Прореха в безопасности в WordPress позволяет манипулировать контентом
Дыра в защите WordPress: содержание блогов может быть изменено
Тем, кто еще не поторопился обновиться до WordPress 4.7.2, следует сделать это как можно скорее. Это обновление позволит, наряду с прочим, тихо и без суеты закрыть дыру в защите, которая позволяет посторонним лицам изменять контент в блогах на WordPress. Хотя версия WordPress 4.7.2 вышла в свет еще неделю назад, детали о проблеме с безопасностью были сообщены только сейчас. Разработчики говорят, что хотели дать пользователям время это обновление установить.
Конкретно говоря, речь шла о прорехе в безопасности вследствие ошибки в фильтрации на REST-API. Внедрено же API было в версии 4.7.0. Проблема: злоумышленники могут и без подтверждения ID через доступ API оказывать влияние на содержание блогов, изменяя их по своему усмотрению. Обнаружена была проблема безопасности разработчиком систем безопасности Sucuri, который опубликовал детали в своем блоге.
Дыра в защите WordPress: информационная политика – это предмет для дискуссий
То, что WordPress получил тайное обновление в версии 4.7.2, выглядит как минимум необычно. При этом при публикации обновления было указано, что хотя оно и закрывает дыры в безопасности, уровень таких проблем не являлся критическим. Но сделано это было потому, что существовала теоретическая возможность выявить дыру, проанализировав обновления.
Но и сейчас команда WordPress продолжает утверждать, будто бы не обнаружено никаких признаков того, что кто-то сумел воспользоваться прорехой защиты. Кроме того, команда разработчиков вслед за CMS опубликовала контакт обновления и у провайдеров CDN — Cloudflare, Sitelock и Incapsula. Также они ввели соответствующую процедуру, позволяющую проверять, пытается ли кто-то использовать дыру в защите. Хотя, конечно, без обновления гарантию безопасности дать не сможет никто.
Подпишитесь на обновления блога Life-Webmaster.ru и получайте в числе первых новые статьи про создание блога, раскрутку и заработок на нем!
Подписка по RSS
Человек заваривший само php смотрит на проверку вводимых пользователями данных перед отправкой в базу как на плохую идею. И что вы хотите от популярного движка, если автор технологии забивает на безопасность??? :-D