Aliran keselamatan yang terdapat dalam pemalam WordPress wpDiscuz yang boleh membenarkan penggodam menyuntik kod hasad dengan mudah pada mana-mana tapak web.
Kerentanan ini mula-mula dikenal pasti oleh pakar keselamatan di Wordfence, yang seterusnya mengesahkan bahawa dengan kecacatan ini, penggodam juga akan dapat melaksanakan fail PHP dan memuat naik fail sewenang-wenangnya ke tapak web tempat pemalam ini dipasang.
wpDiscuz menyediakan alternatif kepada sistem ulasan kepada WordPress, sama seperti ulasan jetpack, Disqus, atau mana-mana pemalam pengulas terkenal yang lain.
Kesilapan keselamatan ini mula-mula dikenal pasti oleh Wordfence dan telah meminta wpDiscuz untuk membetulkannya, untuk itu selepas beberapa hari, pembangun berkata mereka telah membetulkannya. Tetapi kemudian, dalam kemas kini terbaharu pemalam WordPress, isu ini sekali lagi ditemui yang mana wordfence mengambil perhatian dan memberitahu, patch itu tidak dapat membetulkan kecacatan keselamatan setakat ini.
Isu ini ditemui dalam versi 7 plugin WordPress, dalam ciri yang membolehkan pengguna memuat naik imej ke ulasan. Sistem tidak dapat mengesan sama ada sambungan fail adalah daripada imej atau kod berniat jahat.
Setakat ini perkara terbaik untuk pembangun web yang menggunakan wpDiscuz adalah untuk menjauhinya jika pemalam tidak mendapat tampalan dalam masa 24 jam, mengekalkan pemalam itu akan membolehkan penggodam menggodam tapak anda dan semua tapak lain yang berkaitan dengannya hos berada pada risiko penggodaman.
Semua sudah ditetapkan!
Masalahnya 100% tetap dan wpDiscuz selamat.
Anda boleh mengabaikan ini jika anda telah mengemas kini kepada versi 7.0.5 atau lebih tinggi (versi semasa ialah 7.0.6).
Ini telah ditetapkan dan versi baharu 7.0.5 telah dikeluarkan seminggu yang lalu sebelum laporan awam isu keselamatan. Tiada sebarang masalah dengan versi wpDiscuz semasa. Ia 100% selamat sekarang.
Isu seperti ini berlaku dengan hampir semua pemalam WordPress, jadi tiada sebab untuk bimbang jika anda telah mengemas kini dan dikemas kini. Teruskan mengemas kini pemalam anda dan pastikan anda menggunakan versi terkini.
Kira-kira 50% pengguna wpDiscuz sedang menggunakan versi 7.xx. Ia lebih kurang 35,000 tapak web. 30,000 daripadanya telah dikemas kini untuk mendapatkan versi 7.0.5 dan lebih tinggi pada minggu lepas. Dan kira-kira 3,000 laman web sedang dikemas kini setiap hari.
Jadi dalam satu dua hari hampir pasti tiada laman web dengan versi 7.0.0 – 7.0.4 lama yang tidak selamat dan hampir semua tapak web akan dikemas kini dan selamat.
Terima kasih!
Pembangun wpDiscuz