WordPress phát hành phiên bản bảo mật WordPress 5.2.4

Mới đây vào Ngày 14/10/2019 một nhóm WordPress cốt lõi đã phát hành phiên bản vá lỗi bảo mật WordPress 5.2.4. Hãy cùng AZDIGI cập nhật những thay đổi của phiên bản này nhé.

WordPress 5.2.4 có những thay đổi gì?

Với phiên bản này, WordPress sẽ khắc phục được 6 vấn đề bảo mật được báo cáo riêng tư thông qua thủ tục tiết lộ trách nhiệm WordPress từ các phiên bản 5.2.3 trở về trước.

Lưu ý: Người dùng nên cập nhật ngay lên phiên bản mới nhất để giữ an toàn cho trang web của mình.

Riêng đối với những người có bật tính năng tự động cập nhật sẽ được cập nhật từ phiên bản 3.7 lên 5.2 với phiên bản mới nhất. Trường hợp các phiên bản cập nhật không bật tự động người dùng nên cập nhật từ màn hình cập nhật trực tuyến trên đường dưới của Dashboard trong quản trị viên WordPress.

Cách khác, người dùng cũng có thể tải xuống từ kho lưu trữ phát hành và tự chạy bản cập nhật để đảm bảo trang web của bạn không gặp rủi ro với các lỗ hổng công khai.

6 vấn đề được giải quyết trong phiên bản WordPress 5.2.4.

Phiên bản WordPress 5.2.4 được xem là phiên bản giúp giải quyết những lỗi bảo mật gặp phải trong các phiên bản 5.2.3 trở về trước. Cụ thể với phiên bản này, WordPress sẽ giải quyết 6 lỗi về vấn đề bảo mật:

  1. Lỗ hổng Stored XSS có thể chèn trực tiếp từ giao diện Customizer.
  2. Lỗ hổng có thể cho phép chèn đoạn mã nguy hiểm để khai thác XSS từ thẻ <style>.
  3. Lỗ hổng có thể xem được bài viết dạng riêng tư (private) và bài nháp (draft).
  4. Lỗ hổng để khai thác thẻ Vary: Origin vào việc tấn công theo phương thức Cache Poisoning.
  5. Xuất hiện lỗ hổng có thể khai thác để tấn công theo phương thức Server-side Request Forgery (SSRF).
  6. Sửa lỗi xác thực đường dẫn chuyển tiếp trong WordPress Admin, việc xác thực này sẽ giúp website xác định chắc chắn người dùng phải được chuyển tiếp từ một đường dẫn nào đó trong trang admin.

Để tìm hiểu sâu hơn về các thay đổi của mã, bạn có thể tìm hiểu bộ thay đổi có sẵn trên Github.

Hầu hết các thay đổi sẽ không ảnh hưởng đến Plugin hay Theme. Điều đáng chú ý thuộc tính truy vấn tĩnh đã bị xóa trong phiên bản này. Việc loại bỏ này sẽ ảnh hưởng đến lớp WP và WP_Query. Vì thế các nhà phát triển nên kiểm tra các plugin của bạn so với phiên bản này để đảm bảo không bị hư hỏng hay bị bất kì một sự cố này.

Là một trong những đơn vị cung cấp các giải pháp công nghệ hosting, VPS, chứng chỉ bảo mật SSL. AZDIGI đang trở thành một địa chỉ tin cậy giúp khách hàng trải nghiệm các dịch vụ công nghệ bảo mật, ổn định và tốc độ cao.

Tìm hiểu thêm các dịch vụ cảu AZDIGI ngay tại đây: https://azdigi.com/

Tài liệu: bài viết được tham khảo tại trang web WordPress.com

30 Shares:
Trả lời

Email của bạn sẽ không được hiển thị công khai. Các trường bắt buộc được đánh dấu *

Có thể bạn cần xem