077-5452546 פנה לתמיכה   כניסת לקוחות
Menu

וורדפרס - עדכון גירסה 5.8.3

ראשי \ וורדפרס – עדכון גירסה 5.8.3

ב- 6 בינואר שוחרר עדכון אבטחה חשוב עבור הליבה של וורדפרס. עדכון אבטחה זה מטפל בארבע נקודות תורפה נפרדות. למנהלי אתרי וורדפרס מומלץ לעדכן את האתרים שלהם באופן מיידי לגירסת וורדפרס 5.8.3. כל גרסאות וורדפרס בין מהדורות 3.7 ל-5.8 מושפעות מעדכון אבטחה זה הכולל טיפול בפרצת אבטחה שאפשרה הזרקת SQL, פרצת XSS והחדרת אובייקטים. למרבה המזל, לרוב הפגיעויות הקיימות בליבת וורדפרס שתוקנו בעדכון האחרון הזה יש תנאים מוקדמים לניצול פעיל. ברוב המצבים לא סביר שהם יגרמו לפגיעה ממשית באתר, אלא אם כן נעשה בהם שימוש בשילוב עם פלאגינים פגיעים אחרים.

תיקוני האבטחה של גירסת וורדפרס 5.8.3 מתייחסים למצב בו האקר או בעל חשבון אדמין שקיים באתר עלול ליצור כותרת זדונית של פוסט באמצעות תווים מיוחדים כדי לבצע התקפה על הדפדפן של הקורבן. האקר או בעל חשבון אדמין שנפרץ באתר יכול לבצע התקפה כזו על התקנת וורדפרס לא מעודכנת וזו תזכורת למה כל כך חשוב לנעול את פאנל ניהול וורדפרס עם אימות דו שלבי או אחר מנגנון אבטחה נוסף.

לגבי הזרקת אובייקטים בהתקנת וורדפרס מרובת אתרים: למרבה המזל, בעיה זו משפיעה רק על התקנות מרובות אתרים של וורדפרס מלפני לא מעט שנים (גרסה 2.8), כך שזה ישפיע רק על תת-קבוצה זעירה של אתרי וורדפרס פעילים ולא סביר שיגרום לשום סוג של סיכוני אבטחה.

WP_Tax_Query – פגיעות נוספת שטופלה בעדכון האבטחה האחרון של וורדפרס עלולה לגרום להזרקת SQL. עד כה פרטי הוכחת הרעיון בפועל נותרו בלתי נחשפים, אך נראה שהבעיה תופיע רק בתוספים או ערכות עיצוב המשתמשות בפונקציה זו בצורה מסוימת. זה יצביע על כך שדרישות מוקדמות מסוימות צריכים להתקיים כדי שפרצת האבטחה תנוצל בתרחיש אמיתי, כך שהסיכוי שייעשה בו שימוש לפגיעה באתר עשוי להיות נמוך.

פגיעות של הזרקת SQL ב-WP_Meta_Query – הפגיעות הרביעית והאחרונה שטופלה בעדכון וורדפרס האחרון היא שיפור נוסף לווידוא ניקיון הנתונים. גם כאן נראה שדרישות מוקדמות מרובות תצטרכנה להתקיים כדי שתתרחש מתקפה אמיתית שתגרום להזרקת SQL.

למרבה המזל, כל ארבע נקודות התורפה נמצאו על ידי חוקרי אבטחת וורדפרס לפני שהאקרים הצליחו לנצל אותם בפועל (עד כמה שידוע). גרסאות 3.7 עד 5.8 של וורדפרס עודכנו, כך שאם מתקבלות אזהרות מסוג "קבצי ליבה שונו" מכל תוסף אבטחה של וורדפרס שנמצא בשימוש באתר, מומלץ מאד לבדוק אם עדכון האבטחה היה הסיבה. בעלי אתרים בגרסה ישנה של וורדפרס עקב קוד מותאם אישית בערכת העיצוב או בתוספים שאינם יכולים לבצע את עדכון הגירסה – מומלץ עבורם לשקול להשתמש בחומת אש כדי להבטיח שהאתר לא יושפע מפגיעויות אלו.