Сегодня был выпущен WordPress 3.8.2 с несколькими важными исправлениями безопасности, которые требуют немедленного обновления. Если у вас включены фоновые обновления , вы должны получить выпуск безопасности 3.8.2 в течение 12 часов. Конечно, вы всегда можете сразу обновить через Dashboard > Update в админке.
Эндрю Насин рассказал о важных исправлениях безопасности в этом выпуске. Вкратце, они таковы:
- Исправлена уязвимость, которая могла позволить злоумышленнику проникнуть на ваш сайт, подделав файлы cookie аутентификации.
- Исправление, предотвращающее неправильную публикацию сообщений пользователем с ролью участника.
- Обновите, чтобы передавать дополнительную информацию при обработке пингбэков, чтобы помочь хостам выявлять потенциально оскорбительные запросы.
- Исправляет незначительное внедрение SQL доверенными пользователями.
- Предотвращает возможный междоменный скрипт через Plupload, стороннюю библиотеку, которую WordPress использует для загрузки файлов.
Эти проблемы безопасности были незаметно раскрыты команде безопасности WordPress, но теперь, когда они стали достоянием общественности, очень важно обновить ваши сайты до последней версии.
Первая версия безопасности WordPress выпущена в виде фонового обновления
В ходе предоставления обновления безопасности 3.8.2 также был выпущен выпуск 3.7.2, который включает те же исправления для сайтов, которые все еще работают на 3.7.1.
Теперь мы вступили в новую эру обновлений безопасности WordPress, когда на сайтах с более старыми версиями могут быть включены автоматические обновления. Передача тех же самых обновлений безопасности, где это возможно, имеет смысл.
Я спросил Начина, как давно команда планирует выпускать обновления безопасности для сайтов, на которых работают старые версии WordPress. «Мы не хотим, чтобы сайты оставались на старых версиях, — сказал он. «Но, очевидно, трудно упустить возможность обеспечить их безопасность».
Не существует жесткого и быстрого набора правил относительно того, как далеко будут распространяться обновления безопасности, но Насин говорит, что они будут продолжать делать все, что в их силах. «Это был первый выпуск системы безопасности, поставляемый в виде фонового обновления, поэтому для нас он тоже новый, — сказал он. «Но я ожидаю, что мы сделаем все возможное, чтобы обеспечить безопасность сайтов».
Пока что автоматические обновления идут довольно хорошо:
За 15 минут после падения WordPress 3.8.2 было автоматически обновлено 230 000 установок WordPress.
За последний час мы предоставили около 800 000 обновлений. Все сайты получили инструкции по обновлению; они проверяют каждые 12 часов.
Еще цифры: 1,2 миллиона сайтов WordPress автоматически обновились за последние 97 минут.
T плюс два часа: 1 446 176 обновлений. В этот момент я перешел от «нервного срыва» к «доставке шампанского». В конце концов, это не будет новостью.
Первый релиз-кандидат для 3.9 также был разослан вслед за обновлением безопасности 3.8.2. Вы можете ожидать официальный выпуск 3.9 на следующей неделе, 16 апреля.
