بعد از گذشت مدتها وردپرس چندی پیش آخرین نسخهی بروزرسانی عمدهی خود را منتشر کرد. این بروزرسانی با نسخهی 5.0 دارای ۷ مشکل اساسی بود که یکی از آنها میتوانست منجر به سرقت رفتن کل وبسایت شود. روز گذشته وردپرس یک آپدیت امنیتی برای اپلیکیشن مدیریت محتوای خود منتشر کرد که ۷ مشکل اساسی یاد شده را حل میکند، اما یک حفرهی امنیتی قابل توجه را برجای میگذارد.
نسخهی 5.0.1 وردپرس به برخی افراد اجازه میدهد تا با انجام جست و جوهایی خاص در گوگل بتوانند به رمز عبور مورد استفادهی برخی از کاربران در وبسایتهایی که از وردپرس استفاده میکنند دسترسی داشته باشند. این مشکل توسط تولید کنندگان پلاگین معروف Yoast SEO پیدا شده است.
اگر یکی از افرادی که دسترسی به رمز عبورش از طریق گوگل امکان پذیر باشد به عنوان ادمین در یک وبسایت فعالیت کند، آنوقت امکان دارد آسیبهای جبران ناپذیری به سایتهایی که از وردپرس استفاده مینمایند وارد شود.
البته وردپرس سعی کرده برخی از مشکلات موجود در اپلیکیشن مدیریت محتوای خود را حل کند. پیش از این وردپرس اجازه میداد تا فایلها با هر پسوندی که دارند روی دیتابیس آپلود شوند. موضوعی که حالا با بروزرسانی جدید حل شده و حتما باید پسوند فایلهای آپلود شده متناسب با نوع آپلود باشد.
علاوه بر این تیم وردپرس تاییدیهی MIME را بهبود داده است. این اتفاق بعد از آن رخ میدهد که دو نفر از محققان امنیتی به نامهای «تیم کوئن» و «اسلاوکو» متوجه شدند که سایتهایی که توسط آپاچی میزبانی میشوند میتوانند با ساخت فایلهایی خاص تاییدیهی MIME را دور بزنند. موضوعی که منجر به آسیب پذیر بودن وبسایتها میشد.
الگوهای MIME به مرورگر وب کمک میکنند تا بداند چگونه محتوا را تفسیر کند تا به عنوان مثال با یک تصویر گرافیکی به صورت یک گرافیک رفتار شود یا یک فایل با پسوند wav به عنوان صوت پخش شود. در برخی از حملات سعی میشود تا فایلهای مخرب را با دروغ گفتن به الگوی MIME وارد سیستم قربانی کنند.
یکی دیگر از مشکلاتی که وردپرس آن را حل کرده است مربوط به دو باگی میشود که توسط RIPS تکنولوژی گزارش شده بود. یکی از باگها به برخی از مدیران وبسایت اجازه میداد تا با دستکاری کردن متا دیتا، برخی از فایلهایی که اجازهی حذف کردنشان را ندارند را حذف کنند. باگ دوم به نویسندگان اجازه میداد تا پستهایی درج نمایند که اجازهاش را ندارند.
به طور حتم وردپرس به دنبال حل حفرهی امنیتی جدیدی است که در آپدیت جدید خود منتشر کرده. بنابراین اگر نگران وبسایت خود هستید بهتر است چند روزی صبر کنید تا این مشکل نیز به طور کامل حل گردد.