Wordpress-blogit päivitettävä tietoturva-aukoista
0
Laajasti Suomessakin käytetyssä avoimen lähdekoodin Wordpress-blogialustassa on paljastunut ja korjattu haavoittuvuuksia, jotka voivat päästää hyökkääjän kaipaamaan blogin ylläpitotoiminnot haltuunsa. Tietoturva-aukot ovat blogisoftassa ennen versiota 2.8.3, ja päivittämistä turvalliseen versioon suositellaan heti.
Haavoittuvuuksia hyväksikäyttäen voi päästä käsiksi blogin luottamuksellisiin tietoihin, muokkaamaan julkaisun lisäosien asetuksia tai lataamaan blogiin haluamaansa javascript-koodia. Näin hyökkääjä voisi esimerkiksi yrittää ohjata julkaisun lukijat omaan osoitteeseensa tai lähettää heille omaa sovelluskoodiaan.
Yksityisyysasetuksiin liittyviä virheitä unohtuneen salasanan palautustoiminnossa korjattiin jo aiemmin versiossa 2.8.1, mutta osa virheistä jäi korjaamatta. Blogiyhteisön ja kehittäjien avustuksella sen jälkeen paljastuneetkin ongelmat saatiin korjattua.
Lisätietoa haavoittuvuudesta on Wordpressin omassa blogissa.
Aiemman haavoittuvuuden riskit vältti, jos weblogissa ei ole avointa uusien käyttäjien rekisteröitymistä ja salasanan palautusta. Varmaa ei ole, päteekö sama uusiin haavoittuvuuksiin.
Wordpress voidaan päivittää käsipelillä lataamalla uusi versio ja uusissa versioissa ylläpidon päivitystyökalun kautta. Web-hotellissa tai vastaavassa palvelussa käyttäjä ei välttämättä pääse päivittämään blogialustaa, joten päivittämisestä kannattaa muistuttaa ylläpitoa.
