致电我们:1300 568 888

在2018年12月的第一周,WordPress宣布发布其最近的更新WordPress 5.0。研究人员测试新版本几乎立即发现了几个严重的安全问题,危及用户电子邮件地址和密码等敏感的个人数据,并允许未经授权访问平台内的站点上的内容管理功能。所有版本的平台5.0和旧版本受漏洞的影响。

WordPress 5.0.1.

不到一周后,12月12日,公司开发人员通过WordPress 5.0.1的发布来回应,该补丁旨在在早期版本中解决漏洞。

通过利用Google网站索引服务来访问电子邮件和密码的错误只是对WordPress 5.0发布后没有更改密码的用户的威胁。新版本修复了该错误。

在安全研究人员发现通过Apache托管站点的攻击者可以创建修改文件以绕过验证过程并实现跨站点脚本黑客的攻击文件,对MIME验证进程进行了更改。

Ian Dunn,一个WordPress开发人员,状态,“在5.0.1之前,WordPress不需要上传的文件通过MIME类型验证,因此即使内容与文件扩展名不匹配,也可以上载文件。例如,可以使用.jpg扩展将二进制文件上载。这不再是这种情况,并且上传文件的内容现在必须与其扩展名匹配。大多数有效的文件都应该不受影响,但可能有一个文件需要将文件重命名为其正确的扩展名“。

新版本地址解决了其他漏洞,例如更改元数据以删除未经授权的文件和工艺输入,以允许创建未经授权的帖子。找到的全部漏洞列表和使用WordPress 5.0.1实现的修复 由公司发布.

WordPress 5.0上有网站的用户应该 更新到WordPress 5.0.1 尽快。启用自动更新的人应该已经拥有了新版本,但由于发现的漏洞类型,建议他们手动执行安全。

那些仍然使用旧WordPress 4.x版本的人应该 安装4.9.9. 尽快地。有报告没有为此版本工作的自动更新。同样,它应该手动完成以确保。