Először is nyugodj meg: ha csak neked van hozzáférésed a saját oldaladhoz, akkor nincs igazán mitől félned.
Akkor kezdj el kicsit félni, ha valaki hozzá tud jutni vagy rendelkezik legalább „szerző” szerepkörrel rendelkező felhasználóhoz az oldaladon. Így ugyanis képes lesz tetszőleges fájlokat törölni az oldal mögül, beleértve a rendszerfájlokat, feltöltéseket, htaccess fájlt, vagy az alap konfigurációt tartalmazó wp-config.php fájlt is. Sőt, ha a felhasználónak (aminek a nevében fut a PHP folyamat) jogosultsága van más mappákhoz és fájlokhoz a kiszolgálón, akkor azokat is törölheti.
Ez a rés az összes eddig megjelent WordPress verziót érinti, és a javítása még nincs kész. Pedig a hibát felfedező RIPS Technologies már 7 hónappal ezelőtt jelezte a hibát a WordPress biztonsági csapatának. Ezt egy kicsit cikinek is érzem.
Nem mennék bele részletesen a hiba elemzésébe, ezt már sokan megtették, és a hibát felfedező RIPS is részletesen leírta a problémát.
Az alábbi videóban megtekinthető működés közben:
De ami a jó hír, hogy a RIPS nem csak a hibát publikálta, hanem rögtön egy hotfixet is közétettek. Ezt egész egyszerűen csak be kell másolnod az aktuálisan használt sablonod functions.php fájljába:
add_filter( 'wp_update_attachment_metadata', 'rips_unlink_tempfix' ); function rips_unlink_tempfix( $data ) { if( isset($data['thumb']) ) { $data['thumb'] = basename($data['thumb']); } return $data; }
Talán soha nem volt még ennyire fontos, hogy legyen biztonsági mentés. A WordPress biztonsági csapatának meg üzenjük, hogy kapják össze magukat!
Figyelni fogom az ezzel kapcsolatos eseményeket, és ha történik előrelépés, mindenképpen frissíteni fogom a bejegyzést.
Update 2018.07.05.
Megjelent a WordPress 3.9.7., amiben javították a hibát. A fenti kódrészlet a továbbiakban már nem szükséges.