Během středy (11.06.2020) byl váš WordPress aktualizován na verzi 5.4.2 (případně jinou minor verzi, pokud 5.4 zatím ještě nepoužíváte – 5.3.4, 5.2.7, 4.9.15 apod.). Takto aktualizace byla označena jako bezpečnostní a přinesla i některé plánované opravy spojení s údržbou.

Opravené bezpečnostní zranitelností

Všechny objevené a opravené zranitelnosti vyžadovaly alespoň základní přístup do administrace a možnost editovat příspěvky. Pokud do administrace kromě vás nemá nikdo další přístup, tak je nepravděpodobné, že by mohlo dojít ke zneužití.

  • Byla opravena chyba, která umožňovala vkládat JavaScript do bloků uživateli s právy editovat příspěvky (uživatel s oprávněním edit_posts).
  • Byl ošetřen vstup pro pole popisku mediálního souboru, který umožňoval do něj vložit JavaScript. Toto mohli provádět pouze uživatelé s oprávněním nahrávat média (oprávnění upload_files).
  • Opravena chyba s open redirect ve funkci wp_validate_redirect(), která za určitých hodně specifických okolností umožňovala přesměrovat návštěvníka na stránku útočníka. K zneužití však bylo potřeba využít ještě další zranitelnost.
  • Byla opravena chyba, která umožňovala při nahrávání šablony vložit JavaScript do názvu CSS rozbité šablony. Tento JavaScript pak šel spustit přes Vzhled – Přizpůsobit. Pro tento útok však bylo nutné mít vysoká oprávnění nahrávat anebo editovat šablony (install_themes, edit_themes).
  • Chyba ve set-screen-option umožňovala přes zranitelný plugin získat administrátorská oprávnění. V současné době není v komunitě WordPress známý žádný případ takovéhoto zneužití.
  • Objevena a opravena chyba, která přes widget “Poslední komentáře” umožňovala přístup ke komentářům příspěvků chráněných heslem.

Možné problémy

Aktualizace 5.4.2 je malou aktualizací, takže nepřináší nějaké novinky, které by mohly ve velkém ovlivnit funkčnost pluginů anebo šablon.

Automatická aktualizace neproběhla

Automatická aktualizace probíhá na základě toho, že WordPress zavolá domů a pokud existuje aktualizace, tak si jí stáhne a provede aktualizaci. Pokud během tohoto procesu dojde k chybě, například je zablokován přístup na servery WordPress.org, tak je třeba provést aktualizaci ručně.

Klikněte v levém menu na Nástěnku, Aktualizace a tlačítko Aktualizovat. Proces aktualizace probíhá v závislosti na rychlosti a vytížení webhostingu 20 – 40 vteřin.

Zaseknutá instalace – Web je dočasně nedostupný kvůli plánované údržbě. Zkuste to prosím za chvíli znovu

Aby měl WordPress klid na provedení aktualizace, tak celou instalaci vypne pomocí vytvoření souboru .maintenance v hlavním adresáři instalace. Občas se stane, že tento soubor není smazán a WordPress nefunguje. V tomto případě je třeba přihlásit se přes FTP a smazat jej ručně.

Více informací najdete v článku: Chyba u WordPress – Web je dočasně nedostupný kvůli plánované údržbě

Zdroje

Napsat komentář

Vaše emailová adresa nebude zveřejněna. Vyžadované informace jsou označeny *