Миналата седмица хората, които се грижат за сигурността на популярната CMS платформа WordPress издадоха версия 5.5.2 на системата, с която биваше адресиран критичен проблем, позволяващ изпълнението на произволен код дистанционно, както и друг девет уязвимости. Но обновленията не спряха дотук, защото бяха издадени не едно, а още две обновления.

Става дума за това, че сайтовете с включена функция за автоматично обновяване са се оказали вместо с версия 5.5.2, обновени до версия 5.5.3-alpha. Вследствие на това, една част от сайтовете получили всички теми, идващи по подразбиране с WordPress от последните няколко години. Хората от WordPress Core действат своевременно и засегнатите от промяната ресурси са върнати обратно към последната стабилна версия (5.5.2) след около час. Проблемът, както привеждат от WPTavern се оказал Updates API, с който системата била подготвяна за версия 5.5.3.

Ден след излизането на 5.5.2, WP Core – на 30-ти миналия месец – издават следващата версия на WordPress (5.5.3).

„Грешка с една от поправките, внесени с WordPress 5.5.2 причини проблем с инсталирането на ZIP пакетите, които са достъпни на WordPress.org за новите версии на 5.5.x, 5.4.x, 5.3.x и 5.1.x. Проблемът засяга единствено свежи инсталации, в които не присъства wp-config.php файл“, пишат в края на миналия месец от WP Core. Докато се опитват да се справят с грешките, специалистите деактивират възможността за свалянето на WordPress 5.5.2, тъй като грешката засяга единствено свежи инсталации. „Това действие доведе до това, че някои инсталации бяха обновени до предварителната версия 5.5.3-alpha. Проблемът с появата на тази версия вече е разрешен с помощта на екипа на System“, допълват WP Core.

Макар и WP Core да реагират адекватно и своевременно, объркването породи немалко критики към WordPress. Една от тях беше насочена към без съмнение полезната функционалност за автоматично обновяване. „Това представлява поредния урок за това колко мощен е механизма за автоматичното обновяване на WordPress. Стотици милиони сайтове се държат като зомбита правят каквото сбъркания API за автоъпдейт им каже“, пише един от потребителите във форума на WordPress. Според някои, липсата на открит контрол тук може да доведе и до сериозни проблеми със сигурността. „Това е сериозна заплаха за сигурността, тъй като разработчик може нарочно да изпрати зловреден код, който никой друг не проверява“, споделя друг потребител с името pcdeveloper. Други посочват, че макар и спирането на автоматичното обновяване да е възможно, както за по-големи, така и за по-малки обновления, процесът не е толкова прост и може би сега е добър момент, хората зад WordPress да бъде документиран начина за спиране на обновяването.

„Знам, че нанесената вреда е малка и проблемът беше разрешен бързо. Това е успокояващо“, пише потребител на форума на WP. „Но, ако нищо не се промени, освен „не правете вече това“, нещо като това ще се случи отново и може да доведе до далеч по-лош резултат. В бизнеса имаме често задължителни стандарти за качество и документация към процедурите за всички критично важни операции. Така че когато нещо нежелано се случи, човек може да каже дали процедурите са били нарушени или са били неясни/непълни. Не знам в случая какъв е или какъв е бил проблема. Ако нещо се е променило след това, освен че случаят е задействал някаква червена лампа, изкарайте го на светло. Независимо колко малка е щетата, доверието е нарушено и това изисква да бъде изнесена подробна информация за случилото се, открито“.

0 0 глас
Оценете статията
Абонирай се
Извести ме за
guest
0 Коментара
Отзиви
Всички коментари