amministratori di WordPress, stare in guardia. Siti web in esecuzione su versione di WordPress 4.8.2 e precedenti dovrebbe aggiornare immediatamente alla versione 4.8.3. Sicurezza ricercatore Anthony Ferrara ha riportato una vulnerabilità SQL injection nella piattaforma che consente per i siti web da prendere più e sfruttati. Anche se il bug è stato appena reso pubblico, la fondazione di esso è stata segnalata tramite Hacker-One il 20 settembre, 2017.
Maggiori informazioni sul difetto di WordPress SQL
Le versioni di cui sopra di WordPress sono inclini a un problema in cui $ wpdb-> preparare() può creare query inaspettati e pericolosi che portano al potenziale SQL injection (Sqlık). Anche se nucleo WP non è direttamente esposta alla questione, l'aggiornamento immediato è obbligatoria. WordPress ha aggiunto indurimento per evitare plugin e temi da causare accidentalmente un difetto, i ricercatori hanno detto WordPress.
Per quanto riguarda Anthony Ferrara di scoperta, lui ha detto che era legato a un povero correzione che è stato spinto fuori da WordPress in versione 4.8.2. La correzione ha rotto un sacco di siti web che utilizza una funzionalità non documentata che è stato rimosso. la correzione, tuttavia, non risolvere il problema principale.
"Il 4.8.3 cerotto attenua la portata dei problemi che ho trovato, e credo che sia il modo secondo migliore per risolvere il problema (con il primo è un cambiamento molto più complessa e richiede tempo che deve ancora accadere),”Il ricercatore ha aggiunto.
Come accennato all'inizio, Gli amministratori del sito sono invitati a eseguire l'aggiornamento a WordPress v4.8.3 subito. Il consiglio del ricercatore è verso amministratori è quello di prestare attenzione a plugin che Override $ wpdb (come HyperDB, LudicrousDB , etc). Essi devono essere aggiornati pure.
Per aggiornare il WordPress all'ultima, versione più sicuro, basta andare al cruscotto e selezionare Aggiornamenti. Tutto ciò che necessita di un aggiornamento sarà elencato lì, plugins inclusiva. Tenete a mente che se avete optato per ottenere gli aggiornamenti automatici di sfondo, il vostro sito è già up-to-date.
Un'altra cosa da tenere a mente è che gli host dovrebbero aggiornare dovrebbero aggiornare wp-db.php per i clienti.