Theo thông báo chính thức trên trang WordPress.org thì bản vá bảo mật WordPress 4.8.3 đã được phát hành. Đây là bản phát hành bảo mật cho tất cả các phiên bản trước và nhóm phát triển WordPress khuyên rằng bạn nên cập nhật trang web của mình ngay lập tức để đảm bảo an toàn cho website của mình.
Lỗi bảo mật của các phiên bản cũ
Các phiên bản WordPress 4.8.2 trở về trước bị ảnh hưởng bởi lỗi $ wpdb-> prepare (), dẫn đến có thể tạo các truy vấn không an toàn và có thể bị khai thác bởi lỗ hổng MySQL Injection.
Như các bạn cũng đã biết SQL injection là một trong những kiểu hack web đang dần trở nên phổ biến hiện nay. Nó là một kỹ thuật cho phép những kẻ tấn công lợi dụng lỗ hổng của việc kiểm tra dữ liệu đầu vào trong các ứng dụng web và các thông báo lỗi của hệ quản trị cơ sở dữ liệu trả về để inject (tiêm vào) các mã SQL nhằm làm sai lệch câu lệnh truy vấn. SQL injection có thể cho phép những kẻ tấn công thực hiện các thao tác như một người quản trị web, delete, insert, update, v.v. trên cơ sở dữ liệu của ứng dụng, thậm chí là server mà ứng dụng đó đang chạy.
Tuy nhiên, lỗi này không đến từ WordPress core. Nhóm phát triển WordPress đã cập nhật bản vá để ngăn chặn việc thực thi các query này trên plugin và giao diện.
Trong bản nâng cấp WordPress 4.8.3 này cũng bao gồm cả nâng cấp function esc_sql, tuy vậy hầu hết sẽ không có ảnh hưởng gì đáng kể tới người dùng và các lập trình viên WordPress. bạn có thể đọc thêm chi tiết trong chú thích nhà phát triển.
Lỗi này được phát hiện bởi Anthony Ferrara.
Tải bản vá bảo mật WordPress 4.8.3 mới nhất
Để đảm bảo an toàn cho website, bạn nên tiến hàng cập nhật ngay bản vá mới, bạn có thể tải WordPress 4.8.3 tại đây hoặc truy cập trang quản trị và click vào mục “Nâng cấp” để nâng cấp tự động.
