Совсем недавно было выпущено обновление WordPress 4.0.1, которое по сути является очень важным релизом с исправлениями, касающимися безопасности. Всем владельцам сайтов и блогов на WordPress настоятельно рекомендуется обновить код ядра на версию 4.0.1.
Одним из наиболее важных исправлений в WordPress 4.0.1 является изменение, которое закрывает дыру в безопасности, а именно очень серьезную уязвимость для XSS (кросс сайт скриптинг). Используя XSS-уязвимость хакеры со злыми умыслами могут запускать практически любой вредоносный код на сайтах с WordPress 3.9 и более ранних версий.
В связи с тем, что все таки не все и не всегда обновляют свои сайты WordPress на самые последние версии, и у многих до сих пор используются даже версии ниже 3.8, сообщество WP решило и выпустить обновление даже для старых веток, и в результате сейчас можно воспользоваться четырьмя обновлениями — 4.0.1, 3.9.3, 3.8.5 и 3.7.5.
Коль уж было принято такое решение, то думаю вы понимаете, насколько критически важным для всех является обновление безопасности WordPress 4.0.1 для наилучшей защиты от злоумышленников.
Кстати, для тех кто не знает или уже забыл — в WordPress начиная с версии 3.7 была добавлена возможность обновления скриптов ядра в фоновом режиме. Так что в принципе в течении суток со времени выпуска релиза безопасности WP 4.0.1 все сайты, у которых не было отключено фоновое обновления ядра, получат обновление автоматически.
XSS-уязвимость, которая присутствует в WordPress 3.9.2 и более ранних, нет в версии 4.0, но все же несколько важных «заплаток» внесено в 4.0.1. Вот перечень устраненных проблем:
- три проблемы с XSS, при наличии которых Автор или Участник могли скомпрометировать сайт;
- подделка запроса с помощью XSS, которая могла быть использована, чтобы обмануть пользователя, принудив его сменить пароль;
- ошибка, которая может привести к отказу в обслуживании при проверке (валидации) паролей;
- добавлены дополнительные меры защиты от подделок запросов на стороне сервера, когда WordPress выполняет HTTP-запросы;
- проблема, когда учетная запись пользователя могла быть поставлена под угрозу, правда лишь в том случае, если пользователь не входил под своим аккаунтом с 2008 года, что хоть и маловероятно, но все же это могло случиться;
- ссылку для подтверждения сброса пароля в письмах электронной почты WordPress теперь считает недействительной (аннулирует) после того, как пользователь залогинился на сайт, перейдя по ней, и затем в своем аккаунте сменил адрес своей электронной почты;
Полный список изменений, вошедших в WordPress 4.0.1 вы можете получить на баг-трекере WP.
Кстати, уже доступна для тестирования вторая Бета версия WordPress 4.1, финальный релиз которой намечен на Декабрь 2014. Скачать вторую бету можно здесь: wordpress-4.1-beta2.zip
Надо обновляться. Немного боязно: иногда после обновлений люди жалуются на всякие баги и глюки. Правда, у меня для этого есть копия сайта на локале, можно всё испытать и отладить там, прежде чем оперировать действующий блог.
А попытки всяких атак меня уже достали: мне о них плагины докладывают на почту ежедневно. Кто-то (возможно, не один) не унимается.
Этого обновления не стоит бояться — только ядро обновляется, а не полный функционал. Тем более, что у вас есть бэкапы. Вообще нужно всем за правило брать — если наметил что-то обновить на сайте или заменить, то обязательно перед этим сделать бэкап, как файловой структуры, так и базы данных.
Все руки не доходят обновить ядро Вордпресс до 4.0.1. Не совсем правда понял насчет последнего пункта устраненных проблем, ссылки на сброс пароля не работают, если пользователь вдруг вспомнил пароль и изменил email для восстановления пароля?
Master-It,
я поменял описание последнего пункта. Думаю, что сейчас будет более понятно.
Ох уж этот английский, да словами не-англичан или для не-англичан :)
Возможно что-то не совсем доходчиво в релиз-нотисе написал Andrew Nacin, возможно я не сходу сам понял, пока не посмотрел изменения в исходном коде. Кстати, вот ссылка на фикс в баг-трекере. Там по коду видно что к чему.
Ну так что?? Кто-нить обновился?? А то мне на почту все письма приходят с просьбой обновления — а все как то стремно. Боюсь за работу плагинов.
Леонид, этот блог уже давно обновился, и как видите, он жив здоров :)
Сделайте для подстраховки резервную копию файлов и базы данных и обновляйтесь — это важное обновление, и не окажитесь последним :)
Я сегодня один блог обновила.Да так , что пришлось из резервной копии восстанавливать.Хотя раньше такого не было просто никогда.Я , даже никогда перед обновлением WP никогда не делала бэкапы.Всегда процесс происходил просто и легко.Буду учится соблюдать правила.
Надо бы побыстрее обновить. Всё довольно подробно описано. Надеюсь, что глюков в работе не будет.
никак не доходят руки обновить движок… пока мне про версию не скажут зашедшие в админку гости (там плашка же висит) до тех пор не обновляю…
Комментарий не относится конкретно к этому посту.
На какую страницу вашего блога (4remind.ru/page/3, page/4, page/21 и т.д.) — на странице отображаются посты с первой.
Народ, сайтостроением увлекся буквально с месяц-полтора (иными словами, полный профан). Клепал «аля блог» на денвере (локалхост). Так там в админ-панели ВП кнопку клацнул и всё готово. А когда сайт уже залит на хостинг, сложностей никаких добавляется?
Почем так уделяют внимание WordPress да он бесплатный до он блоговый. Но разве нет других интересных движков для сайта? Я решился попробывать сделать блог на DLE хоть он и новостной.. кому будет интересно что получись оставлю ссылочку.
Я обновил. В принципе багов не заметил пока что, надеюсь и не увижу)
Всегда обновляюсь, ни разу глюков не было, а что может произойти вообще? Сайт не откроется или рекламные блоки вылетят или еще что? Может подскажите?
Учитывая что уже декабрь, может быть не суетиться и дождаться WordPress 4.1?
Хмм, пойду ка я пообновляю все свои сайты, а то поодключал проверку обновлений и уже давненьоко не обновлял вордпресс на них…
Обновился! Полет нормальный! :)
Я не понял, у меня уже обновлен до 4.1 или я что-то путаю.
Кто-то может сказать на профессиональном языке, на сколько уровень безопасности в обновлении способен защитить сайт от XSS?
Хочу перейти на WordPress, но, постоянно отслеживая развитие этой CSS, сталкиваюсь с разными, в основном негативными отзывами.
Спасибо за статью. Уже просит обновиться до 4.1. Несколько стремно, ранее была неудачная попытка с другой версией, но наверное надо. Попробую сначала на тестовом. Если все нормально, то и на основном.
norm statya
Честно говоря, я к обновлениям относился с недоверием хотя бы потому, что данная версия меня устраивает, а обновление связано с риском потери трафика, по крайней мере, просто так вас не будут просить сделать резервную копию. Но после прочтения этой интересной и полезной статьи буду это делать регулярно и в обязательном порядке — лишится блога, на который потрачено столько времени, сил и средств очень не хочется.
Тоже пора обновляться. Опять все скрипты и коды, которые сам внедрял ставить придется. А на днях еще и новые обновления темы пожаловали. На днях займусь этим вопросом.
Неплохой пост, с обновлениями вообще не стоит шутить, всегда стараюсь следить за новыми версиями. Уже обновился без ошибок, всё нормально встало ;)
Я обновил недавно свой вордпресс-блог. В итоге произошли конфликты в базе данных, но т.к. я программист, то смог быстренько починить. Хотя обычному человеку это будет сложно.
Не стоит пугать людей. Скорее всего у вас было, что то не стандартное. Обычные оба сайтика на wp обновились и ни каких проблем небыло
Что у joomla, что у WordPress, всегда находилось 100500 дыр в защите, тут ничего не поделаешь. На взлом популярных CMS кидаются огромные силы. Что говорить, если таким гигантам как microsoft и Google не всегда удается защитить свои ресурсы. Помню сколько было шума вокруг новой «сверх защищенной joomla», а что в результате? Защита простояла неприступной пару недель или что-то в этом духе.
Поэтому, для меня всегда была самой актуальной защита дедушкиным способом, через htaccess и применение самописных CMS. Ведь все известно, что чем уникальнее CMS — тем меньше шансов ее взломать.