Hãy cập nhật WordPress 4.0.1 ngay để vá 23 lỗi bảo mật.
Ngay trước khi phiên bản WordPress 4.1 được chính thức phát hành, Automattic đã tung ra một phiên bản WordPress khác với tên mã 4.0.1. Đây là một bản vá bảo mật quan trọng cho tất cả các phiên bản WordPress trước đây và WP Căn bản khuyên bạn nên cập nhật nó ngay lập tức. Theo thông tin từ Automattic, các phiên bản WordPress từ 3.9.2 trở về trước đều bị ảnh hưởng bởi một lỗ hổng bảo mật quan trọng gọi là “cross-site scripting“, có thể cho phép người dùng ẩn danh xâm hại một trang web. Điều này đã được phát hiện và báo cáo bởi Jouko Pynnonen. Nó không ảnh hưởng đến phiên bản 4.0, tuy nhiên, phiên bản 4.0.1 còn giúp giải quyết triệt để 8 lỗi bảo mật quan trọng:
- 3 Lỗi “cross-site scripting“, theo đó một cộng tác viên hoặc tác giả có thể sử dụng chúng để xâm hại một trang web, được phát hiện bởi Jon Cave, Robert Chapin và John Blackbourn của nhóm bảo mật WordPress.
- 1 Lỗi giả mạo yêu cầu “cross-site”, có thể được sử dụng để lừa người dùng thay đổi mật khẩu của họ.
- 1 Lỗi có thể dẫn đến việc từ chối dịch vụ khi mật khẩu được kiểm tra, theo báo cáo của Javier Nieto Arevalo và Andres Rojas Guerrero.
- Bổ sung thêm lớp bảo vệ khỏi các cuộc tấn công giả mạo yêu cầu từ phía máy chủ khi WordPress đưa ra yêu cầu HTTP, theo báo cáo của Ben Bidner.
- 1 “hash collision” rất hiếm, có thể khiến tài khoản người dùng bị xâm hại, mà cũng đòi hỏi rằng họ đã không đăng nhập từ năm 2008, theo báo cáo của David Anderson.
- WordPress từ bây giờ sẽ tự động vô hiệu hóa các liên kết (links) trong email được sử dụng thiết lập lại mật khẩu, nếu người dùng nhớ lại mật khẩu của mình, đăng nhập vào và thay đổi địa chỉ email của họ, theo báo cáo riêng của Momen Bassel, Tanoy Bose và Bojan Slavković từ ManageWP.
Phiên bản 4.0.1 cũng sửa chữa 23 lỗi còn tồn tại trên phiên bản 4.0 và nhóm phát triển WordPress đã thực hiện hai thay đổi lớn, bao gồm kiểm soát tốt hơn các dữ liệu EXIF được trích xuất từ các bức ảnh được tải lên, theo báo cáo của Chris Andre Dale.
Danh sách các tập tin WordPress được cập nhật và thay đổi trong phiên bản 4.0.1 bao gồm:
readme.html
wp-admin/about.php
wp-admin/includes/class-wp-plugin-install-list-table.php
wp-admin/includes/image.php
wp-admin/includes/plugin-install.php
wp-admin/includes/post.php
wp-admin/js/editor-expand.js
wp-admin/js/editor-expand.min.js
wp-admin/js/media.js
wp-admin/js/media.min.js
wp-admin/plugin-install.php
wp-admin/press-this.php
wp-admin/upload.php
wp-includes/canonical.php
wp-includes/class-phpass.php
wp-includes/css/media-views-rtl.css
wp-includes/css/media-views-rtl.min.css
wp-includes/css/media-views.css
wp-includes/css/media-views.min.css
wp-includes/formatting.php
wp-includes/http.php
wp-includes/js/media-grid.js
wp-includes/js/media-grid.min.js
wp-includes/js/media-views.js
wp-includes/js/media-views.min.js
wp-includes/js/mediaelement/flashmediaelement.swf
wp-includes/js/mediaelement/mediaelement-and-player.min.js
wp-includes/js/quicktags.js
wp-includes/js/quicktags.min.js
wp-includes/js/tinymce/plugins/wpeditimage/plugin.js
wp-includes/js/tinymce/plugins/wpeditimage/plugin.min.js
wp-includes/js/tinymce/plugins/wpview/plugin.js
wp-includes/js/tinymce/plugins/wpview/plugin.min.js
wp-includes/js/tinymce/wp-tinymce.js.gz
wp-includes/kses.php
wp-includes/link-template.php
wp-includes/media-template.php
wp-includes/media.php
wp-includes/ms-functions.php
wp-includes/pluggable.php
wp-includes/post.php
wp-includes/session.php
wp-includes/user.php
wp-includes/version.php
wp-login.php
Các bạn có thể xem thêm danh sách chi tiết các thay đổi tại đây.
Phiên bản WordPress 4.0.1 sẽ được cập nhật một cách tự động theo mặc định. Tuy nhiên, các bạn cũng truy cập vào Dashboard => Updates và click vào nút “Update Now” để tiến hành cập nhật hoặc download nó tại đây. Hiện tại, WP Căn bản đã cập nhật thành công lên phiên bản 4.0.1 và đang hoạt động rất ổn đinh. Hy vọng các bạn cũng có thể làm được điều tương tự. Chúc các bạn thành công. :)
Nếu bạn thích bài viết này, hãy subscribe blog của tôi để thường xuyên cập nhật những bài viết hay nhất, mới nhất qua email nhé. Cảm ơn rất nhiều. :)
Chào bạn.
Mình update lên thì bị lỗi font trên các post chính. Vô themes tùy chỉnh font thì nó không được như cũ, bạn có biết thay đổi font lại chỗ nào ko?
Bạn có sử dụng plugin tạo cache không? Nếu có thì đã xóa cache chưa? Font chữ có thể nằm trong tập tin style.css, functions.php, cũng có thể trong 1 tập tin .php riêng. :P
Mình có sử dụng plugin Wp-super cache nhưng ko biết cache thế nào bạn ơi. Ý là lúc cài themes font mặc định của nó là type A, vô theme option mình đổi nó thành type B rất Ok và hợp với web. Nhưng update lên thì nó lại về type A, có vô đổi ở theme option cũng không được.
Bây giờ mình phải vô phần tùy chỉnh nào để đổi lại font? Mình hơi gà WordPress, mới tự tập làm web nên ko rành. Hi vọng bạn bỏ thời gian giúp mình.
Ít ra bạn cũng phải cho mình biết là bạn dùng theme gì chứ? Bạn thử vào trang Settings của WP Super Cache, xóa cache sau đó thay đổi font xem sao nhé. :P
Mình xài theme Caps (Share on Theme123.Net) bạn ơi. Website của mình: http://hoclamgi.net/
Ko hiểu sao update lên mấy cái icon trên homepage bị mất hết luôn, lại lỗi font tè le. Giờ có quay lại được phiên bản WordPress trước khi update ko bạn?
Ax. Bạn dùng theme nulled (không có bản quyền) => Không thể update theme => Không tương thích với phiên bản WordPress mới => Lỗi. Ngoài ra mình phát hiện rất nhiều lỗi xuống dòng (khi xem trên Chrome 39) trên site của bạn. Bạn nên xem xét mua theme có bản quyền mà dùng. Dùng theme nulled rất dễ bị dính shell. Lúc đấy bạn sẽ mất cả chì lẫn chài đấy. :P
Cảm ơn bạn nha. Mình sẽ cân nhắc mua theme bản quyền :D
Đọc rồi mà chưa hiểu,chỉ biết là trang mình đặt adsense không được dùng lưu lượng từ trang khác
Chẳng liên quan gì luôn. Code adsen bạn đặt đâu là quyền của bạn.
Nói vậy chưa hẳn là đúng đâu. Đặt quảng cáo bậy bạ là nó ban đó. :D
Thím có đặt quảng cáo trên trang pop-up đâu mà lo. Quảng cáo nằm trên trang chính mà. :P
Thì bạn ý chỉ popup sang site cdf mà. Có phải popup là adsen đâu mà lo
Mình có 2 trang,1 cái tự động,1 cái tự update.Bữa giờ cũng đang sợ bị hack,mình cho thành viên đăng bài với quyền tác giả.Thấy mấy đứa bạn bị hack liên tục.Đứa gì xenforo,đứa thì 9gag
(ngoài lề) Hiếu cho hỏi cái.Ví dụ tôi đặt code adsense trên trang abc,trang abc tui dùng code khi người ta vào thì nó ra popup mở cửa sổ trang cdf.Cdf không đặt adsense,tôi làm vậy có vi phạm chính sách google không?
Vui lòng xem kỹ trang này để biết thêm chi tiết: https://support.google.com/adsense/answer/48182?hl=vi :P
Nó auto update mà , sáng ra nó đã update ùi , chạy rất tốt :D
Mình cũng bảo nó update tự động theo mặc định mà. :D Tuy nhiên, sáng nay mình update bằng tay. :)