Wordpress gepatcht kürzlich drei wichtige Sicherheitslücken in seinem letzten Update. Die Mängel könnten für Cross-Site-Scripting und SQL-Injektionen erlauben, und eine Reihe von anderen nachfolgenden Fragen. Die Updates betroffen Wordpress-Versionen 4.7.1 und früher. die Anwendung der aktualisieren so schnell wie möglich noch sehr zu empfehlen.
Jedoch, es ist bekannt, dass von den Sicherheitsfragen auseinander nur die Plattform erwähnt eine gefährliche und dann geheime Zero-Day-Schwachstelle behoben, die für den Remotezugriff und zur Löschung von Wordpress-Seiten führen könnte. Der Grund, warum sie nicht öffentlich die Zero-Day bekannt geben, dass sie nicht Hacker in zu locken wollte es ausnutzen. Und sie sagte.
Zero-Day in Wordpress 4.7 und 4.7.1 erklärt: Unauthenticated Privilege Escalation Vulnerability in einer REST-API Endpoint
Der Fehler, alle Seiten auf anfällige Websites erlaubt werden geändert. Auch, Besucher haben könnte auf bösartige Websites umgeleitet, um mehr Sicherheit im Zusammenhang mit Komplikationen führen. Wordpress verschob die öffentliche Ankündigung für eine Woche und jetzt drängt alle Beteiligten zu aktualisieren.
verbunden: TeslaCrypt Derzeit verbreiten über Compromised Wordpress-Seiten und Nuclear EK
In einem weiteren Beitrag, Wordpress geschrieben:
Zusätzlich zu den drei Sicherheitslücken in der ursprünglichen Version Beitrag erwähnt, Wordpress 4.7 und 4.7.1 hatte eine zusätzliche Anfälligkeit für die Offenlegung verzögert. Es war ein nicht authentifizierter Privilege Escalation Vulnerability in einer REST-API Endpoint. Frühere Versionen von Wordpress, sogar mit dem Plugin-REST-API, waren diese nie verwundbar.
Der Zero-Day wurde am 20. Januar von Sicherheitsfirma Sucuri berichtet, insbesondere Forscher Marc-Alexandre Montpas. Zum Glück, keine Angreifer haben den Fehler ausgenutzt, und ein Fix wurde hergestellt, kurz nachdem es berichtet wurde,. Dennoch, Wordpress nahm sich die Zeit, das Problem weiter zu testen, wie es sich anfühlte, es war ziemlich ernst.
Andererseits, Sucuri hat neue Regeln, um ihre Web Application Firewall, so dass Versuche ausnutzen wurden blockiert. Andere Unternehmen wurden kontaktiert,, zu, ähnliche Regeln zu erstellen, um Benutzer vor Angriffen abzuschirmen, bevor das Update abgeschlossen wurde.
Säfte schrieb:
Montags, während wir weiterhin das Update zu testen und zu verfeinern, unser Fokus verschoben, um Wordpress-Hosts. Wir setzten uns mit ihnen privat mit Informationen über die Verwundbarkeit und Möglichkeiten zum Schutz der Nutzer. Hosts arbeitete eng mit dem Sicherheitsteam Schutz zu implementieren und regelmäßig überprüft für Versuche gegen ihre Nutzer ausnutzen.
verbunden: Netgear Router Anfällig für Remote Access-Angriffe
Schließlich, das Update bereit war am vergangenen Donnerstag. Es ist auch wichtig zu beachten, dass Wordpress 4.7.x Benutzer schnell über die Auto-Update-System geschützt wurden. Jedoch, Benutzer, die Wordpress nicht, dass es sich automatisch aktualisiert, haben zu tun, bevor es zu spät ist.
Milena Dimitrova
Ein begeisterter Autor und Content Manager, der seit Projektbeginn bei SensorsTechForum ist. Ein Profi mit 10+ jahrelange Erfahrung in der Erstellung ansprechender Inhalte. Konzentriert sich auf die Privatsphäre der Nutzer und Malware-Entwicklung, sie die feste Überzeugung, in einer Welt, in der Cybersicherheit eine zentrale Rolle spielt. Wenn der gesunde Menschenverstand macht keinen Sinn, sie wird es sich Notizen zu machen. Diese Noten drehen können später in Artikel! Folgen Sie Milena @Milenyim
Folge mir: