Det är visserligen alltid viktigt att ha sin installation av WordPress uppdaterad men vissa gånger är det mer viktigt än vanligt. Nu är det ett sådant tillfälle.
Så sent som i oktober släpptes förra versionen av WordPress, dvs version 4.8.2. Uppdateringen handlade då bland annat om att implementera en patch som skulle skydda mot SQL-injektionssårbarhet. Kortfattat innebär det att hackare kunde få in skadlig kod på webbplatsen och därigenom få kontroll över den. Men resultatet av den nya patchen blev inte helt efter förväntningarna.
Ökad risk skapade ny uppdatering
Med 4.8.2 skapades visserligen ett något bättre skydd men bara för vissa delar av problematiken. Det som var ännu värre var att det underliggande säkerhetsproblemet utökades. En hel del trepartsplugin kunde därmed inte fungera som väntat vilket i sin tur skapade ytterligare säkerhetsproblem. Ett exempel är det mycket populära säkerhetspluginet WordFence som delvis slutade att fungera.
Uppdatera direkt
Efter att WordPress informerats om problemet skapades en ny uppdatering (även om det drog ut på tiden). Det är den uppdateringen som nu är släppt.
För er som använder vårt driftavtal har vi redan genomfört de relevanta uppdateringarna. I vissa fall kan man själv göra uppdateringen, dock är det inget vi rekommenderar då det kan orsaka nya problem. Beroende på webbplatsens omfattning och storlek kan man behöva göra flera uppdateringar så att alla delar av webbplatsen samspelar. För att säkerställa att uppdateringen görs ordentligt och i rätt utvecklingsmiljö så kontakta er webbleverantör.
Behöver ni hjälp så är ni välkomna att kontakta oss
Upptäcktes av Anthony Ferrara
Det var Anthony Ferrara, teknikchef på Lingo Live, som upptäckte problemet och rapporterade in detta till WordPress vilket även nämns av WordPress där de uttryckligen tackar honom för hans insats. Men Ferrara antyder i sin blogg att WordPress först inte tog honom på allvar.
Efter att han skickat in ett meddelande om problemet, samt förslag för åtgärd, möttes han av flera veckors tystnad. Han försökte på flera sätt få respons från WordPress men utan något resultat vilket han även bloggat om här. När han till slut hotade med att offentliggöra säkerhetsbristerna blev det lite mer fart. Dagen efter att han meddelat dem detta gick de ut med informationen att en uppdatering skulle komma – kommande dag.
Orsaken till tystnaden från WordPress går bara att spekulera i men det viktiga är att den nya uppdateringen är på plats – och att du väljer att uppdatera omgående.
Trots att WordPress, webbyråer och dagstidningar uppmanar användare av WordPress att uppdatera så är det många som slarvar med det. Det finns relativt många som till och med kör äldre versioner än 4.8.2. Därmed har de stor sårbarhet gällande säkerheten på sin webbplats. Något som är enkelt att lösa.