Проблемы с WordPress 4.9.2 и 4.9.3

Вчера занимался срочным переводом своих сайтов на новую версию WordPress. Как выяснилось, в версии 4.9.2 был баг с одним из скриптов, позволяющий вырубать сайт в стиле ддос-атаки, используя лишь один-единственный компьютер. А так как большая часть моих сайтов на вордпресс — я решил проверить их вручную и накатить обновления. И вам советую поступить так же.

Уязвимость в 4.9.2

В движке есть файл load-scripts.php, работающий для администраторов. Этот скрипт выборочно вызывает джаваскрипт-файлы, переданные ему в качестве параметра load. Пример подобного вызова:

https://example.com/wp-admin/load-scripts.php?c=1&load=editor,common,user-profile,media-widgets,media-gallery

Максимум этим способом можно вызвать 181 скрипт, а через консоль поставить запуск запроса на повтор. Атакуемый сайт работает всё медленнее, пока наконец не упадёт совсем, выдавая одну из 500ых ошибок.

Более подробно можно загуглить по запросу unpatched application-level denial of service (DoS) wordpress 4.9.2 или WordPress DoS Vulnerability (CVE-2018-6389).

Ошибка в 4.9.3

В следующей версии, 4.9.3, была исправлена описанная выше уязвимость. Однако появилась другая проблема — отвалилось автоматическое обновление версий. Поэтому обновиться до актуальной на данный момент 4.9.4 придётся вручную. Для этого нужно просто зайти в админку, в раздел «Консоль» — «Обновления» и нажать на кнопку «Обновить».

Наверняка и у вас есть сайты на WP — рекомендую не откладывать данный апдейт в долгий ящик, так как напоровшись на неожиданный ддос можно с высокой вероятностью словить проблем от поисковиков за плохой аптайм сайта.