WordPress 4.2.1安全更新版本发布,修复XSS漏洞

分享本文:
wp-42-powell

今天凌晨我们wpchina.org发表文章,向大家介绍了WordPress 4.2中发现XSS(跨站脚本)漏洞。WordPress开发团队迅速做出反应,刚刚发布了WordPress 4.2.1紧急安全更新版本,修复了此存储型XSS(stored XSS)漏洞;我们强烈建议WordPress中文社区的用户立即升级到此版本。

这个漏洞是一个0day黑客组织昨天向外公布的。除了WordPres 4.2外,WordPress 4.1.1, 4.1.1, 3.9.3等版本也存在同样的问题。这个名叫Klikki的0day黑客组织,公布了一篇文章和一段视频,详细介绍了如何利用这一漏洞,通过在WordPress 4.2等网站的留言里注入JavaScript脚本进行了攻击。

XSS漏洞
WordPress官方团队对此漏洞发表声明:

几个小时前,WordPress团队收到发现XSS漏洞的警告,我们将会于尽快发布更新。这是个核心代码出现的问题;不过受此漏洞影响的网站要比你想象的少很多,因为绝大多数基于WordPress的网站都安装有Akismet反垃圾评论插件,可以阻止利用这一漏洞的攻击。在我们修复这一漏洞并进行测试后,WordPress的用户将在未来几个小时内陆续受到自动更新的提示,届时即使没有安装Akismet插件的WordPress网站也会同样安全了。

现在,WordPress团队已经完成了新版本的测试,并且开始推送此更新。如果你没有手动关闭WordPress的自动更新功能,那么你的网站将会(已经)被升级到WordPress 4.2.1;如果关闭了这一功能,你可以直接通过WordPress管理后台的【更新】链接进行升级。

由WordPress团队开发的Akismet反垃圾评论插件,可以阻止绝大部分的垃圾评论,个人用户可以免费使用,使用者已有数百万网站之多。安装Akismet插件的网站受到攻击的概率也会更低,网站更安全。遗憾的是,Akismet服务器在国内无法直接连接,因此需要选择一款托管在国外的虚拟主机服务

WordPress 4.2.1是个非常重要的安全更新,我们强烈建议各位WordPress中文用户立即进行升级;在升级之前,不要忘记做好备份立即下载WordPress 4.2.1版本

分享本文:


发表一下评论

邮箱地址不会被公开。 必填项已用*标注