Știri despre securitate, dezvăluiri și puncte de vedere ale experților ESET

Webmasterii care utilizează WordPress sunt sfătuiți să facă upgrade rapid la versiunea 4.73 pentru a elimina 6 lacune în securitate

2017-03-17

O altă zi, o altă actualizare de securitate importantă pentru WordPress.

Dacă vă administrați site-ul WordPress în regim self-hosted, atunci trebuie să actualizațați software-ul cât mai curând posibil, deoarece în urmă cu puțin timp au fost comunicate șase probleme de securitate care ar putea fi exploatate de către atacatori.

Versiunea 4.7.3 a extrem de popularului software web a fost lansată, împreună cu un avertisment care afirma că site-urile care nu implementează acest patch ar putea fi vulnerabile în fața diferitelor amenințări, inclusiv scripting cross-site și atacuri de falsificare:

  • Scripting cross-site (XSS) prin metadatele fișierelor media.
  • Caracterele de control poate păcăli validarea URL-urilor de redirecționare
  • Fișierele unintended pot fi șterse de către administratori utilizând funcționalitatea plugin-ulului
  • Scripting cross-site (XSS) posibil prin URL-ul video din secvențele  embeded YouTube
  • Scripting cross-site (XSS) posibil prin taxonomia numelor
  • Cererea falsă cross-site (CSRF) în Press This leading care conduce la utilizarea excesivă a resurselor de sistem

Vestea bună e că cercetătorii de securitate informatică au dezvăluit în mod privat detalii cu privire la aceste defecte către echipa WordPress într-un mod responsabil, permițând fixarea bug-urilor înainte de a fi comunicate în mod oficial.

Fixarea vulnerabilităților WordPress reprezintă un drum lung. Webmasterii trebuie să se asigure că patch-ul este implementat pe toate serverele web vulnerabile.

Vulnerabilitățile de securitate sunt frecvent descoperite în plug-inurile WordPress terțe, dar acestea din urmă adresează adresează vulnerabilitățile de securitate în nucleul WordPress.

Acest lucru înseamnă că aproape orice site care rulează pe WordPress ar putea fi în pericol.

Din fericire, pentru cei mai mulți oameni, este destul de ușor de actualizat. Accesați panoul de administrare WordPress și alegeți Dashboard > Updates. De fapt, mulți utilizatori au optat pentru actualizarea automată a WordPress imediat ce sunt disponibile actualizări.

Desigur, este întotdeauna o practică bună să testați o nouă versiune a software-ului pe o versiune non-live a site-ului dvs. (de multe ori cunoscut ca un site de staging) – pentru orice eventualitate.

Acest lucru este deosebit de important dacă utilizați site-ul WordPress pentru afaceri care nu își pot permite să fie offline în timp ce are loc o actualizare, dar poate că această recomandare nu are o la fel de mare importanță dacă folosiți WordPress-ul pentru blogging personal.

Dacă doriți o reasigurare  a simplității operațiunii, noi am putut realiza actualizarea site-ului WordPress self-hosted la versiunea 4.7.3 în mai puțin de un minut – fără a ne confrunta cu nicio întârziere.

Puteți reduce și mai mult șansele de a avea site-ul compromis de hackeri prin investirea într-o aplicație web firewall  care va încerca să blocheze și să filtreze traficul HTTP rău intenționat înainte de a putea fi exploatată o vulnerabilitate pe site-ul dumneavoastră.

Nu uitați că site-urile care rulează versiuni self-hosted de WordPress prin wordpress.org sunt diferite de milioanele de bloguri care rulează pe wordpress.com. WordPress.com, condusă de Automattic, gestionează instalarea WordPress pentru dumneavoastră și ține pasul cu noutățile de securitate.

Cu toate că există limitări cu privire la ceea ce proprietarii de site-ul pot face pe WordPress.com, ei pot fi întotdeauna siguri că acestea execută cea mai recentă versiune de WordPress.

 

GRAHAM CLULEY
CORESPONDENT INDEPENDENT



Leave a Reply

Your email address will not be published. Required fields are marked *