблюдать правила.
Надо бы побыстрее обновить. Всё довольно подробно описано. Надеюсь, что глюков в работе не будет.
никак не доходят руки обновить движок… пока мне про версию не скажут зашедшие в админку гости (там плашка же висит) до тех пор не обновляю…
Комментарий не относится конкретно к этому посту.
На какую страницу вашего блога (4remind.ru/page/3, page/4, page/21 и т.д.) — на странице отображаются посты с первой.
Народ, сайтостроением увлекся буквально с месяц-полтора (иными словами, полный профан). Клепал «аля блог» на денвере (локалхост). Так там в админ-панели ВП кнопку клацнул и всё готово. А когда сайт уже залит на хостинг, сложностей никаких добавляется?
Почем так уделяют внимание WordPress да он бесплатный до он блоговый. Но разве нет других интересных движков для сайта? Я решился попробывать сделать блог на DLE хоть он и новостной.. кому будет интересно что получись оставлю ссылочку.
Я обновил. В принципе багов не заметил пока что, надеюсь и не увижу)
Всегда обновляюсь, ни разу глюков не было, а что может произойти вообще? Сайт не откроется или рекламные блоки вылетят или еще что? Может подскажите?
Учитывая что уже декабрь, может быть не суетиться и дождаться WordPress 4.1?
Хмм, пойду ка я пообновляю все свои сайты, а то поодключал проверку обновлений и уже давненьоко не обновлял вордпресс на них…