上周,我们发布了 WPML 4.6.13 和 WooCommerce Multilingual 5.3.7,以修补 Wordfence 报告的安全问题。我们希望分享有关此修复的更多详细信息,以及它对您网站安全意味着什么。
事件时间线
在 WPML,安全是我们的首要任务,我们致力于确保您的网站保持安全。为此,我们与 Wordfence 密切合作,Wordfence 是 WordPress 安全社区中最受尊敬的机构之一。
Wordfence 在 7 月份就 WPML 问题联系了我们,但不幸的是,该邮件最终进入了垃圾邮件文件夹,并有一段时间未被注意到。值得庆幸的是,他们在 8 月份给我们发送了一封后续邮件,我们随即开始处理,立即修补了漏洞,并向 Wordfence 提供了修补版本进行验证。
作为优秀的合作伙伴和专家,Wordfence 在此过程中又报告了一个小的 XSS 漏洞,我们也立即进行了修补。
与此同时,我们还收到了 Patchstack 关于 WooCommerce Multilingual 中类似漏洞的报告。
在收到他们确认修复通过所有验证后,我们于 8 月 20 日发布了 WPML 4.6.13 和 WooCommerce 5.3.7。
Wordfence 的关键作用
我们想借此机会感谢 Wordfence 在识别和修补这些漏洞方面提供的巨大帮助。他们对我们和整个 WordPress 生态系统的工作的重要性怎么强调都不为过。
他们对初始报告的跟进以及在整个修补过程中的协作,证明了他们对 WordPress 社区的承诺。
此漏洞的工作原理及其对您的意义
一些在线文章将此问题描述为影响超过一百万个网站的 “关键漏洞”。虽然我们完全同意安全是一个严肃的问题,但重要的是要澄清此漏洞在实际情况中是如何工作的。
此漏洞要求恶意行为者在 WordPress 网站上拥有编辑权限。这意味着他们需要在目标网站上拥有“贡献者”或更高级别的用户角色。
话虽如此,严重性取决于您网站上用户的类型。如果您和您的团队是网站上唯一的管理员/作者/编辑,那么除了您或您的团队之外,没有人可以利用此漏洞。
另一方面,如果您的网站运行着具有“贡献者”级别访问权限的用户,并且您不认识这些人,那么您可能面临更大的风险。
最后,我们想强调的是,WPML 的大多数用户在任何时候都没有面临风险。该补丁是与 Wordfence 密切合作开发、测试和发布的,问题已完全解决。
一如既往,我们强烈建议您在网站上保持 WPML 和 WooCommerce Multilingual 的最新版本。
如有任何疑虑
对于可能对近期报告感到担忧的用户和合作伙伴,我们想向您保证,无需惊慌。问题已迅速有效地解决,没有证据表明它在实际中被利用。
如果您有任何问题或疑虑,请随时联系我们。
我们仍然致力于您网站的安全,并致力于与 Wordfence 和其他安全专家进行持续合作。
感谢您一直以来对 WPML 的信任,
WPML 团队