Команда WordPress выпустила свежую версию WordPress 4.5.2, которая исправляет две уязвимости безопасности в версиях WordPress 4.5.1 и ниже. Первая уязвимость – SOME (Same-Origin Method Execution) в Plupload, сторонней библиотеке, которая используется в WordPress для загрузки файлов. Вторая уязвимость – это XSS-уязвимость в MediaElement.js, сторонней библиотеке, используемой для медиаплееров.
Same Origin Method Execution – новая атака, основанная на использовании callback-параметра JSONP, позволяющая выполнять произвольные методы на уязвимом сайте. Как только жертва переходит по ссылке злоумышленника, открывается новое окно или фрейм, в котором выполняется вредоносный код. Жертва обычно даже не понимает, что произошло. Выполнение конкретных методов Same Origin Method Execution зависит от атакуемого сайта. Чтобы защититься от подобной атаки, можно: использовать статичные имена функций для callback; внести callback’и в белый список на стороне сервера; зарегистрировать callback’и.
Автоматические обновления уже были выгружены на сайтах. Если вы не хотите ждать, вы можете обновиться вручную через панель администратора. В дополнение к релизу команда WordPress также опубликовала пост, посвященный многочисленным уязвимостям, найденным в ImageMagick, популярном скрипте обработки изображений, который используется многими хостингами. Пост описывает особенности уязвимостей, а также решения, которые помогают устранить их.
Обновился я на автомате, бложек испустил дух. Вспомнил, что functions.php редактировал, пришлось в бэкапах ковыряться. Вообще, зачастил WP с обновлениями, а существенных различий и не найти.
Радует то, что движок постоянно обновляется и тем самым облегчает жизнь многим владельцам сайтов, которые просто хотят иметь блог и не заморачиваться с технической частью его функционала.
А мне вот пришлось откатываться на 4.3.4. Плагин автопарсинга ни в какую не хочет работать на новой версии. Разработчик плагин не обновляет, видимо он завязан на какие-то особенности старой версии. Долго бился с тем, почему плагин не хочет работать, а оказалось все просто. Так что на этих проектах теперь обновления закрыты. Толковых альтернатив этому плагину нет, а те что есть намного сложнее и не интуитивнее. Даже не охота разбираться. Тем более, что с новыми версиями движка ничего глобально не меняется.