آزمایشگاه تخصصی آپا دانشگاه فردوسی مشهد::FUM CERT Lab. (Computer Emergency Response Team)

Wordpress 4.9.1 با به‌روزرسانی‌ برای ارتقای امنیت شروع به کار کرد

عنوانWordpress 4.9.1 با به‌روزرسانی‌ برای ارتقای امنیت شروع به کار کرد
گروه اصلیWeb Applications
شرح خبر

 

به‌روزرسانی 4.9.1  از سیستم متن باز مدیریت محتوا و وبلاگ نویسی وردپرس در 29 نوامبر منتشر شد و بهبودهایی برای برطرف‌سازی باگ‌ها و مشکلات امنیتی به کاربران ارائه داد.

امروزه وردپرس یکی از وسیع‌ترین فناوری‌های CMS مستقر شده بر روی اینترنت می‌باشد، که بر مبنای برخی برآوردها، 25% وب‌گاه‌ها و حتی درصد بیشتری از آن‌ها را، قدرتمند می‌سازد. بهبودهای امنیتی گنجانده شده در به‌روزرسانی 4.9.1 با یک شناسه CVE مشخص نشده‌اند، و به عنوان بهبودهایی برای تضمین امنیت در نظر گرفته می‌شوند.

John Blackbouurn، توسعه دهنده وردپرس در یک پست وبلاگی نوشت: «وردپرس 4.9 و نسخه‌های قدیمی‌تر در معرض 4 معضل امنیتی بودند و به‌طور بالقوه می‌توانستند به عنوان بخشی از یک حمله چندجهته (multi-vector) مورد سوء استفاده قرار گیرند.»

در میان بهبودهای ارتقای امنیتی گنجانده شده در به‌روزرسانی 4.9.1 وردپرس، استفاده از یک hash درست تولید شده، توسط تابع کلید newbloguser، که برای تعریف کاربران جدید کاربرد دارد، قرار گرفته است. کد ارائه شده برای تغییرات، نشان‌دهنده این است که پیش‌تر یک زیررشته مشخص برای کلید newbloguser مورد استفاده قرار می‌گرفت، که امنیت چندانی نداشت.

ویژگی‌های بیشتری نیز به منظور تقویت وردپرس 4.9.1 به آن اضافه شده از جمله: استفاده مناسب از کد فرار (escape)، به ویژگی‌های زبانی استفاده شده در عناصر html. توسعه‌دهندگان وردپرس در بروز رسانی 4.9.1 اقداماتی نیز در راستای حصول اطمینان از اینکه ضمائم ویژگی‌های RSS feed به خوبی فرار کردند، گنجانده شده است. فرآیند «فرار» داده‌های کاربر، روشی شناخته شده برای امنیت کد می‌باشد.

وردپرس در اسناد مرتبط با کد توضیح داده است: «فرار به این معناست که داده‌هایی که در اختیار دارید، پیش از ارائه به کاربر نهایی، ایمن گردد.»

وردپرس همچنین با حذف قابلیت بارگزاری فایل‌های javascript، برای کاربرانی که قابلیت اجرای "unfiltered_html" را ندارند، امنیت را ارتقا داده است. طبق گفته وردپرس، unfiltered_html به کاربران این امکان را می‌دهد تا کدهای html یا حتی javascript را در صفحات، پست‌ها، نظرات و ویجت‌های وردپرس قرار دهند.

وردپرس در مستندات کد، برای نقش‌ها و قابلیت‌ها هشدار می‌دهد: «فعال‌سازی این گزینه برای کاربران غیر معتبر، ممکن است منجر به ارسال کد مخرب یا دارای قالب‌بندی ضعیف شود.»

نسخه وردپرس 4.9.1 اولین به‌روزرسانی افزایشی به وردپرس 4.9 می‌باشد، که در تاریخ 16 نوامبر در دسترس عموم قرار خواهد گرفت. نسخه وردپرس 4.9، Tipton نام گرفته، که از نام رهبر گروه و نوازنده جاز، Billy Tipton گرفته شده است.

وردپرس 4.9 تعدادی قابلیت جدید اضافه کرده، از جمله: بهبودهایی برای سفارشی‌سازی سایت، که به مدیران این امکان را می‌دهد تا برای زمانی که تغییرات طراحی سایت باید ارائه شود، برنامه‌ریزی کنند. به‌روزرسانی وردپرس 4.9 دومین انتشار بزرگ وردپرس در سال 2017 بود، که به دنبال بروزرسانی 4.8 که در 8 ژوئن منتشر شد، ارائه گردید.

آدرس اینترنتی خبرhttp://www.eweek.com/security/wordpress-4.9.1-debuts-with-updates-to-harden-security
تاریخ درج خبر1396-09-18
صفحه اصلی | تماس با ما | معرفی آزمایشگاه | ورود
©2018 Ferdowsi University Of Mashhad
مرکز آپا | آپا | آپا چیست