WordPress Merilis Pembaruan Kerentanan Keamanan 6.02

WordPress Merilis Pembaruan Kerentanan Keamanan 6.02

WordPress merilis pembaruan yang berisi perbaikan bug dan patch keamanan untuk mengatasi tiga kerentanan yang dinilai sebagai tingkat keparahan parah hingga sedang.

Pembaruan mungkin telah diunduh dan diinstal secara otomatis, jadi penting untuk memeriksa apakah situs web memang telah diperbarui ke 6.02 dan apakah semuanya masih berfungsi normal.

Perbaikan kerusakan

Pembaruan berisi dua belas perbaikan untuk inti WordPress dan lima untuk editor blok.

Satu perubahan penting adalah peningkatan dari Direktori Pola, yang dimaksudkan untuk membantu penulis tema menyajikan hanya pola yang terkait dengan tema mereka.

Tujuan dari perubahan ini adalah untuk membuatnya lebih menarik untuk digunakan oleh penulis tema sehingga mereka menggunakannya dan untuk menyajikan pengalaman pengguna yang lebih baik kepada penerbit.

“Banyak penulis tema ingin agar semua pola inti dan jarak jauh dinonaktifkan secara default menggunakan remove_theme_support( ‘core-block-patterns’ ). Ini memastikan mereka hanya menyajikan pola yang relevan dengan tema mereka kepada pelanggan/klien.

Perubahan ini akan membuat Direktori Pola lebih menarik/dapat digunakan dari sudut pandang penulis tema.”

Tiga Patch Keamanan

Kerentanan pertama digambarkan sebagai kerentanan SQL Injection dengan tingkat keparahan tinggi.

Kerentanan injeksi SQL memungkinkan penyerang untuk menanyakan database yang mendukung situs web dan menambahkan, melihat, menghapus, atau memodifikasi data sensitif.

Menurut sebuah laporan oleh Wordfence, WordPress 6.02 menambal kerentanan kerentanan injeksi SQL tingkat tinggi, tetapi kerentanan tersebut memerlukan hak administratif untuk dieksekusi.

pagar kata menggambarkan kerentanan ini:

“Fungsi Tautan WordPress, yang sebelumnya dikenal sebagai “Bookmark”, tidak lagi diaktifkan secara default pada instalasi WordPress baru.

Situs lama mungkin masih memiliki fungsi yang diaktifkan, yang berarti jutaan situs lawas berpotensi rentan, bahkan jika mereka menjalankan versi WordPress yang lebih baru.

Untungnya, kami menemukan bahwa kerentanan memerlukan hak administratif dan sulit untuk dieksploitasi dalam konfigurasi default.”

Kerentanan kedua dan ketiga digambarkan sebagai Skrip Lintas Situs Tersimpan, salah satunya dilaporkan tidak memengaruhi sebagian besar penerbit WordPress.

Perpustakaan Tanggal JavaScript Momen Diperbarui

Satu lagi kerentanan telah diperbaiki, tetapi itu bukan bagian dari inti WordPress. Kerentanan ini terjadi pada pustaka data JavaScript yang disebut Moment yang digunakan WordPress.

Kerentanan terhadap pustaka JavaScript diberi nomor CVE, dan detail tersedia di Database Kerentanan Nasional pemerintah AS. Dia didokumentasikan sebagai perbaikan bug di WordPress.

Apa yang harus dilakukan

Pembaruan harus diluncurkan secara otomatis ke situs dari versi 3.7.

Mungkin berguna untuk memverifikasi apakah situs berfungsi dengan benar dan tidak ada konflik dengan tema saat ini dan plugin yang diinstal.


kutipan

WordPress Core 6.0.2 Rilis Keamanan & Pemeliharaan – Yang Perlu Anda Ketahui

Izinkan pendaftaran pola jarak jauh di theme.json saat pola inti dinonaktifkan.

Gambar unggulan oleh Shutterstock/Krakenimages.com

Share

Leave a Reply

Your email address will not be published. Required fields are marked *