Messze százmillió fölött van azoknak az oldalaknak a száma, amelynek alapját a WordPress tartalomkezelő rendszer adja. A népszerűség átka persze az, hogy emiatt az ilyen oldalak a kiberbűnözők kiemelt célpontjává váltak.

A WordPress esetében is legtöbbször olyan sérülékenységeket használnak ki a támadók, amiket automatizált módon is ki lehet használni, még ha olykor brute force módszereket is kell alkalmazniuk – írta a Biztonságportál.

Az elmúlt évben két jelentősebb hibát is kiszűrtek a rendszerben. Tavaly augusztusban a Zscaler kutatói figyeltek fel arra, a WordPress egyik biztonsági hibáját kihasználva az ilyen weboldalakon keresztül terjesztették tömegesen a Neutrino exploit kitet. Ez a kiberbűnözők egyik legfelkapottabb exploitja, amelybe nagyon gyorsan belekerül minden új lehetőség, amivel akár a nulladik napi sérülékenységek is kihasználhatók.

Néhány hónappal később a Sucuri webbiztonsági vállalat fedezett fel egy támadássorozatot. A kiberbűnözők egy XML-RPC (remote procedure call) sérülékenységen keresztül brute force technikákkal támadtak WordPress-alapú weboldalakat. Az XML-RPC, amit egyébként több tartalomkezelő is támogat, a HTTP protokollon keresztül biztosít távoli eljáráshívásokra lehetőséget.

Most nem csak a biztonság javult

A mostani frissítés, a 4.4.1-es kiadás mindössze egy komolyabb sérülékenységet szüntet meg. A biztonsági résről egyelőre kevés információt közöltek a WordPress oldalán. Mindössze annyi információ került nyilvánosságra, hogy egy XSS (Cross Site Scripting) típusú hibáról van szó, amely jogosulatlan műveletvégrehajtásra vagy adatlopásra adhat módot. A sebezhetőséget az egyik Fülöp-szigeteki biztonsági cég jelezte a HackerOne platformon keresztül.

Az új verzió azonban nem csak a biztonsági rés befoltozása miatt fontos. A fejlesztők közlése szerint javítottak 52 olyan hibát is, amely ugyan biztonsági szempontból kevésbé kockázatos, de a rendszer működésében okozhatott fennakadásokat.

A 4.4.1-es kiadásban többek között bővül a támogatott emoji hangulatjelek köre, javítottak az OpenSSL-kezelésen és az URL-kezelésen is. A változások teljes listája a WordPress oldalán található.

Kell frissíteni, de ésszel!

Mivel a WordPress-alapú oldalak jellemzően nem csak az alapcsomagot, hanem hozzáfejlesztett elemeket is tartalmaznak, a frissítés – amit egyébként érdemes mihamarabb elvégezni – komoly odafigyelést igényel. Fennáll ugyanis annak a kockázata, hogy egyes hozzéfejlesztett elemek elvesznek vagy működésképtelenné válnak. Az új WordPress-változatot egy kattintásnyira lehet letölteni.