WordPress 4.2.2 修正重大漏洞：趕快更新避免成為 XSS 攻擊基地

要知道網站是否使用 WordPress，最簡單又白痴的測試方法就是於網址後方加上 /wp-admn；即使從伺服器端設定了相應的權限，然而只要不出現 404 頁面，那便足以證明該網站採用了 WordPress 作為其網站的 CMS 系統；根據 Wiki 官方資料，現時全球估計有 6000 萬個網站、Web App 正在使用 WordPress 作為基礎而開發。

幸好，Wordpress 亦有十分巨大的開源熱心人士參與開發工作，因此相對於其他 CMS 平台，無容置疑它的更新速度上已是最快的一個平台。近日 WordPress 又有更新釋出了。

今次 WordPress 釋出了 WordPress 4.2.2 更新。此更新主要修正了一系列 XSS 漏洞。早前我們曾詳細介紹過 XSS 的原理，有興趣可到以下連結查看。

http://www.hkitblog.com/?p=23318

簡單來說，XSS  就是通過一些較差的編程方式，並借助網頁的互動性如如搜尋欄位、留言位置更甚者是登入位置等等，通過好好利用這些「入口」，黑客便可以作所謂的 XSS（Cross Site Script）攻擊，並從中植入各種惡意指令，例如引導用户至虛假頁面，並從中偷取用户的個人資料。

而今次 WordPress 之所以作出重大安全更新，其主要原因便是與 XSS 有莫大關係。據知此漏洞最先於 WordPress 官方附送的 Theme － Twenty Fifteen 之中的 Genericons icon font package 內發現，當中包含了能夠被黑客利用作為發動 XSS 攻擊的 HTML 編寫手法漏洞。

WordPress 指出，所有於 WordPress 官方平台之中提供的 Theme 已經修正了有關漏洞，然而來自第三方平台如 Themeforest 等，卻難免仍存在有關漏洞；而 WordPress 4.2.2 便主力於 wp-content 之中找出了帶有漏洞的 HTML 檔案並將之刪除。

另外，此次更新亦順道就 WordPress 的 Core 程式進行優化，從而減少能被借用作為 XSS 攻擊的機會。

請立即更新你的 WordPress 以確保安全。