به‌روزرسانی

مدیران WordPress بار دیگر دچار مشکل شدند.

نسخه ۴٫۹٫۳ سیستم مدیریت محتوای WordPress در اوایل این هفته با وصله‌هایی برای ۳۴ آسیب‌پذیری منتشر شد[۱]، اما متأسفانه این نسخه جدید، فرآیند به‌روزرسانی خودکار را برای میلیون‌ها وب‌سایت از کار انداخت.

تیم WordPress در حال حاضر نسخه جدید WordPress یعنی نسخه ۴٫۹٫۴ را منتشر کردند تا این مشکل بزرگ را برطرف کنند و مدیران وب‌سایت‌ها باید آن را به‌صورت دستی نصب کنند.

بر اساس سایت امنیتی WordFence، هنگامی‌که بخش CMS سعی می‌کند که تشخیص دهد که یک سایت نیاز به به‌روزرسانی دارد یا خیر، اگر سایت موردنظر نیاز به به‌روزرسانی داشته باشد یک خطای PHP فرآیند به‌روز‌رسانی خودکار را دچار مشکل می‌کند[۲].

اگر به‌صورت دستی WordPress خود را به نسخه ۴٫۹٫۴ به‌روزرسانی نکنید، این مشکل باعث می‌شود تا وب‌سایت شما برای همیشه بر روی نسخه ۴٫۹٫۳ باقی بماند و نسبت به مشکلات امنیتی در پیش رو آسیب‌پذیر خواهد بود.

Dion Hulse، مدیر توسعه WordPress، در مورد این اشکال این‌گونه توضیح داده است[۳]:

“هنگامی‌که فرآیند cron به‌روز‌رسانی خودکار شروع به کار می‌کند، #۴۳۱۰۳-core با هدف کاهش تعداد درخواست API شروع به کار می‌کند. متأسفانه، به دلیل یک خطای انسانی، نتیجه نهایی هدف موردنظر را محقق نمی‌کند و به‌جای آن، یک خطای مهلک ایجاد می‌کند چراکه همه وابستگی‌های find_core_auto_update موردبررسی قرار نمی‌گیرند. به هر دلیلی، این خطای مهلک قبل از انتشار نسخه ۴٫۹٫۳ کشف نشده بود و چند ساعت پس از انتشار نسخه جدید کشف شد.”

این مشکل هم‌اکنون برطرف شده است، اما همان‌گونه که گزارش‌شده، این به‌روزرسانی به‌طور خودکار اعمال نخواهد شد.

به‌این‌ترتیب، مدیران وب‌سایت‌های بر پایه WordPress باید به‌روزرسانی آخرین نسخه را به‌صورت دستی اعمال کنند تا اطمینان حاصل کنند که از آسیب‌پذیری‌های به وجود آمده در آینده در امان هستند.

برای به‌روز‌رسانی دستی WordPress، باید به بخش Dashboard و سپس Updates رفته و بر روی گزینه Update Now کلیک کنند.

پس از به‌روزرسانی، مطمئن شوید که نسخه اصلی WordPress شما ۴٫۹٫۴ است.

بااین‌وجود، تمام وب‌سایت‌هایی که به‌ نسخه معیوب به‌روزرسانی شده‌اند، این اشکال را مشاهده نکرده‌اند. برخی از کاربرانِ وب سایت‌ها مشاهده کردند که به‌صورت خودکار به هر دو به‌روزرسانی (۴٫۹٫۳ و ۴٫۹٫۴) ارتقا پیدا کرده‌اند[۴].

علاوه بر این، این شرکت دو نسخه جدید تعمیر و نگهداری را در این هفته منتشر کرد، اما هیچ‌یک از آن‌ها شامل یک وصله امنیتی برای آسیب‌پذیری DOS حیاتی برای application-level که در هفته گذشته منتشر شد، نمی‌شدند. این آسیب‌پذیری دارای این قابلیت است که تنها توسط یک دستگاه چندین وب‌سایت بر پایه WordPress را از کار بیندازد[۵].

ازآنجایی‌که سایت‌های برپایه WordPress به دلیل محبوبیت گسترده در بازار سیستم مدیریت محتوا (CMS) اغلب تحت حمله مهاجمان قرار می‌گیرند، به مدیران شدیداً توصیه می‌شود که همیشه نرم‌افزارها و افزونه‌های خود را به‌روز نگه دارند.

منابع

[۱] https://wordpress.org/news/2018/02/wordpress-4-9-3-maintenance-release

[۲] https://www.wordfence.com/blog/2018/02/broken-auto-update

[۳]https://make.wordpress.org/core/2018/02/06/wordpress-4-9-4-release-the-technical-details

[۴] https://twitter.com/CarlGottlieb/status/961522293959782400

[۵] https://thehackernews.com/2018/02/wordpress-dos-exploit.html

[۶] https://thehackernews.com/2018/02/wordpress-update.html