Marknadsföring, Sökmotoroptimering, Design & Utveckling

Kritisk WordPress-uppdatering släppt!

Wordpress uppdatering sqlKör du WordPress? Lyd då denna enkla uppmaning: 1. Ställ långsamt ifrån dig kaffekoppen. 2. Logga in i adminpanelen. 3. Uppdatera din WordPress-installation till version 4.8.3 och andas ut. Och gör det nu, hoppa över alla ”jag ska bara …”-undanflykter du brukar ha för inte ta tag i uppdateringar. Så, det var en enkel inledning på ett blogginlägg en regnig torsdag.

Nu kanske det är på sin plats att berätta varför det var så viktigt att uppdatera just i dag (det är förvisso ALLTID viktigt). Förra månaden släppte WordPress version 4.8.2, som bland annat innehöll en patch som skulle skydda mot en allvarlig SQL-injection-sårbarhet (CVE-2017-14723), som i värsta fall kunde ge en angripare full kontroll över en webbplats, genom att injicera skadliga SQL-databaskommandon. Dessvärre visade det sig att patchen bara åtgärdade vissa delar av sårbarheten och dessutom förvärrade det underliggande säkerhetsproblemet för miljontals webbplatser och ”knäckte” ett stort antal WordPress-plugins från tredje part. Bland annat meddelade Wordfence, som levererar säkerhetslösningar för WordPress, att den ursprungliga WordPress-patchen fick deras plugin att sluta fungera och skapade ”stor huvudvärk för pluginutvecklare som oss.”

Anthony Ferrara, teknikchef på Lingo Live, var den som upptäckte missen och han rapporterade det omgående till WordPress säkerhetsteam.

”Jag skickade in en sårbarhetsrapport och meddelade dem att deras fix inte är en fix och föreslog att de ska återställa allt och åtgärda det korrekt (med medföljande detaljer om hur det bäst åtgärdas)”, skriver Anthony Ferrara.

Tyvärr möttes han av tystnad eller en mild form av ignorans från WordPress under flera veckors tid, och den som vill kan följa hans frustrerade försök att få respons på hans blogg. Det verkar inte bättre än att WordPress skyndade på uppdateringen först när Ferrara hotade med att gå ut offentligt med det han upptäckt.

”Det stod snabbt klart för mig att släppa en partiell patch faktiskt var värre än ingen patch alls, av många skäl. Så jag bestämde mig för det enda sättet att få WordPress team att inse den fulla omfattningen av problemet var att offentliggöra mina uppgifter. Jag började processen med att gå offentligt genom att be hostar och pluginutvecklare kontakta mig så att vi kunde samordna releasen”, skriver Ferrara.

Men dagen efter att han meddelat WordPress om att han tänkte gå ut med det, fick han svaret ”vi har en uppdatering redo i morgon”. Sagt och gjort, nu finns i alla fall en uppdatering som ska lösa problemet som påverkar alla versioner från 4.8.2 och bakåt. WordPress tackar på sin webbplats Ferrara för hans insats och betonar hur viktigt det är alla omedelbart uppdaterar. Anthony Ferrara är också lite nöjdare i efterhand, och hoppas att en sådan här incident kan få WordPress att ytterligare steppa upp sitt säkerhetsarbete.

”Kärnfrågan är mildrad. Mitt perspektiv på interaktionen var länge frustrerat, men blev betydligt bättre mot slutet. Jag var besviken en stor del av de senaste sex veckorna. Jag är nu försiktigt hoppfull.”

Tyvärr vet vi att många kör betydligt äldre versioner än 4.8.2, vilket betyder att de även har många andra äldre sårbarheter i sina installationer. Se till att uppdatera nu, och gör det till en sund vana i framtiden. Det är värt det på alla sätt.

Den här artikeln är skriven utav Binero och hämtad från: Klicka här för att gå till orginal