Det populära CMS verktyget WordPress har nu släppts i version 3.5.2 och rättar till 12 buggar och täpper till 7 st säkerhetshål.
WordPress används av miljontals hemsidor världen över och är den mest använda plattformen för hemsidor, bloggar och mycket mer. Då WordPress är gratis att använda har det fått mycket uppmärksamhet och många nerladdningar. Till detta finns även många bra gratis plugin som utökar WordPress med fler och bättre funktioner. Det gäller dock att tänka sig för vad gäller plugin och andra insticksprogram då de kan innehålla säkerhets luckor eller virus.
Dessa kan skicka vidare lösenordet till din installation eller installerar dolda program som gör det enkelt för utomstående att använda er hemsida/blogg till sina egna syften t.ex. spridning av länkar.
Under förra året och detta har jag personligen hjälpt hundratals personer och företag som fått sin WordPress hackat både en och fler gånger. I flera fall har det varit Webbhotellet som hemsidan ligger på som inte har tillräckligt säkra system (det inkluderar även några svenska webbhotell) eller att man nyttjat osäkra plugins.
De 7 säkerhetsluckor som WordPress har åtgärdat är:
* Server-Side Request Forgery (SSRF) via the HTTP API. CVE-2013-2199. * Privilege Escalation: Contributors can publish posts, and users can reassign authorship. CVE-2013-2200. * Cross-Site Scripting (XSS) in SWFUpload. CVE-2013-2205. * Denial of Service (DoS) via Post Password Cookies. CVE-2013-2173. * Content Spoofing via Flash Applet in TinyMCE Media Plugin. CVE-2013-2204. * Cross-Site Scripting (XSS) when Uploading Media. CVE-2013-2201. * Full Path Disclosure (FPD) during File Upload. CVE-2013-2203.
- Blocking server-side request forgery attacks, which could potentially enable an attacker to gain access to a site.
- Disallow contributors from improperly publishing posts, reported by Konstantin Kovshenin, or reassigning the post’s authorship, reported by Luke Bryan.
- An update to the SWFUpload external library to fix cross-site scripting vulnerabilities. Reported by mala and Szymon Gruszecki. (Developers: More on SWFUpload here.)
- Prevention of a denial of service attack, affecting sites using password-protected posts.
- An update to an external TinyMCE library to fix a cross-site scripting vulnerability. Reported by Wan Ikram.
- Multiple fixes for cross-site scripting. Reported by Andrea Santese and Rodrigo.
- Avoid disclosing a full file path when a upload fails. Reported by Jakub Galczyk.
Sen några extra förstärkningar på:
* Cross-Site Scripting (XSS) (Low Severity) when Editing Media. CVE-2013-2201. * Cross-Site Scripting (XSS) (Low Severity) when Installing/Updating Plugins/Themes. CVE-2013-2201. * XML External Entity Injection (XXE) via oEmbed. CVE-2013-2202.Om ni vill veta vilka filer som är uppdaterade listar jag dem här:
readme.html wp-admin/includes/media.php wp-admin/includes/class-wp-importer.php wp-admin/includes/file.php wp-admin/includes/post.php wp-admin/includes/upgrade.php wp-admin/includes/schema.php wp-admin/includes/class-wp-upgrader.php wp-admin/includes/update-core.php wp-admin/update.php wp-admin/about.php wp-admin/edit-form-advanced.php wp-login.php wp-includes/class-wp-xmlrpc-server.php wp-includes/rss.php wp-includes/functions.php wp-includes/formatting.php wp-includes/post.php wp-includes/media-template.php wp-includes/deprecated.php wp-includes/wp-db.php wp-includes/user.php wp-includes/class-wp-admin-bar.php wp-includes/version.php wp-includes/class-phpass.php wp-includes/comment.php wp-includes/pluggable.php wp-includes/class-feed.php wp-includes/script-loader.php wp-includes/class-http.php wp-includes/js/media-editor.min.js wp-includes/js/swfupload/swfupload-all.js wp-includes/js/swfupload/handlers.js wp-includes/js/swfupload/handlers.min.js wp-includes/js/swfupload/swfupload.swf wp-includes/js/plupload/handlers.js wp-includes/js/plupload/handlers.min.js wp-includes/js/tinymce/wp-tinymce.js.gz wp-includes/js/tinymce/plugins/media/moxieplayer.swf wp-includes/js/tinymce/tiny_mce.js wp-includes/js/media-editor.js wp-includes/class-oembed.php wp-includes/post-template.php wp-includes/http.php
Om ni använder WordPress 3.6 Beta 4 inkluderar den dessa säkerhetsfixar och uppdateringar
Tänk på att innan ni gör en uppdatering kontrollera alla era plugins och det tema som ni använder. Det är inte säkert dessa klarar en uppdatering och i så fall avaktiveras plugin automatiskt eller så stannar sidan helt och visar bara en tom vit sida också kallad White Page of Death.
