С момента появления версии WordPress 3.7, существовал ряд уязвимостей в безопасности сайта. Разработчики долго пытались найти пути их закрытия и, наконец, нашли выход. Доступен он в новых версиях
Если вы обновили WordPress до 5.0 - установите версию 5.0.1, если вы желаете остаться на 4ке, обновитесь до 4.9.9.
Разработчики отметили, что после обновления нужно обязательно проверить все установленные плагины, так как некоторые из них могут слететь, но это гораздо проще нежели решать проблему взлома сайта из-за присутствия лазеек и брешей в его защите.
Вот ошибки, которые были устранены:
- AuthenticatedFile Delete - авторы могли изменять метаданные, чтобы удалять файлы, на которые у них не было соответствующих прав.
- PHP Object Injection via Meta Data - было допустимо создавать такие метаданные, наличие которых приводило внедрению PHP-объектов
- Cross-Site Scripting (XSS) that could affect plugins – скриптинг, который вполне мог воздействовать на плагины, на их сбои.
- Authenticated Post Type Bypass - с помощью этой уязвимости было доступно создавать несанкционированные виды записей
- Authenticated Cross-Site Scripting (XSS) - межсайтовый скриптинг
- File Upload to XSS on Apache Web Servers – если ваш сайт был размещен на Apache, то вы могли загружать специальные файлы, которые обходили проверку MIME, а это вполне могло приводить к межсайтовому скриптингу!
- User Activation Screen Search Engine Indexing - мог приводить к индексации email-адресов и паролей, которые генерировались поисковыми системами
Настоятельно советуем вам обновить свои версии CMS, чтобы ваш сайт не подвергался риску!
