Вийшов WordPress 2.1.2

20:11 13.03.2007

На початку місяця, 02.03.2007, вийшла нова версія WordPress 2.1.2. Як повідомляється на офіційному сайті в записі “WordPress 2.1.1 dangerous, Upgrade to 2.1.2″, всім користувачам WP 2.1.1 варто оновити свій движок до версії 2.1.2.

Не одразу звернув увагу на цю подію, в зв’язку з власними проблемами з доступом в інтернет, які в мене тягнуться вже 12 діб, і, як виявилося, у Вордпресовців також є проблеми. Про що і повідомляю, бо це доволі серйозна новина - жара ще та, не одним Місяцем багів в PHP видався березень.

Головна причина виходу цієї версії полягає в тому, що сервер розробників WordPress був похаканий (це міг зробити як зовнішній зловминсник, так й інсайдер) та були змінені деякі файли в архиві з версією WP 2.1.1 - зловмисник встановив секюріті експлоіт в код движка. Інші версії WP не постраждали. Тому всім хто викачував дану версію наприкінці лютого - початку березня дуже рекомендується оновити свій движок до версії 2.1.2.

Цей факт був виявлений одним з користувачів WP, який як раз скачав дану версію і примітив підозрілий та некоректний код. Й повідомив розробникам движка. Які перевіривши даний код прийшли до висновку, що це експлоіт і випустили оновлену версію WP. Даний експлоіт надавав зловмиснику можливість проводити Remote PHP Execution атаки.

В новій версії додані деякі невеличкі виправлення та повністю перевірений код всіх файлів движка. А також розробники WordPress провели додаткові організаційні та технічні заходи на сервері для покращення його безпеки. І вони обіцяють прикласти всіх зусиль, щоб подібне більше не повторилося (у тому числі і за рахунок постійної зовнішньої перевірки опублікованих дистрибутивів).


5 відповідей на “Вийшов WordPress 2.1.2”

  1. trovich каже:

    Ви досі користуєтесь WP? Тоді ми йдемо до вас… WP - це Windows серед блоґів. Якщо не серед CMS загалом. Дуже популярна і дуже дірява.

  2. минич каже:

    2 trovich.
    Тогда скажите пожалуйста, какая CMS является unix’ом среди блогов. Просветите народ.

  3. trovich каже:

    2 минич:
    Особисто я не знаю такої аналогії. І не бачу причин чому вона мусить бути.

  4. MustLive каже:

    trovich

    WP люди користуються, як ти і сам казав, цей движок популярний. В тому числі і я ним користуюся (та ще чимало секюріти проектів в Інтернеті). Тому це движок не тільки популярний серед блогів, але й зокрема серед проектів секюріті тематики. А власники цих проектів безпекою займуться, на то й вони секюріти проекти, та і вони чимось керувалися, коли вибирали саме цей движок для свого проекту.

    Ти взагалі гуморист - в мене на сайті на WP ще й наїжджаєш на WP :D

    Але тим не менш, движок дірявий, я знаю про це з власного досвіду та сам неодноразово писав про дірки в WP. Тому й всім користувачам Вордпреса раджу слідкувати за безпекою та оновлювати двиг. Бо з кожною новою версією чимало дірок виправляється та поліпшується безпека. Нещодавно ось вийшов WordPress 2.2 - це остання версія движка, в котрій було виправлено чимало багів та дірок, та додано безліч нових функцій.

  5. MustLive каже:

    минич

    Твоє питання актуальне. Усім веб девелоперам, котрі розробляють движки або ж користуються різними движками, було б цікаво знати саме про цей аспект - які движки є більш безпечними (і котрий є самим безпечним).

    В записі Найбільш безпечний движок для сайта я писав про результати проведеного опитування на секлабі на цю тему. Так ось, в результаті майже половина (44,84%) опитаних заявили, що найбільш безпечний движок - це власноруч написаний движок. Тому ознайомтесь з даним записом.

    Хлопці, минич та trovich, якщо вам цікаво то можна більш детально обговирити цю тему. Наприклад провести опитування (тільки по движкам), який движок вам видається найбільш безпечним. І вияснимо, кому ж найбільше довіряють сьогодні веб розробники.

Leave a Reply

You must be logged in to post a comment.