Wordpress 4.2.3更新 修复高危XSS漏洞

近日,Wordpress新版本发布了。据悉,Wordpress 4.2.3版本修复了旧版中存在的高危(Cross-Site Scripting),黑客可利用该漏洞入侵网站,数百万站点存在安全隐患。

何为XSS漏洞?

XSS:即跨站脚本攻击,XSS漏洞是Web应用程序中最常见的漏洞之一,攻击者在Web应用中嵌入恶意HTML、Javascript、Flash等代码,并绕过Wordpress的安全防护,当用户浏览被入侵网页时,恶意代码便会自动执行,从而达到恶意攻窃、并窃取用户信息的目的。

跨站脚本(XSS)漏洞确实是web应用程序中的一个漏洞,大多发生在有针对性的网络攻击中。跨站脚本(XSS)漏洞也是近来比较受网络犯罪者推崇的一个漏洞。

攻击者可以利用该漏洞在web应用程序中嵌入恶意HTML、java script、Flash等,绕过的kses防护,然后在其系统上执行恶意脚本。

执行恶意脚本不是最终目的,搜集用户敏感信息才是初衷,在恶意脚本执行之后,系统上存储的cookies都会被攻击者窃取

本周四,Wordpress团队在官博中表示,网站的作者或是投稿者皆可利用该XXS漏洞发起攻击,入侵网站。并建议站长尽快升级至新版Wordpress(即WordPress 4.2.3)。

WordPress官方并未透露更多该漏洞的细节资料,只是称Wordpress 4.2.2及之前版本的Wordpress程序皆存在这一风险,并呼吁用户尽快升级至新版本,同时还强调“开启自动的用户不需担心该问题。”

开启自动

4.2.2版本之前的均存在该漏洞,强烈建议CMS用户尽快将其wordpress更新到4.2.3版本(最新版),另外还建议用户启用自动更新功能。

根据自己的实际需要,在根目录下的 wp-config.php 添加下面任何一种配置:

# 禁用所有类型的核心更新(每夜更新、小版本和大版本更新)
define( 'WP_AUTO_UPDATE_CORE', false );
 
# 启用所有类型的核心更新(每夜更新、小版本和大版本更新)
define( 'WP_AUTO_UPDATE_CORE', true );
 
# 启用小版本核心自动更新(WordPress 3.7+默认)
define( 'WP_AUTO_UPDATE_CORE', 'minor' );
 
# 启用大版本核心自动更新
define( 'WP_AUTO_UPDATE_CORE', 'major' );

推荐启用所有类型更新!以保证漏洞在第一时间修复!