WordPress 5.6 đang được tung ra với hàng tá cải tiến nhưng các nhà nghiên cứu bảo mật đã phát hiện ra một tính năng có thể khai thác.
WordPress 5.6 đã được phát hành với hàng chục cải tiến và tính năng mới. Mã có tên Simone (tôn vinh ca sĩ Nina Simone), WordPress 5.6 đã nhận được phản hồi tích cực, có thể vì nó không vi phạm bất cứ điều gì.
Bản chất của những gì mới trong WordPress 5.6 có thể được mô tả là hầu hết đều tốt, một số điểm yếu và một vấn đề xấu.
Điểm Tốt
Bật jQuery Migrate Plugin đã cập nhật
Hai bản cập nhật cuối cùng có phần khó khăn do hàng triệu trang web bị lỗi hoặc vô tình cập nhật bằng phiên bản beta của WordPress.
Vấn đề tiềm ẩn lớn nhất là với việc ngừng sử dụng và cập nhật jQuery Migrate.
WordPress 5.6 đã quản lý để tránh các sự cố plugin jQuery kế thừa gặp phải với bản cập nhật WordPress 5.5 vào tháng 8 năm 2020. Đó là bản cập nhật khiến các trang web ngừng hoạt động theo vô số cách không mong muốn.
Lý do mà những vấn đề đó đã được tránh lần này là vì WordPress 5.6 đã cập nhật plugin Bật jQuery Migrate để tránh lặp lại các trang web bị lỗi.
Khi plugin hoạt động và nhà xuất bản đã đăng nhập, plugin sẽ phát hiện jQuery lỗi thời và ghi nhật ký nó, hiển thị màn hình ở đầu trang để báo hiệu sự cố.
Plugin phát hiện các vấn đề jQuery từ trang này sang trang khác khi các trang được phân phát cho nhà xuất bản khi họ duyệt trang web.
Có một tùy chọn để thực hiện ghi nhật ký tương tự bằng cách sử dụng các trang được cung cấp cho người dùng đang duyệt trang web, nhưng WordPress cảnh báo rằng điều này có thể tạo ra tải máy chủ đáng kể và khuyến cáo không nên bật nó.
Có một trang nhật ký ngừng sử dụng hiển thị các plugin chịu trách nhiệm cho các cảnh báo. Sau khi cập nhật plugin, nhà xuất bản có thể xóa nhật ký cũ và tiếp tục duyệt lại để xem plugin Bật jQuery Migrate có phát hiện thêm sự cố hay không.
WordPress đã nêu:
“Với suy nghĩ ở trên, plugin Bật jQuery Migrate Helper đã được cập nhật cho bản phát hành WordPress 5.6, điều này cung cấp một đường dẫn hạ cấp tạm thời để chạy jQuery cũ trên một trang web khi cần thiết.
Lý do đây được coi là một giải pháp tạm thời vì phiên bản cũ hơn của jQuery không còn nhận được các bản cập nhật bảo mật và phiên bản cũ sẽ không được vá theo cách thủ công nếu có bất kỳ điều gì xảy ra bảo đảm các bản cập nhật cho nó. ”
Điểm yếu
WordPress 5.6 sẽ ra mắt với phiên bản WordPress đầu tiên của họ tương thích (phần nào) với PHP 8, phiên bản PHP mới nhất được phát hành vào tháng 11. Tuy nhiên, khả năng tương thích này được coi là tương thích với phiên bản beta.
Bởi vì tin tức về khả năng tương thích PHP 8 của WordPress quản lý tốt và ít hơn tin tốt
Như đã lưu ý trong hướng dẫn chính thức về Khả năng tương thích của WordPress 5.6 và PHP 8:
“WordPress Core nhằm mục đích tương thích với PHP 8.0 trong bản phát hành 5.6 (hiện được lên lịch vào ngày 8 tháng 12 năm 2020).
… Một nỗ lực đáng kể đã được thực hiện để làm cho WordPress 5.6 tự tương thích với PHP 8, nhưng rất có thể vẫn còn tồn tại những vấn đề chưa được phát hiện ”.
Các nhà xuất bản nên kiểm tra trước khi nâng cấp phiên bản PHP của họ vì các chủ đề và plugin tại thời điểm này rất có thể sẽ không sẵn sàng cho PHP 8.
Đó là lý do tại sao thông báo của WordPress coi khả năng tương thích với PHP 8 là một trong những bước đầu tiên, vì các lỗi tương thích tiềm ẩn và vì các chủ đề và plugin có thể chưa tương thích.
Theo WordPress:
“5.6 đánh dấu những bước đầu tiên hướng tới hỗ trợ WordPress Core cho PHP 8.”
Điểm xấu
Một trong những tính năng mới trong phiên bản 5.6 mà nhóm WordPress tự hào một cách chính đáng cũng chứa một nhược điểm tiềm ẩn mà nếu khai thác hết có thể dẫn đến việc tiếp quản toàn bộ trang web.
WP 5.6 giới thiệu xác thực API REST với Tính năng mật khẩu ứng dụng
Tính năng Mật khẩu ứng dụng cho phép các ứng dụng của bên thứ ba kết nối với trang web của bạn và thêm chức năng.
Theo WordPress:
“Nhờ tính năng ủy quyền Mật khẩu ứng dụng mới của API, các ứng dụng của bên thứ ba có thể kết nối với trang web của bạn một cách liền mạch và an toàn. Tính năng API REST mới này cho phép bạn xem những ứng dụng nào đang kết nối với trang web của bạn và kiểm soát những gì chúng làm. “
Tuy nhiên, theo nhà xuất bản plugin bảo mật WordPress Wordfence, một cuộc tấn công kỹ thuật xã hội có thể được sử dụng chống lại quản trị viên trang web để lấy thông tin đăng nhập của quản trị viên.
Kỹ thuật xã hội là một phương pháp tấn công dựa trên việc lừa cung cấp thông tin hoặc quyền truy cập.
Ví dụ: Lừa đảo là một dạng kỹ thuật xã hội trong đó kẻ tấn công có thể gửi email cho nạn nhân giả danh là ngân hàng của họ, yêu cầu họ đặt lại thông tin đăng nhập của mình.
Một liên kết trong email dẫn đến một trang web sao chép tương tự như trang web ngân hàng, nơi nạn nhân nhập tên người dùng và mật khẩu của họ, sau đó được thu thập để có quyền truy cập vào tài khoản ngân hàng của họ.
Wordfence mô tả một cuộc tấn công kỹ thuật xã hội trong đó tội phạm có thể tạo một ứng dụng mạo danh một Ứng dụng đáng tin cậy, khiến nhà xuất bản trang web cấp mật khẩu và cho phép kết nối an toàn đến trang web của họ. Wordfence mô tả mức độ phức tạp của cuộc tấn công này là “tầm thường.”
Theo Wordfence:
“Kẻ tấn công có thể lừa chủ sở hữu trang web nhấp vào liên kết yêu cầu mật khẩu ứng dụng, đặt tên cho ứng dụng độc hại của họ bất cứ thứ gì họ muốn…
Vì mật khẩu ứng dụng hoạt động với các quyền của người dùng đã tạo ra chúng, kẻ tấn công có thể sử dụng mật khẩu này để giành quyền kiểm soát trang web. ”
Wordfence đã tạo một video mô tả và thể hiện khả năng xảy ra một cuộc tấn công kỹ thuật xã hội làm ảnh hưởng đến Tính năng Mật khẩu ứng dụng mới:
Tổng quan về WordPress 5.6
WordPress 5.6 phần lớn là một thành công. Có nhiều điều rất phù hợp với nó. Mặc dù đây không phải là một tiến bộ lớn nhưng nó có những cải tiến gia tăng đối với chức năng thiết kế trang web và cải tiến chức năng.
Việc bản phát hành này quản lý để tránh sự kịch tính của hai bản phát hành cuối cùng khiến bản cập nhật này trở thành một chiến thắng vì vẫn còn vài tuần nữa vào năm 2020.
>>> Xem thêm: Dịch vụ quản lý webiste chuyên nghiệp
