Только что вышел WordPress 4.4.2. Этот релиз безопасности предназначен для всех предыдущих версий системы, поэтому команда WordPress настоятельно рекомендует установить его на все свои сайты без промедления.
Версии WordPress 4.4.1 и ниже были подвержены нескольким уязвимостям: существовала возможность для проведения XSS-атаки по определенным локальным URI (отмечена Ронни Скансингом), а также атаки с перенаправлением (отмечена Шайлешем Суфаром).
В дополнение к проблемам с безопасностью, WordPress 4.4.2 также исправляет 17 багов, которые были в версии 4.4 и 4.4.1. За дополнительной информацией вы можете обратиться к списку изменений.
Скачать WordPress 4.4.2 можно по ссылке. Также можно установить WordPress 4.4.2 из админки, перейдя в раздел с обновлениями. Сайты, поддерживающие автоматические обновления, уже могут использовать WordPress 4.4.2.
Лично столкнулся с этой уязвимостью на одном из сайтов клиента, шло постоянное заражение файлов ядра, плагинов и темы. Надеюсь именно ее и закрыли.
Спасибо за новость!
Вполне возможно, что именно эту уязвимость и прикрыли.
Всегда пожалуйста!
Ешкин-Матрешкин… Убила три ночи! У меня такая же фигня в вордпрессе перезаразились eval-om все скрипты. Уже что только ни делала, через полчаса после отката и тотальной чистки снова вредоносы везде.
Исправлены баги пагинации на homepage (в частности при работе с популярным плагином RSS агрегатора), это подтверждаю.
Приобрел себе курс по созданию и продвижению сайта/блога в WordPress. Только начал изучать работу плагинов и т.п.Первым делом сейчас скачаю себе новую версию)) Очень кстати подвернулся ваш форум!Надеюсь что найду здесь всю нужную мне информацию о данной CMS.
До этого у меня был сайт, на CMS от Мегагрупп, так ни один фрилансер не брался двигать)После 1.5 года мучения решил все-таки перенести сайт на UMI, только перенес приятель про WordPress начал рассказывать))Ну, думаю попробую для души сделать какой-нибудь сайт, вдруг понравиться)
Хороший движок для сайтов. Постоянно делаю блоги только на нем. Приятно видеть что они стараются и улучшают защиту. Только вот на мой взгляд социальные плагины, где открыта регистрация, все же очень уязвимы.
Надо скоро начинать обновлять свои сайты на вордпресс, у меня один так продырявили, что до сих пор собрать его обратно не могу. Радует, что Вордпресс будет только рости.
Мне помогло только глобальной чистки:
1. закрытие сайта на тех.обслуживание через htaccess, для всех кроме моего ip.
2. полное удаление папок wp-admin wp-includes, всего содержания wp-content кроме папки uploads, в ней поиск подозрительных файлов скриптом Айболит в пароноидальном режиме. Также проверьте папку cgi-bin.
3. смена всех паролей: хостинг, фтп, базы, пользователей.
4. Установка движка v4.4.2.
5. Блокировка через htaccess по ip всей сети, которая запрашивала вредоносный файл. Данные из логов.
Всегда стараюсь оперативно ставить обновления на сайт, но вот вопрос по какой причине у самой используемой в мире CMS разработчики допускают наличие таких фатальных дыр в безопасности, мое мнение что это обычный маркетинговый ход и не что иное возможно что они сами ее и ломают для внедрения пользователям обновления дабы те не стали перепиливать под себя движок, мне порой закрадывается вопрос но не в отношении WP а в отношении плагинов, в особенности All in one Seo Pack, с чего это вдруг там стоить ограничение написания мета данных — и по какой причине это сделано. И без условно я предпринимаю попытки его снять так как считаю не целесообразным, поэтому считаю все обновления в WordPress и плагинах не более чем попыткой создателей что то новое впарить пользователям. Спасибо большое за статью
> обычный маркетинговый ход
Маркетинговый ход кого? За разработкой WP стоит огромное полчище разработчиков, которые не получают ни копейки за свои труды. Специально пропихнуть какую-либо уязвимость просто не получится. Не забывайте, что WordPress имеет открытый код, а не закрытый. Любой желающий может проследить за процессом разработки и внести свои предложения или коррективы.
All in One SEO Pack — сторонний плагин. Естественно, его разработчики могут в любой момент сделать его полностью платным, это их право. Могут убрать какой-то функционал. Все зависит только от них самих.
А плагин Contact Form 7 на WP4.4.2. просто так не работает.