WhiteHat News #ID:2018
WhiteHat Support
-
20/03/2017
-
129
-
443 bài viết
WordPress không thể cập nhật tự động – buộc phải cập nhật thủ công
Những quản trị viên trên WordPress một lần nữa lại gặp rắc rối khi phiên bản WordPress 4.9.3 vừa mới phát hành để vá tổng cộng 34 lỗ hổng nhưng lại phá vỡ cơ chế cập nhật tự động cho hàng triệu website WordPress.
Đội ngũ WordPress hiện đã phát hành một bản cập nhật mới, phiên bản 4.9.4 để vá lỗi nghiêm trọng này, nhưng các quản trị viên phải cập nhật thủ công.
Theo website an ninh WordFence, khi WordPress CMS thử xác định xem site của họ có cần nâng cấp lên phiên bản mới không thì một lỗi PHP làm gián đoạn quá trình cập nhật tự động.
Nếu không cập nhật thủ công phiên bản mới nhất 4.9.4, lỗi này có thể khiến các website vĩnh viễn chỉ ở phiên bản 4.9.3 và dính lỗ hổng trong tương lai.
Nhà phát triển hàng đầu của WordPress Dion Hulse đã giải thích về lỗ hổng này như sau:
"#43103-core hướng đến giảm số lượng các API call khi tác vụ cron cập nhật tự động theo định kỳ hoạt động. Thật không may, do lỗi của con người, lần commit cuối cùng đã không mang lại hiệu quả như dự kiến, thay vào đó là một lỗi nghiêm trọng khi không phải tất cả những gì thuộc find_core_auto_update() đều phù hợp. Dù là nguyên nhân gì, thì sai lầm tai hại này đã không được phát hiện khi bản 4.9.3 được phát hành”.
Hiện vấn đề này đã được sửa nhưng bản cập nhật mới sẽ không thể được nâng cấp tự động. Do đó, các quản trị viên WordPress được yêu cầu cần nâng cấp phiên bản WordPress mới nhất bằng cách thủ công nhằm tránh bị dính lỗ hổng trong tương lai.
Để cập nhật thủ công, người dùng admin trên WordPress cần đăng nhập website WordPress của mình, chọn Dashboard --> Update, sau đó chọn “Update Now”.
Sau khi cập nhật, hãy chắc chắn rằng phiên bản WordPress là 4.9.4.
Tuy nhiên, không phải tất cả các website khi cập nhật đều thấy được lỗi này. Một số người dùng sẽ thấy website của họ được nâng cấp tự động cả hai bản cập nhật (4.9.3 và 4.9.4).
Các website WordPress thường là mục tiêu tấn công của các hacker do được dùng phổ biến trên thị trường CMS, vì vậy các quản trị viên được khuyến cáo luôn kiểm tra, nâng cấp phần mềm và plugin của mình thường xuyên.
Đội ngũ WordPress hiện đã phát hành một bản cập nhật mới, phiên bản 4.9.4 để vá lỗi nghiêm trọng này, nhưng các quản trị viên phải cập nhật thủ công.
Theo website an ninh WordFence, khi WordPress CMS thử xác định xem site của họ có cần nâng cấp lên phiên bản mới không thì một lỗi PHP làm gián đoạn quá trình cập nhật tự động.
Nếu không cập nhật thủ công phiên bản mới nhất 4.9.4, lỗi này có thể khiến các website vĩnh viễn chỉ ở phiên bản 4.9.3 và dính lỗ hổng trong tương lai.
Nhà phát triển hàng đầu của WordPress Dion Hulse đã giải thích về lỗ hổng này như sau:
"#43103-core hướng đến giảm số lượng các API call khi tác vụ cron cập nhật tự động theo định kỳ hoạt động. Thật không may, do lỗi của con người, lần commit cuối cùng đã không mang lại hiệu quả như dự kiến, thay vào đó là một lỗi nghiêm trọng khi không phải tất cả những gì thuộc find_core_auto_update() đều phù hợp. Dù là nguyên nhân gì, thì sai lầm tai hại này đã không được phát hiện khi bản 4.9.3 được phát hành”.
Hiện vấn đề này đã được sửa nhưng bản cập nhật mới sẽ không thể được nâng cấp tự động. Do đó, các quản trị viên WordPress được yêu cầu cần nâng cấp phiên bản WordPress mới nhất bằng cách thủ công nhằm tránh bị dính lỗ hổng trong tương lai.
Để cập nhật thủ công, người dùng admin trên WordPress cần đăng nhập website WordPress của mình, chọn Dashboard --> Update, sau đó chọn “Update Now”.
Sau khi cập nhật, hãy chắc chắn rằng phiên bản WordPress là 4.9.4.
Tuy nhiên, không phải tất cả các website khi cập nhật đều thấy được lỗi này. Một số người dùng sẽ thấy website của họ được nâng cấp tự động cả hai bản cập nhật (4.9.3 và 4.9.4).
Các website WordPress thường là mục tiêu tấn công của các hacker do được dùng phổ biến trên thị trường CMS, vì vậy các quản trị viên được khuyến cáo luôn kiểm tra, nâng cấp phần mềm và plugin của mình thường xuyên.
Theo The Hacker News