A-A+

[重要]wordpress发布4.2.1紧急更新版本,修复XSS漏洞

2015年04月28日 技术分享 暂无评论 阅读 68911,055 次

因为另外的一个站点之前测试移动端访问页面跳转的问题,被腾讯安全管家判定为危险网站,然后到百度站长平台和安全联盟站长平台检测漏洞,提示有高危漏洞:XSS跨站脚本。

首先怀疑的主题代码的问题,排除主题后,在排查wordpress的源码的时候,发现官方推送了4.2.1紧急更新版本。之前因为在张戈博客了解到4月24日发布的4.2版本有部分所以没有升级wordpress的心版本。然后搜索4.2.1,找到WordPress 非官方中文站4月28日最新发表的两篇文章:

WordPress 4.2惊现存储型跨站脚本漏洞,正在修复中

WordPress 4.2.1安全更新版本发布,修复XSS漏洞

文章详细的说明了WordPress 4.2,4.1.2,4.1.1,3.9.3等版本中发现存储型跨站脚本漏洞(Stored XSS)。
以下为文章的部分内容:

1:WordPress 4.2新版本刚刚发布不久,一个0day组织宣布在WordPress 4.2,4.1.2,4.1.1,3.9.3等版本中发现存储型跨站脚本漏洞(Stored XSS)。利用这一漏洞,未经允许的攻击者可以在评论中插入JavaScript代码。WordPress用户可以安装Akismet反垃圾评论插件阻止这类攻击;也可以暂时关闭网站的评论功能,等待WordPress团队发布更新补丁。

曝光这一WordPress 4.2 XSS漏洞的黑客组织Klikki,他们还发布了一段视频演示了如何利用这一系统漏洞。

曝光者称“”如果(留言中的JavaScript脚本)攻击代码被管理员激活,在WordPress默认设置下,攻击者可以利用插件编辑器或主题编辑器来执行任意代码。

此外,攻击者还可以修改管理员密码,创建新的管理员账户,并且能够执行WordPress管理员所允许的任意操作。

2.WordPress官方团队对此漏洞发表声明:

几个小时前,WordPress团队收到发现XSS漏洞的警告,我们将会于尽快发布更新。这是个核心代码出现的问题;不过受此漏洞影响的网站要比你想象的小很多,因为绝大多数基于WordPress的网站都安装有Akismet反垃圾评论插件,可以组织利用这一漏洞的攻击。在我们修复这一漏洞并进行测试后,WordPress的用户将在未来几个小时内陆续受到自动更新的提示,届时即使没有安装Akismet插件的WordPress网站也会同样安全了。

现在,WordPress团队已经完成了新版本的测试,并且开始推送此更新。如果你没有手动关闭WordPress的自动更新功能,那么你的网站将会(已经)被升级到WordPress 4.2.1;如果关闭了这一功能,你可以直接通过WordPress管理后台的【更新】链接进行升级。

由WordPress团队开发的Akismet反垃圾评论插件,可以阻止绝大部分的垃圾评论,个人用户可以免费使用,使用者已有数百万网站之多。安装Akismet插件的网站受到攻击的概率也会更低,网站更安全。遗憾的是,Akismet服务器在国内无法直接连接,因此需要选择一款托管在国外的虚拟主机服务。

WordPress 4.2.1是个非常重要的安全更新,我们强烈建议各位WordPress中文用户立即进行升级;在升级之前,不要忘记做好备份。

升级方式

1.下载最新版本 WordPress 4.2.1中文版 https://wordpress.org/latest.zip   https://wordpress.org/latest.tar.gz

 

2.登陆网站后台,找到推送的最新版本选择更新。