WordPress 3.8.2更新提供了额外的检查以限制pingback攻击的风险

全世界的WordPress博客已于4月8日开始接受自动安全更新，以修复安全漏洞。WordPress 3.8.2和3.7.2更新分别提供五个安全修复程序以及多个非安全错误更新。

开源WordPress内容管理系统已在世界各地广泛部署，并用于为许多世界领先的技术媒体站点提供支持。2013年10月，该公司发布了WordPress 3.7，该软件为用户提供了自动更新功能，可进行重要的安全性和错误修复。WordPress 3.8于2013年12月首次发布，并于1月自动更新了3.8.1版，其中包含31个错误修复程序。

WordPress 3.8.2和3.7.2更新包括针对CVE-2014-0165的修复程序，该修复程序是一个特权升级漏洞，可能使未经授权的贡献者能够发布帖子。

另一个重要的安全修复程序被标识为CVE-2014-0166，并且是cookie伪造问题。Cookies在WordPress和整个Web中用作身份验证和会话功能的机制。CVE-2014-0166漏洞可能使攻击者能够通过伪造的身份验证Cookie来未经授权访问WordPress网站。

WordPress还提供了三种安全强化功能，以进一步降低遭受攻击的风险。强化修复程序中的一种是针对影响较小的SQL注入风险的修复程序，该风险可能来自受信任的用户。新的WordPress更新还包括一个代码强化修复程序，以限制WordPress用于上传文件的Plupload库中跨域脚本缺陷的潜在风险。

但是，最大的安全性增强影响可能来自一种新的机制，该机制可帮助减少来自WordPress安装的pingback攻击的影响。

pingback攻击利用WordPress中的XML-RPC(远程过程调用)pingback功能来发起DDoS攻击。XML-RPC在WordPress中合法使用，以允许内容所有者跟踪其内容在何处链接。

WordPress开发人员Andrew Nacin在WordPress 3.8.2发布公告中写道，新更新将“在处理pingback时传递附加信息，以帮助主机识别潜在的滥用请求。”

3月，WordPress 牵涉到广泛的分布式拒绝服务(DDoS)攻击，该攻击利用了WordPress中的pingback引用功能。根据安全公司Sucuri的说法，该功能已被162,000个WordPress网站的攻击者滥用以进行DDoS攻击。

在WordPress更新现有用户的同时，该开源项目也正在朝着其下一个版本迈进。WordPress 3.9将于下周首次亮相，具有新的图像编辑和实时主题预览功能。

　　免责声明：本文由用户上传，与本网站立场无关。财经信息仅供读者参考，并不构成投资建议。投资者据此操作，风险自担。 如有侵权请联系删除！