Da poche ore è stata resa disponibile la nuova release di WordPress 4.8.2, anche per gli utenti in lingua italiana, ecco perché è necessario eseguire subito l’aggiornamento a questa versione:
Il core di WordPress non è vulnerabile agli attacchi SQLi injection diretti, ma alcuni plugin possono utilizzare la funzione $wpdb->prepare() nel loro codice, per leggere e scrivere dati sul database pertanto se il codice php del plugin non è stato scritto dallo sviluppatore in modo appropriato seguendo l’esatto ordine in cui va utilizzato, può diventare un’arma micidiale per eventuali hacker che potrebbero tentare di sfruttare questa insicurezza per accedere al vostro sito e manipolarlo.
Questo già da solo è un motivo più che valido per eseguire l’aggiornamento, ma non è l’unico, ecco quali altri miglioramenti sono stati apportati a WP 4.8.2.
Vulnerabilità cross-site scripting (XSS) risolte:
- oEmbed discovery: Risolto un bug che permetteva ad un codice malevolo contenuto in un IFRAME incluso sul sito di eseguire modifiche.
- Editor TinyMCE: Risolto un bug di sicurezza durante il copia-incolla di codice proveniente dall’esterno.
- Unzip: Risolto un bug relativo allo script che esegue la decompressione di template e plugin zippati e caricati manualmente su WP.
- Editor Plugin: Risolto un bug relativo all’editor testuale dei files dei plugin (chi tiene ancora abilitata questa funzione? spero nessuno).
- Editor utenti e Tassonomie: Risolto un bug che poteva consentire un reindirizzamento non sicuro durante il salvataggio dei dati.
- Pagine Template: Risolto un bug che consentiva l’esecuzione di codice non sicuro se la pagina template conteneva un nome particolare (non è stato detto quale).
Sono stati inclusi anche alcuni miglioramenti sulla gestione dei link da editor inoltre sono stati corretti alcuni bug minori sui widget e ne sono stati aggiunti alcuni di nuovi.
Al momento in cui scrivo ho già aggiornato 3 portali senza riscontrare problemi con alcun plugin, per cui aggiornate senza problemi!
Come sempre prima di aggiornare fate un bel backup del database 😉