WordPress недавно выпустил несколько обновлений для исправления проблем с безопасностью. Версия 6.9.2 изначально была направлена на исправление десяти уязвимостей, но вызвала сбой в работе некоторых веб-сайтов. Быстрое исправление, версия 6.9.3, последовало за этим, но оно не полностью решило все проблемы. Сегодня WordPress выпустил версию 6.9.4 для устранения оставшихся уязвимостей.
Купил акции на все деньги, а они упали? А Илон Маск снова написал твит? Знакомо. У нас тут клуб тех, кто пытается понять этот цирк и не сойти с ума.
Купить на падении (нет)Как цифровой маркетолог, я внимательно следил за недавними обновлениями безопасности WordPress. Wordfence выделил четыре уязвимости средней степени серьезности, а WordPress.org опубликовал полный список из десяти, включая одну, возникшую из сторонней PHP-библиотеки. Важно быть в курсе этих проблем, чтобы защитить свои сайты и клиентов.
Как эксперт WordPress SEO, я хотел сообщить вам, что WordPress выпустил версии 6.9.2 и 6.9.3 вчера. Эти обновления важны, поскольку они исправляют 10 проблем безопасности и ошибку, которая, хотя и затрагивала небольшое количество сайтов, могла вызвать проблемы с загрузкой шаблонов. Я настоятельно рекомендую обновить ваши сайты как можно скорее, чтобы обеспечить безопасность и бесперебойную работу – это быстрый процесс, который может предотвратить потенциальные головные боли в будущем.
Как вебмастер, который внимательно следит за происходящим, я хотел сообщить вам, что команда безопасности WordPress обнаружила несколько оставшихся проблем после выпуска 6.9.3. Чтобы решить эти проблемы, они только что выпустили версию 6.9.4 с полным набором исправлений безопасности. Это быстрое обновление, но определенно рекомендуется для защиты вашего сайта.
Поскольку это выпуск, связанный с безопасностью, рекомендуется немедленно обновить ваши сайты.»
Хронология сбоев WordPress-сайтов
После недавнего обновления безопасности несколько пользователей WordPress столкнулись с падениями сайтов. В онлайн-дискуссиях, включая Reddit и официальные форумы WordPress, предполагалось, что проблема заключается в самом обновлении, и некоторые пользователи даже предполагали, что это может быть связано с ошибкой в коде. Эти сообщения начали появляться вскоре после выпуска обновления и описывали различные проблемы с работой веб-сайтов.
WordPress 6.9.2 с темой Crio, обновлён до последней версии.»
Вскоре другие пользователи также сообщили о возникновении тех же проблем. Основной разработчик затем объяснил, что проблема возникла из-за конфликтов с некоторыми темами WordPress и предложил протестировать другую тему, чтобы проверить, решит ли это проблему. Примерно через семь часов автор оригинального сообщения обновил тему, чтобы сообщить, что WordPress выпустил исправление – версию 6.9.3 – для проблем, представленных в версии 6.9.2. Проблема была вызвана не самим обновлением безопасности, а тем, как были запрограммированы определенные темы.
Официальный ответ от WordPress
Недавние сбои сайта, похоже, вызваны некоторыми темами, загружающими файлы способом, не соответствующим стандартным практикам WordPress. Эти темы использовали устаревший метод, который конфликтовал с недавним обновлением. Хотя проблема возникла из-за самих тем, разработчики WordPress быстро выпустили ещё одно обновление для исправления проблемы.
Это обновление устраняет проблему, затрагивающую определенные темы. В частности, оно исправляет проблему, появившуюся в выпуске безопасности 6.9.2, которая вызывала ошибки при загрузке файлов шаблонов этими темами из-за их уникального метода обработки путей к файлам.
Хотя это и не стандартный способ загрузки шаблонов в WordPress, недавняя проблема вызвала сбои в работе некоторых веб-сайтов. Команда WordPress выпускает версию 6.9.3, чтобы быстро исправить это. Если ваш сайт использует затронутую тему, обновление до 6.9.3 восстановит нормальную функциональность.
Wordfence Advisory
Wordfence недавно поделился информацией о четырех уязвимостях в системе безопасности, оценив их серьезность от 4.3 до 6.4 из 10 (где 10 — наиболее критичный показатель). Чтобы воспользоваться этими уязвимостями, злоумышленнику сначала потребуется получить доступ к учетной записи WordPress, начиная с базовой роли подписчика и заканчивая правами администратора.
Список из четырех уязвимостей, описанных Wordfence:
- Уровень серьезности CVSS 4.3
WordPress 6.9 – 6.9.1 – отсутствует авторизация для аутентифицированного (подписчика+) создания произвольных заметок через REST API - Оценка серьезности CVSS 4.3
WordPress <= 6.9.1 – Отсутствие авторизации для аутентифицированных (Автор+) раскрытие конфиденциальной информации через AJAX-endpoint query-attachments - Оценка серьезности CVSS 4.4
WordPress <= 6.9.1 – Аутентифицированная (Администратор+) Сохраненная Межсайтовая Скриптовая Атака (XSS) через элементы навигационного меню. - Уровень серьезности CVSS 6,5
WordPress <= 6.9.1 – внедрение аутентифицированного (Автор+) внешнего объекта XML через загрузку носителя библиотеки getID3
Предупреждение Wordfence о наиболее серьезной уязвимости, оцененной в 6.5/10, описывало недостаток:
В WordPress обнаружена уязвимость в системе безопасности, которая может позволить злоумышленникам внедрять вредоносный код через XML-файлы. Эта уязвимость затрагивает все версии WordPress до и включая 6.9.1 и вызвана конкретной настройкой, которая некорректно разрешает обработку определенных типов XML-кода. Проблема заключается в библиотеке под названием getID3, которая поставляется вместе с WordPress.
WordPress может быть уязвим к проблемам безопасности при обработке определенных медиафайлов (например, WAV, RIFF и AVI), содержащих XML-информацию. Компонент под названием getID3, используемый для чтения этой информации, настроен таким образом, что вредоносные файлы потенциально могут получить доступ к файлам с сервера. Злоумышленник с базовыми правами редактирования может использовать это для чтения конфиденциальных файлов на сервере.
Это полный список из десяти уязвимостей:
- A Blind SSRF issue
- Уязвимость PoP-цепи в HTML API и Block Registry
- Уязвимость к DoS-атаке через регулярные выражения в числовых ссылках на символы.
- Сохранённая XSS в навигационных меню.
- Обход авторизации при использовании AJAX-запросов к вложениям.
- Сохранённая XSS через директиву data-wp-bind
- XSS, позволяющая переопределять клиентские шаблоны в админ-панели.
- Уязвимость обхода пути в PclZip
- Обход авторизации в функции Notes.
- XXE в внешней библиотеке getID3
WordPress рекомендует немедленно обновить.
Степень серьёзности оставшихся шести уязвимостей пока не ясна, но те, которые были выявлены Wordfence, считались умеренно серьёзными и потребовали бы от злоумышленника сначала получить доступ как пользователь. Несмотря на это, WordPress настоятельно рекомендует всем владельцам веб-сайтов немедленно обновиться до версии 6.9.4.
Смотрите также
- Акции EUTR. ЕвроТранс: прогноз акций.
- 11 лучших бесплатных и платных курсов по цифровому маркетингу (2024 г.)
- Google: #1 Запуски Google Ads в 2025 году
- Панель знаний в стиле карточек Google Tests. Дизайн рабочего стола.
- Обновление ядра Google за декабрь 2024 г. уже доступно — что мы видим
- You.com внедряет размещенную в США модель искусственного интеллекта DeepSeek
- 70% медиакомпаний не используют ИИ в полной мере — так говорится в отчете IAB
- Акции ROLO. Русолово: прогноз акций.
- Поиск релевантных тем в Google
- Акции NOMP. Новошип: прогноз акций.
2026-03-11 21:10