Версия WordPress 3.8.2 была выпущена сегодня с несколькими важными исправлениями безопасности, которые требуют незамедлительного обновления. Если вы включили фоновые обновления, то в таком случае вы должны получить версию 3.8.2 в течение 12 часов. Естественно, вы можете всегда обновиться вручную, воспользовавшись старым методом – через консоль.
Эндрю Нейсин указал основные исправление безопасности в данном релизе. Среди них:
- Исправлена уязвимость, которая позволяла злоумышленнику попасть на ваш сайт, подделав аутентификационные cookie.
- Заплатка, исправляющая возможность некорректной публикации записей для пользователей с ролью участника.
- Обновление, связанной с передачей дополнительной информации при обработке уведомлений, которое поможет хостам идентифицировать потенциально вредоносные запросы.
- Исправлена низкоуровневая SQL-инъекция через проверенных пользователей
- Предотвращен возможный кроссдоменный скриптинг через Plupload, стороннюю WordPress библиотеку, используемую для загрузки файлов.
Все эти проблемы с безопасностью были втайне переданы разработчикам WordPress, однако теперь, когда они являются общеизвестным фактом, нужно обязательно обновить свои сайты по последней версии.
Первый релиз безопасности WordPress, поставляемый как фоновое обновление
Вместе с версией безопасности 3.8.2 был также поставлен и релиз 3.7.2, который включает в себя те же самые исправления, но для сайтов, работающих до сих пор с версией 3.7.1.
Мы плавно перешли к новой эре обновлений безопасности WordPress, когда сайты, придерживающиеся старых версий системы, могут включить для себя фоновые обновления и получить актуальную защиту. Передача тех же самых обновлений безопасности для старых версий, когда это возможно, является целесообразным действием.
Я задал Нейсину вопрос, насколько далеко готова зайти команда в поддержке безопасности старых версий WordPress. «Мы, естественно, не хотим, чтобы сайты придерживались старых версий», отметил Нейсин. «Однако, понятно, что очень трудно отказаться от возможности сделать их максимально безопасными».
Нет никакого фиксированного набора ограничений или рамок, до какой версии команда разработчиков будет углубляться в своей поддержке безопасности, однако Нейсин заверил, что они продолжат делать все возможное. «Это был пробный шар, первый релиз безопасности, выпущенный в виде фонового обновления, что стало в новинку и для нас самих», признался Нейсин. «Мы сделаем все возможное, чтобы сохранить сайты безопасными и защищенными».
Напомню, что официальный выпуск WordPress 3.9 намечен на 16 апреля.
Источник: wptavern.com
Зачем одновременно поддерживать разные ветки WordPress? Потом получится такая же хрень как с XP.(http://avalspro.blogspot.ru/2014/04/windows-xp.html) 25% компов оказались в шоке + все банкоматы. Нужно всех обновлять в фоновом режиме. Всех на 3.8.2!!!
Ну про компы и банкоматы тоже можно сказать — а какого хрена вы сидите на старых программах и старом железе? А ну марш обновляться!
Понятно, что пока поддерживаются старые версии, пользователи никогда сами не задумаются про обновление, однако и принудительно это делать не каждый захочет, особенно ожидая неизвестности в плане конфликтов старых плагинов с новой версией WP.
25% в шоке? Я уж и не помню сколько лета назад объявили, что поддержки не будет.
Win XP до сих пользуются по той причине, что на нетбуках с небольшими системными характеристиками только её и имеет смысл ставить.
Во многих компаниях, где печатают документы, часто вижу XP на компьютерах. Эта система не пропадет =)
Сообщать-то сообщили, только людям пофигу
Это уже их проблеммы, раз на обновления пофиг
мне интересно теперь будут продлять подежку всех сколь либо отличившихся релизов или с чем связанна суета вокруг 3.7.1 по какому принципу может просто времени много у ребят) кстати пофиксили баг верстки :) с невозможностью добавить метку при малом разрешении экрана
Наверно, просто личный интерес, энтузиазм, поскольку Нейсин много работает и вообще WordPress — для него одновременно работа/хобби, чему он уделяет много времени. Конечно, можно спрогнозировать, что углубляться до самых первых версий разработчики не станут — думаю, немалую роль сыграло и то, что не всем пользователям понравился новый интерфейс админки, и большой процент пользователей осел на версии 3.7. Чтобы их защитить, они и решили ввести такое фоновое обновление c 3.7.1 до 3.7.2.
Выход 3.7.2 никак не связан с новым интерфейсом панели администрирования в ветке 3.8.
Это связано с безопасностью и с политикой поддержки двух последних «веток». Так, например после выхода версии 2.1, ветка 2.0 получила аж 4 технических обновлений. То же самое было с 3.1.2 и 3.0.6, 3.3.3 и 3.4.1. Поэтому после выхода 3.9 разработчики прекратят поддержку ветки 3.7.
Напрямую, может, и не связан, но косвенно — вполне возможно. Ведь активные споры разгорелись именно при переходе с 3.7 на 3.8, и именно из-за нового дизайна админки, что и разбило пользователей на два лагеря. Соответственно, если раньше пользователи активнее обновлялись, то в данном случае широкий контингент людей «засел» на 3.7, которую они считают идеальной версией, и не хотят с нее никуда уходить. А это — достаточно существенный пласт, как мне кажется (если даже судить по числу сообщений на форумах поддержки от недовольных пользователей про новый дизайн — которые, правда, потом стали нещадно удаляться и закрываться).
Я так и остался на 3.7.1. Нововведения не пришлись мне по вкусу. Понятно, что в будущем скорее всего придется обновиться для совместимости с обновленными плагинами, но пока не вижу смысла. Возможно в будущих версиях WP сделают более адекватный интерфейс админки. То, что ни называют «самым красивым дизайном» — самый убогий и несбалансированный дизайн какой я видел.
У меня автоматом обновилось до 3.7.2, тоже сижу на этой версии.
Обновиться до ветки 3.8 желательно до выхода 3.9. Ведь после выхода версии 3.9 разработчики скорее всего прекратят поддержку ветки 3.7, а это значит, что если найдется уязвимость, то обновления выпустят только для двух последних веток — 3.9 и 3.8.
А у меня так и не обновилось автоматом с 3.7.1 до 3.7.2, так и осталась 3.7.1
При обновлении на последнюю версию WP у меня возник конфликт с плагином iThemes Security.
Он выражается к утрате прав доступа к странице авторизации.
«У Вас недостаточно полномочий для доступа к этой странице»
Покрутил плагин — не смог найти причину.
Пришлось отключить плагин.
Может знает кто, в чем причина?
На странице поддержки плагина очень много вопросов после данного обновления:
http://wordpress.org/support/plugin/better-wp-security
Посмотрите, может, найдете ответ и на свой вопрос.
Я за то чтобы была нормальная практика — поддержка только 2х последних версий. Остальное на свалку истории.
Уважаю вебмастеров которые четко говорят что верстают под 2 последние версии браузеров. Остальные они не поддерживают. Иначе до сих пор будет каменный век, как в случае интернет эксплорер 6 и виндовс хр
Ну Windows XP не так плоха, чтобы ее на свалку истории скидывать ;)
Не плоха, но не идеальна. Допиливать старую архитектуру внедряя костыли чтобы туда вместить весь технический прогресс — дорого выйдет.
Согласен, тянуть на себе все это — слишком тяжкий груз. Для бизнеса, конечно, нужны последние версии, там риск неприемлем, простым пользователям подойдут и старые версии, привычные им. Первым делом в Windows отключаю поиск и установку обновлений, поскольку мне все это не требуется.