Xakep #305. Многошаговые SQL-инъекции
Издание ZDNet сообщает, что создатели WordPress сообщают, что работают над добавлением в свою CMS механизма автоматического обновления для тем и плагинов, так как именно они чаще всего являются причиной взломов сайтов. Дело в том, что владельцы ресурсов обычно устанавливают темы и плагины, а затем забывают их обновлять.
Работа над новой функцией началась несколько месяцев назад. По сути, в настоящее время автоматическое обновление для плагинов уже реализовано, и сейчас разработчики занимаются интеграцией новой функциональности в CMS. Ожидается, что функция заработает в WordPress версии 5.5
Настроить новый механизм обновлений можно будет в панели администратора. Владельцы сайтов, которые хотели бы протестировать новые функции автоматического обновления тем и плагинов, могут установить этот специальный плагин на свои ресурсы.
Интересно, что код новой функции присутствовал в исходниках WordPress начиная с версии 3.7, выпущенной в октябре далекого 2013 года (именно тогда разработчики добавили механизм автообновления для ядра WordPress). Просто код для фоновых обновлений тем и плагинов никогда не включался по умолчанию и по назначению не использовался.
Пользователи давно обнаружили эту особенность, и некоторые даже умудрялись взламывать файлы конфигурации собственных WordPress-сайтов, чтобы активировать функцию. Не оставались в стороне и разработчики плагинов, некоторые из которых тоже находили способ запустить автообновления для своих пользователей (1, 2). Теперь, когда команда разработчиков WordPress наконец активирует этот код для стабильной ветки, на такие ухищрения больше идти не придется.