最新公告
  • 欢迎您光临IO源码网,本站秉承服务宗旨 履行“站长”责任,销售只是起点 服务永无止境!立即加入我们
  • Jetpack 9.8引入Stories区块以及强制安全更新

    Jetpack 9.8于本周发布,将WordPress Stories作为标题功能引入。允许用户创建交互式故事的区块以前只能在移动设备上使用,现在可以在Web编辑器中使用。Stories于2021年1月在 Android 应用程序上进入公测阶段,并于3月在移动应用程序上正式发布。

    Jetpack 9.8

    9.8 版还包括一个适用于所有使用轮播功能的站点的安全补丁。该漏洞允许泄露未发布页面/文章的评论。Jetpack团队与WordPress.org合作发布了 78 个补丁版本——Jetpack 2.0以来的每个版本,这已经足够严重了。不使用Carousel功能的站点不会受到攻击,但如果启用并且未打补丁,将来可能会受到攻击。

    WordPress.org罕见地向所有易受攻击的Jetpack版本推送了强制更新,这让禁用自动更新的人感到惊讶。一些Jetpack用户在支持论坛上发帖,询问为什么该插件未经许可自动更新,并且在某些情况下没有更新到最新版本。

    因此,即使禁用了自动更新,此更新也是WordPress网站上的强制更新?

    昨晚凌晨 2 点,我们在一个prod站点上启用了此功能,该站点出于非常具体的原因禁用了自动更新。

    — 布拉德·威廉姆斯 (@williamsba) ,2021 年 6 月 3 日

    Jetpack团队成员Jeremy Herve表示,该漏洞是通过Hackerone负责任地披露的,允许他们针对该问题开发补丁。准备就绪后,Jetpack团队联系了WordPress.org安全团队,告知他们一个影响插件多个版本的漏洞。

    “我们向他们发送了补丁以及我们拥有的所有信息(漏洞的PoC、哪些功能必须处于活动状态、哪些版本的Jetpack受到影响),”Herve说。“他们建议我们也为旧版本的Jetpack发布版本。

    “我们创建了那些新的版本,当我们准备发布它们时,WordPress.org团队中的某个人在WordPress.org方面做了一些更改,这样运行旧的易受攻击版本插件的人就会得到自动更新,就像它对WordPress的核心版本起作用一样。。”

    Jetpack团队成员Brandon Kraft估计,易受攻击的站点数量占该插件活跃安装的18%。他说Jetpack不是关于推出强制更新的讨论的一部分。

    我们没有参与讨论。提供了详细信息并得到了回应,但我不希望安全会议是公开的。但是,是的。单个功能受到影响。一些事情需要全部真实才能在网站上发挥作用,这看起来像是合格的网站IIRC的 18%。

    – 一个叫卡夫的人(@Kraft) 2021 年 6 月 3 日

    “更令人困惑的是WordPress 5.5为插件(和主题)自动更新添加了一个UI,” Herve说。“该UI在帮助人们管理其网站上的插件自动更新的同时,与Core的强制更新过程略有不同。网站所有者可以停用这两种更新类型,就像可以停用core的自动更新一样,但我不相信(老实说也不建议)许多人停用这些更新。”

    Brandon Kraft深入研究了该主题并发表了一篇文章,解释了自动更新和强制更新之间的区别。如果您不想在将来收到任何强制更新,它包括如何锁定文件修改。然而,强制更新极为罕见,自2013年以来,Kraft算到Jetpack只有3个强制更新。

    在这种情况下,Jetpack团队遵循官方流程向插件和安全团队报告关键漏洞,他们根据设定的标准确定对用户的影响。

    在这种情况下,Jetpack团队遵循了“向插件和安全团队(根据一套标准来判断对用户的影响)报告严重漏洞”的官方流程。收到有关Jetpack自动更新的电子邮件通知的用户,尽管已将仪表板中的UI设置为禁用它们,但应注意,出于安全目的,这些强制更新可能会出现一次。

    NOC的创始人兼Sucuri的前首席执行官Tony Perez,认为在WordPress中使用自动更新UI时,强制执行这样的安全更新违反了用户的意图。他强调了如果系统容易受到不良行为者的攻击,就有可能被滥用。

    “该平台正在做出一个积极的决定,当他们明确表示不想做某事时,这可能与站点管理员的意图背道而驰,”佩雷斯说。“说白了,这是WordPress用户和帮助维护项目的基金会之间存在的信任滥用。

    “我的立场不是它不应该存在。这是一场更深入的意识形态辩论,但它是关于尊重管理员的明确意图。”

    1. 本站所有资源来源于用户上传和网络,因此不包含技术服务请大家谅解!如有侵权请邮件联系客服!384324621@qq.com
    2. 本站不保证所提供下载的资源的准确性、安全性和完整性,资源仅供下载学习之用!如有链接无法下载、失效或广告,请联系客服处理,有奖励!
    3. 您必须在下载后的24个小时之内,从您的电脑中彻底删除上述内容资源!如用于商业或者非法用途,与本站无关,一切后果请用户自负!
    4. 如果您也有好的资源或教程,您可以投稿发布,成功分享后有★币奖励和额外收入!

    IO 源码网 » Jetpack 9.8引入Stories区块以及强制安全更新

    常见问题FAQ

    免费下载或者VIP会员专享资源能否直接商用?
    本站所有资源版权均属于原作者所有,这里所提供资源均只能用于参考学习用,请勿直接商用。若由于商用引起版权纠纷,一切责任均由使用者承担。更多说明请参考 VIP介绍。
    提示下载完但解压或打开不了?
    最常见的情况是下载不完整: 可对比下载完压缩包的与网盘上的容量,若小于网盘提示的容量则是这个原因。这是浏览器下载的bug,建议用百度网盘软件或迅雷下载。若排除这种情况,可在对应资源底部留言,或 联络我们.。
    找不到素材资源介绍文章里的示例图片?
    对于PPT,KEY,Mockups,APP,网页模版等类型的素材,文章内用于介绍的图片通常并不包含在对应可供下载素材包内。这些相关商业图片需另外购买,且本站不负责(也没有办法)找到出处。 同样地一些字体文件也是这种情况,但部分素材会在素材包内有一份字体下载链接清单。
    IO源码吧
    一个高级程序员模板开发平台

    发表评论

    • 97会员总数(位)
    • 11020资源总数(个)
    • 95本周发布(个)
    • 9 今日发布(个)
    • 439稳定运行(天)

    提供最优质的资源集合

    立即查看 了解详情