WordPress versione 4.7.1 è stata appena rilasciata spingendo fuori correzioni per diversi problemi che affliggevano la piattaforma. Il rilascio di sicurezza e di manutenzione arriva quasi dopo un mese dalla grande release di WordPress versione 4.7 nel dicembre dello scorso anno. L'ultima release risolve otto problemi di sicurezza che sono stati segnalati dopo il rilascio della versione principale. La versione 4.7.1 corregge anche più di sessanta bug presenti nella precedente release. Mantenere il proprio sito WordPress aggiornato è fondamentale per la sicurezza e la stabilità. Gli utenti sono invitati ad aggiornare all'ultima versione di WordPress 4.7.1 il più presto possibile.
La Release Candidate per WordPress 4.7.1 è adesso disponibile. Questo rilascio di sicurezza e manutenzione risolve 62 problemi segnalati nella 4.7. Da notare che questa versione, rilasciata nella giornata di mercoledì 11 gennaio 2017, non affronta una serie di altre questioni che sono in programma per il prossimo rilascio 4.7.2. WordPress 4.7 nome in codice "Vaughan", in onore della leggendaria vocalist jazz Sara "Sassy" Vaughan, ha portato diversi aggiornamenti e un nuovo tema Twenty Seventeen progettato per attrarre imprese e applicazioni non-blogging con il suo design elegante. WordPress rilascia un nuovo tema di default ogni anno con l'aggiornamento importante di fine anno, e questo sarà il tema predefinito per il 2017.
Twenty Seventeen è costruito con tutte le nuove funzionalità della versione 4.7 e vanta immagini immersive, video header ed animazioni. Per ulteriori funzioni sul tema e trucchi per la sua personalizzazione, andare a questo post sul core blog di WordPress. Finora WordPress 4.7 è stata scaricata oltre 16 milioni di volte dalla sua uscita il 6 dicembre 2016. Da quel giorno il feedback di milioni di utenti ha permesso di risolvere i problemi riscontrati. La release 4.7 è stata guidata dal nucleo sviluppatore Helen Hou-Sandi, con Jeff Paul e Aaron Jorbin come deputati al rilascio. Dopo quello di dicembre 2014, l'ultimo importante aggiornamento di sicurezza per il noto CMS risale al giugno 2016, quando sono state chiuse 2 pericolose vulnerabilità XSS.
Le due vulnerabilità potevano consentire ad un malintenzionato la rimozione non autorizzata di una categoria da un post e modificare la password tramite furto di cookie. Il mese scorso una vulnerabilità di sicurezza (CVE-20016-10033) nella biblioteca PHPMailer è stata resa pubblica. WordPress usa questa libreria come base per la sua funzionalità e-mail. Il team di sicurezza ha trascorso qualche tempo ad analizzare questa vulnerabilità, e come si applica a WordPress. Questa vulnerabilità non sembra essere direttamente sfruttabile in WordPress core, o grossi plugin nella directory dei plugin. La funzione wp_mail(), che WordPress Core e la maggior parte dei plugin utilizza per l'invio di e-mail, non consente lo sfruttamento di questa vulnerabilità.
Ecco la lista di tutti gli otto problemi di sicurezza elencati su WordPress Codex versione 4.7.1: 1. Update PHPMailer che fissa Remote code execution (RCE); 2. REST API che espone i dati degli utenti che creano un post di tipo pubblico; 3. Cross-site scripting (XSS) tramite il nome del plugin o la versione header su update-core.php; 4. Cross-site request forgery (CSRF) bypass tramite il caricamento di un file Flash; 5. Cross-site scripting (XSS) tramite nome del tema di fallback: 6. Post via controlli email mail.example .com se le impostazioni predefinite non vengono modificate; 7. Cross-site request forgery (CSRF) è stato scoperto nel modo di accessibilità degli editing dei widget; 8. Sicurezza crittografica debole per la chiave di attivazione multisito.
La versione di WordPress 4.7.1 corregge inoltre 61 bug presenti nella precedente release WordPress 4.7. WordPress è sempre stato un lavoro di comunità ed all'ultima versione hanno partecipato anche 482 collaboratori, di cui oltre il 40% ha contribuito per la prima volta. Se supportato dall'host, il proprio sito web dovrebbe aggiornarsi automaticamente a WordPress 4.7.1. In caso contrario, sono sufficienti pochi passi per installare manualmente l'ultimo aggiornamento. Il team di WordPress invia un notifica a tutti gli utenti il cui sito non è stato aggiornato automaticamente alla versione più recente. Inoltre, dovrebbe essere visibile una notifica sulla dashboard di WordPress che avvisa dell'impossibilità nel completare l'update automatico. Per ulteriori informazioni, visitare: https://it.wordpress.org/
Le due vulnerabilità potevano consentire ad un malintenzionato la rimozione non autorizzata di una categoria da un post e modificare la password tramite furto di cookie. Il mese scorso una vulnerabilità di sicurezza (CVE-20016-10033) nella biblioteca PHPMailer è stata resa pubblica. WordPress usa questa libreria come base per la sua funzionalità e-mail. Il team di sicurezza ha trascorso qualche tempo ad analizzare questa vulnerabilità, e come si applica a WordPress. Questa vulnerabilità non sembra essere direttamente sfruttabile in WordPress core, o grossi plugin nella directory dei plugin. La funzione wp_mail(), che WordPress Core e la maggior parte dei plugin utilizza per l'invio di e-mail, non consente lo sfruttamento di questa vulnerabilità.
Ecco la lista di tutti gli otto problemi di sicurezza elencati su WordPress Codex versione 4.7.1: 1. Update PHPMailer che fissa Remote code execution (RCE); 2. REST API che espone i dati degli utenti che creano un post di tipo pubblico; 3. Cross-site scripting (XSS) tramite il nome del plugin o la versione header su update-core.php; 4. Cross-site request forgery (CSRF) bypass tramite il caricamento di un file Flash; 5. Cross-site scripting (XSS) tramite nome del tema di fallback: 6. Post via controlli email mail.example .com se le impostazioni predefinite non vengono modificate; 7. Cross-site request forgery (CSRF) è stato scoperto nel modo di accessibilità degli editing dei widget; 8. Sicurezza crittografica debole per la chiave di attivazione multisito.
La versione di WordPress 4.7.1 corregge inoltre 61 bug presenti nella precedente release WordPress 4.7. WordPress è sempre stato un lavoro di comunità ed all'ultima versione hanno partecipato anche 482 collaboratori, di cui oltre il 40% ha contribuito per la prima volta. Se supportato dall'host, il proprio sito web dovrebbe aggiornarsi automaticamente a WordPress 4.7.1. In caso contrario, sono sufficienti pochi passi per installare manualmente l'ultimo aggiornamento. Il team di WordPress invia un notifica a tutti gli utenti il cui sito non è stato aggiornato automaticamente alla versione più recente. Inoltre, dovrebbe essere visibile una notifica sulla dashboard di WordPress che avvisa dell'impossibilità nel completare l'update automatico. Per ulteriori informazioni, visitare: https://it.wordpress.org/
Nessun commento:
Posta un commento