发现了7个WordPress漏洞 - 您需要了解的内容

 2018-12-17 查看原文  2     

WordPress发布了两个更新来修复多个漏洞。这些漏洞自3.7版本以来就已存在。如果您有WordPress 5.0,请更新到5.0.1。如果您想继续使用WordPress 4,请更新到4.9.9版。xME上海网站建站_上海网站制作_上海网站设计_TOPSSEO企业网站建站

此更新可能会导致某些插件和主题的向后兼容性问题。但这比被黑客攻击要少。xME上海网站建站_上海网站制作_上海网站设计_TOPSSEO企业网站建站

WordPress漏洞

有七个问题允许黑客获取对网站的访问权限。xME上海网站建站_上海网站制作_上海网站设计_TOPSSEO企业网站建站

  1. 已验证的文件删除
  2. 经过身份验证的帖子类型旁路
  3. 通过元数据进行PHP对象注入
  4. 经过身份验证的跨站脚本(XSS)
  5. 可能影响插件的跨站点脚本(XSS)
  6. 用户激活屏幕搜索引擎索引xME上海网站建站_上海网站制作_上海网站设计_TOPSSEO企业网站建站
    向搜索引擎公开电子邮件和默认生成的密码
  7. 文件上载到Apache Web服务器上的XSS

 受影响的WordPress版本

这七个漏洞会影响WordPress的第3版,第4版和第5版。建议所有WordPress用户升级到WordPress版本4.9.9或5.0.1。xME上海网站建站_上海网站制作_上海网站设计_TOPSSEO企业网站建站

WordPress官方公告指出:xME上海网站建站_上海网站制作_上海网站设计_TOPSSEO企业网站建站

WordPress 5.0及更早版本受到以下错误的影响,这些错误在5.0.1版中得到修复。对于尚未更新到5.0的用户,还可以使用更新版本的WordPress 4.9及更早版本。xME上海网站建站_上海网站制作_上海网站设计_TOPSSEO企业网站建站

向后兼容性问题

向后兼容性问题是导致某些功能不再起作用的问题。例如,<form>元素已被禁用以供作者使用。这可能会影响插件的功能,除非它们也被更新以便在新环境中运行。xME上海网站建站_上海网站制作_上海网站设计_TOPSSEO企业网站建站

影响WordPress升级版本的另一个问题是无法上传CSV文件。  根据全职WordPress撰稿人的说法,有必要禁用CSV文件的上传。xME上海网站建站_上海网站制作_上海网站设计_TOPSSEO企业网站建站

 xME上海网站建站_上海网站制作_上海网站设计_TOPSSEO企业网站建站

官方WordPress网站上的讨论的屏幕截图在创建合适的错误修复程序之前,会暂时禁用WordPress上的CSV文件。

你应该升级吗?

是的,你应该立即升级。许多WordPress网站都在自动升级。如果此时未升级到4.9.9或5.0.1,则应立即启动更新。更新很简单,只需转到您的WordPress仪表板,就应该有一个公告。 xME上海网站建站_上海网站制作_上海网站设计_TOPSSEO企业网站建站

漏洞有多糟糕?xME上海网站建站_上海网站制作_上海网站设计_TOPSSEO企业网站建站

应该认真对待这些漏洞。使用过时版本的WordPress可能会让您遇到黑客攻击事件。xME上海网站建站_上海网站制作_上海网站设计_TOPSSEO企业网站建站