Posted by MinO | 0 comments

Σοβαρό κενό ασφαλείας σε WordPress sites

wordpress twentyfifteen

Όσοι διαχειρίζονται ένα WordPress site θα πρέπει να είναι πολύ προσεκτικοί καθώς αποκαλύφθηκε ένα κενό ασφαλείας που ενδέχεται να τους επηρεάσει.
Το κενό ασφαλείας επηρεάζει το TwentyFifteen theme και το Jetpack plugin, για τα οποία έχουν σημειωθεί, σύμφωνα με το Engadget, περισσότερες από 1 εκατομμύριο εγκαταστάσεις, επομένως πολλά είναι τα sites εκείνα που κινδυνεύουν.

Το άσχημο είναι ότι με ένα κακόβουλο link, ένας hacker μπορεί να αποκτήσει τον πλήρη έλεγχο ενός site WordPress. Η λύση σύμφωνα με το Engadget, είναι να αφαιρεθεί το αρχείο example.html από τα genericons της εγκατάστασης του WordPress.

Το κενό ασφαλείας το εντόπισε η εταιρεία Sucuri, η οποία και εντόπισε το πρόβλημα στο XSS Theme, ονομάζοντας το κενό ασφαλείας Document Object Model Based XSS, που περιέχουν όλες τις πληροφορίες εκείνες βάσει των οποίων καθορίζεται το πώς θα εμφανίζονται οι τίτλοι, οι επικεφαλίδες και άλλα στοιχεία της εικόνας ενός WordPress site.

Το κακό είναι ότι το εν λόγω bug δεν θα επηρεάσει μόνο εκείνους που χρησιμοποιούν το TwentyFifteen theme, αλλά όλους τους χρήστες WordPress, καθώς το εν λόγω theme είναι ενσωματωμένο στη βάση δεδομένων του WordPress, σύμφωνα με τα όσα αναφέρει το Digital Trends.

Υπηρεσίες hosting, όπως το GoDaddy και το ClickHost έχουν κινηθεί προς την επίλυση του ζητήματος.

[via]

0 comments: