WordPress 3.8.2: первый релиз безопасности, выпущенный как фоновое обновление

Версия WordPress 3.8.2 была выпущена сегодня с несколькими важными исправлениями безопасности, которые требуют незамедлительного обновления. Если вы включили фоновые обновления, то в таком случае вы должны получить версию 3.8.2 в течение 12 часов. Естественно, вы можете всегда обновиться вручную, воспользовавшись старым методом – через консоль.

security-release

Эндрю Нейсин указал основные исправление безопасности в данном релизе. Среди них:

  • Исправлена уязвимость, которая позволяла злоумышленнику попасть на ваш сайт, подделав аутентификационные cookie.
  • Заплатка, исправляющая возможность некорректной публикации записей для пользователей с ролью участника.
  • Обновление, связанной с передачей дополнительной информации при обработке уведомлений, которое поможет хостам идентифицировать потенциально вредоносные запросы.
  • Исправлена низкоуровневая SQL-инъекция через проверенных пользователей
  • Предотвращен возможный кроссдоменный скриптинг через Plupload, стороннюю WordPress библиотеку, используемую для загрузки файлов.

Все эти проблемы с безопасностью были втайне переданы разработчикам WordPress, однако теперь, когда они являются общеизвестным фактом, нужно обязательно обновить свои сайты по последней версии.

Первый релиз безопасности WordPress, поставляемый как фоновое обновление

Вместе с версией безопасности 3.8.2 был также поставлен и релиз 3.7.2, который включает в себя те же самые исправления, но для сайтов, работающих до сих пор с версией 3.7.1.

Мы плавно перешли к новой эре обновлений безопасности WordPress, когда сайты, придерживающиеся старых версий системы, могут включить для себя фоновые обновления и получить актуальную защиту. Передача тех же самых обновлений безопасности для старых версий, когда это возможно, является целесообразным действием.

Я задал Нейсину вопрос, насколько далеко готова зайти команда в поддержке безопасности старых версий WordPress. «Мы, естественно, не хотим, чтобы сайты придерживались старых версий», отметил Нейсин. «Однако, понятно, что очень трудно отказаться от возможности сделать их максимально безопасными».

Нет никакого фиксированного набора ограничений или рамок, до какой версии команда разработчиков будет углубляться в своей поддержке безопасности, однако Нейсин заверил, что они продолжат делать все возможное. «Это был пробный шар, первый релиз безопасности, выпущенный в виде фонового обновления, что стало в новинку и для нас самих», признался Нейсин. «Мы сделаем все возможное, чтобы сохранить сайты безопасными и защищенными».

Напомню, что официальный выпуск WordPress 3.9 намечен на 16 апреля.

Источник: wptavern.com

Блог про WordPress
Комментарии: 21
  1. Вячеслав Утенков

    Зачем одновременно поддерживать разные ветки WordPress? Потом получится такая же хрень как с XP.(http://avalspro.blogspot.ru/2014/04/windows-xp.html) 25% компов оказались в шоке + все банкоматы. Нужно всех обновлять в фоновом режиме. Всех на 3.8.2!!!

    1. Дмитрий (автор)

      Ну про компы и банкоматы тоже можно сказать — а какого хрена вы сидите на старых программах и старом железе? А ну марш обновляться!

      Понятно, что пока поддерживаются старые версии, пользователи никогда сами не задумаются про обновление, однако и принудительно это делать не каждый захочет, особенно ожидая неизвестности в плане конфликтов старых плагинов с новой версией WP.

      1. gOuTM

        25% в шоке? Я уж и не помню сколько лета назад объявили, что поддержки не будет.

        1. Волшебник

          Win XP до сих пользуются по той причине, что на нетбуках с небольшими системными характеристиками только её и имеет смысл ставить.

          1. Дмитрий (автор)

            Во многих компаниях, где печатают документы, часто вижу XP на компьютерах. Эта система не пропадет =)

  2. Вячеслав Утенков

    Сообщать-то сообщили, только людям пофигу

    1. AlexS

      Это уже их проблеммы, раз на обновления пофиг

  3. vovasik

    мне интересно теперь будут продлять подежку всех сколь либо отличившихся релизов или с чем связанна суета вокруг 3.7.1 по какому принципу может просто времени много у ребят) кстати пофиксили баг верстки :) с невозможностью добавить метку при малом разрешении экрана

    1. Дмитрий (автор)

      Наверно, просто личный интерес, энтузиазм, поскольку Нейсин много работает и вообще WordPress — для него одновременно работа/хобби, чему он уделяет много времени. Конечно, можно спрогнозировать, что углубляться до самых первых версий разработчики не станут — думаю, немалую роль сыграло и то, что не всем пользователям понравился новый интерфейс админки, и большой процент пользователей осел на версии 3.7. Чтобы их защитить, они и решили ввести такое фоновое обновление c 3.7.1 до 3.7.2.

      1. Константин Ковшенин

        Выход 3.7.2 никак не связан с новым интерфейсом панели администрирования в ветке 3.8.

        Это связано с безопасностью и с политикой поддержки двух последних «веток». Так, например после выхода версии 2.1, ветка 2.0 получила аж 4 технических обновлений. То же самое было с 3.1.2 и 3.0.6, 3.3.3 и 3.4.1. Поэтому после выхода 3.9 разработчики прекратят поддержку ветки 3.7.

        1. Дмитрий (автор)

          Напрямую, может, и не связан, но косвенно — вполне возможно. Ведь активные споры разгорелись именно при переходе с 3.7 на 3.8, и именно из-за нового дизайна админки, что и разбило пользователей на два лагеря. Соответственно, если раньше пользователи активнее обновлялись, то в данном случае широкий контингент людей «засел» на 3.7, которую они считают идеальной версией, и не хотят с нее никуда уходить. А это — достаточно существенный пласт, как мне кажется (если даже судить по числу сообщений на форумах поддержки от недовольных пользователей про новый дизайн — которые, правда, потом стали нещадно удаляться и закрываться).

  4. Волшебник

    Я так и остался на 3.7.1. Нововведения не пришлись мне по вкусу. Понятно, что в будущем скорее всего придется обновиться для совместимости с обновленными плагинами, но пока не вижу смысла. Возможно в будущих версиях WP сделают более адекватный интерфейс админки. То, что ни называют «самым красивым дизайном» — самый убогий и несбалансированный дизайн какой я видел.

    1. Дмитрий (автор)

      У меня автоматом обновилось до 3.7.2, тоже сижу на этой версии.

      1. Константин Ковшенин

        Обновиться до ветки 3.8 желательно до выхода 3.9. Ведь после выхода версии 3.9 разработчики скорее всего прекратят поддержку ветки 3.7, а это значит, что если найдется уязвимость, то обновления выпустят только для двух последних веток — 3.9 и 3.8.

        1. Волшебник

          А у меня так и не обновилось автоматом с 3.7.1 до 3.7.2, так и осталась 3.7.1

  5. Роман

    При обновлении на последнюю версию WP у меня возник конфликт с плагином iThemes Security.

    Он выражается к утрате прав доступа к странице авторизации.
    «У Вас недостаточно полномочий для доступа к этой странице»

    Покрутил плагин — не смог найти причину.

    Пришлось отключить плагин.

    Может знает кто, в чем причина?

    1. Дмитрий (автор)

      На странице поддержки плагина очень много вопросов после данного обновления:

      http://wordpress.org/support/plugin/better-wp-security

      Посмотрите, может, найдете ответ и на свой вопрос.

  6. Otshelnik-fm

    Я за то чтобы была нормальная практика — поддержка только 2х последних версий. Остальное на свалку истории.
    Уважаю вебмастеров которые четко говорят что верстают под 2 последние версии браузеров. Остальные они не поддерживают. Иначе до сих пор будет каменный век, как в случае интернет эксплорер 6 и виндовс хр

    1. Дмитрий (автор)

      Ну Windows XP не так плоха, чтобы ее на свалку истории скидывать ;)

  7. Otshelnik-fm

    Не плоха, но не идеальна. Допиливать старую архитектуру внедряя костыли чтобы туда вместить весь технический прогресс — дорого выйдет.

    1. Дмитрий (автор)

      Согласен, тянуть на себе все это — слишком тяжкий груз. Для бизнеса, конечно, нужны последние версии, там риск неприемлем, простым пользователям подойдут и старые версии, привычные им. Первым делом в Windows отключаю поиск и установку обновлений, поскольку мне все это не требуется.

Добавить комментарий для Дмитрий Алёшин Отменить ответ

Получать новые комментарии по электронной почте.