Sinds WordPress 4.7 “Vaughan” op 6 december werd uitgerold, is deze versie al meer dan 10 miljoen keer gedownload. Inmiddels is WordPress 4.7.1 beschikbaar. Het betreft een beveiligingsupdate, dus nieuwe functies hoeven we niet te verwachten. Wel raden we sterk aan om je WordPress website(s) zo snel mogelijk te updaten.
Verholpen beveiligingsproblemen in WordPress 4.7.1
In WordPress 4.7.1 zijn 61 bugfixes doorgevoerd. Ook zijn er 8 beveiligingsproblemen verholpen:
- Remote code execution (RCE) in PHPMailer
- De REST API gaf gebruikersdata vrij voor alle gebruikers die een post met een public post type hadden geschreven. WordPress 4.7.1 beperkt dit tot post types waarin gespecifieerd is dat ze binnen de REST API moeten worden weergegeven.
- Cross-site scripting (XSS) via de plugin naam of versie header op update-core.php.
- Cross-site request forgery (CSRF) bypass via het uploaden van een Flash file.
- Cross-site scripting (XSS) via thema naam fallback.
- Post via email controleert mail.example.com of de standaard instellingen niet zijn aangepast.
- Er werd een cross-site request forgery (CSRF) ontdekt in de toegangelijkheid modus van widget editing.
- Zwakke cryptografische beveiliging voor multisite activatie sleutel.
WordPress 4.7.1 downloaden
WordPress 4.6.1 is hier te downloaden. Je kunt ook naar je WordPress Dashboard gaan en dan naar Updates > Update Now. WordPress websites waar automatische updates zijn ingeschakeld zijn al begonnen met updaten naar de nieuwe WordPress versie.
(bron: Wphandleidingen.nl)