Quản trị viên WordPress một lần nữa gặp rắc rối.
Phiên bản WordPress 4.9.3 đã được phát hành vào đầu tuần này với các bản vá cho tổng số 34 lỗ hổng, nhưng thật không may, phiên bản mới đã phá vỡ cơ chế cập nhật tự động cho hàng triệu trang web WordPress.
Nhóm WordPress hiện đã phát hành bản cập nhật bảo trì mới, WordPress 4.9.4, để vá lỗi nghiêm trọng này mà quản trị viên WordPress phải cài đặt thủ công.
Theo trang web bảo mật WordFence, khi WordPress CMS cố gắng xác định xem trang web có cần cài đặt phiên bản cập nhật hay không, nếu có, lỗi PHP sẽ làm gián đoạn quá trình tự động cập nhật.
Nếu không được cập nhật thủ công lên phiên bản 4.9.4 mới nhất, lỗi này sẽ khiến trang web của bạn tồn tại mãi mãi trên WordPress 4.9.3, khiến trang web dễ gặp phải các sự cố bảo mật trong tương lai.
Đây là những gì nhà phát triển chính của WordPress, Dion Hulse đã giải thích về lỗi này:
“#43103-core nhằm mục đích giảm số lượng lệnh gọi API được thực hiện khi chạy tác vụ cron tự động cập nhật. Thật không may, do lỗi của con người, lần xác nhận cuối cùng không có tác dụng như mong muốn và thay vào đó gây ra một lỗi nghiêm trọng như không phải tất cả các phụ thuộc của find_core_auto_update() đều được đáp ứng. Vì bất kỳ lý do gì, lỗi nghiêm trọng đã không được phát hiện trước khi phát hành 4.9.3—lỗi này được phát hiện vài giờ sau khi phát hành.”
Sự cố đã được khắc phục nhưng như đã báo cáo, bản sửa lỗi sẽ không được cài đặt tự động.
Học cách bảo vệ phạm vi nhận dạng – Các chiến lược đã được chứng minh
Cải thiện bảo mật doanh nghiệp của bạn với hội thảo trực tuyến về an ninh mạng do chuyên gia hướng dẫn sắp tới của chúng tôi: Khám phá các chiến lược Vành đai nhận dạng!
Đừng bỏ lỡ – Tiết kiệm chỗ ngồi của bạn!
Do đó, các quản trị viên WordPress đang được khuyến khích cập nhật thủ công lên bản phát hành WordPress mới nhất để đảm bảo rằng họ sẽ được bảo vệ trước các lỗ hổng trong tương lai.
Để cập nhật cài đặt WordPress theo cách thủ công, người dùng quản trị viên có thể đăng nhập vào trang web WordPress của họ và truy cập Bảng điều khiển → Cập nhật, sau đó nhấp vào “Cập nhật ngay”.
Sau khi cập nhật, hãy đảm bảo rằng phiên bản WordPress cốt lõi của bạn là 4.9.4.
Tuy nhiên, không phải tất cả các trang web được cập nhật lên bản cập nhật bị lỗi đều báo cáo đã thấy lỗi này. Một số người dùng có đã xem trang web của họ đã tự động cài đặt cả hai bản cập nhật (4.9.3 và 4.9.4).
Ngoài ra, công ty đã phát hành hai bản cập nhật bảo trì mới trong tuần này, nhưng không bản cập nhật nào trong số đó bao gồm bản vá bảo mật cho lỗ hổng DoS cấp ứng dụng nghiêm trọng được tiết lộ vào tuần trước có thể cho phép bất kỳ ai gỡ xuống hầu hết các trang web WordPress ngay cả với một máy.
Vì các trang web WordPress thường là mục tiêu của tin tặc do tính phổ biến rộng rãi của nó trên thị trường hệ thống quản lý nội dung (CMS), quản trị viên nên luôn cập nhật phần mềm và plugin của họ.
