Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Software-update: WordPress 4.7.5

Door , 6 reacties, bron: WordPress

WordPress logo (75 pix)Er is een update voor versie 4.7 van WordPress uitgekomen. Met dit programma, dat onder een gpl-licentie beschikbaar wordt gesteld, is het mogelijk om een weblog op te zetten en bij te houden. WordPress is eenvoudig in te stellen en kan binnen vijf minuten draaien als er al een server met php en MySQL beschikbaar is. Er zijn mogelijkheden om de functionaliteit van WordPress, naast bloggen, verder uit te breiden en het uiterlijk met plug-ins en thema's aan te passen.

In versie 4.7 is er onder meer een nieuw standaard thema met de naam Twenty Seventeen, is het makkelijker om menu's aan te maken en is het mogelijk om de website en het admin panel in verschillende talen per gebruiker te hebben. In versie 4.7.5 zijn verder nog de volgende verbeteringen aangebracht.

WordPress 4.7.5 Security and Maintenance Release
This is a security release for all previous versions and we strongly encourage you to update your sites immediately. WordPress versions 4.7.4 and earlier are affected by six security issues:
  • Insufficient redirect validation in the HTTP class.
  • Improper handling of post meta data values in the XML-RPC API.
  • Lack of capability checks for post meta data in the XML-RPC API.
  • A Cross Site Request Forgery (CRSF)  vulnerability was discovered in the filesystem credentials dialog.
  • A cross-site scripting (XSS) vulnerability was discovered when attempting to upload very large files. Reported by Ronni Skansing.
  • A cross-site scripting (XSS) vulnerability was discovered related to the Customizer.
In addition to the security issues above, WordPress 4.7.5 contains 3 maintenance fixes to the 4.7 release series. For more information, see the release notes or consult the list of changes.
Versienummer 4.7.5
Releasestatus Final
Besturingssystemen Scripttaal
Website WordPress
Download http://wordpress.org/wordpress-4.7.5.zip
Bestandsgrootte 8,35MB
Licentietype GPL

Reacties (6)

Wijzig sortering
Blijkt maar weer; als je de XML-RPC API niet gebruikt kun je die het beste uitschakelen om jezelf te beschermen tegen eventuele volgende lekken. :)

Zie reactie onder mij voor Apache, dit kun je gebruiken voor Nginx:


location = /xmlrpc.php {
deny all;
access_log off;
log_not_found off;
}

location = /wp-admin/press-this.php {
deny all;
access_log off;
log_not_found off;
}

[Reactie gewijzigd door Erulezz op 17 mei 2017 09:26]

Ik had het nooit in de back-end gezien hoe je dat 'ff' kan uitzetten. Blijkt ook weer dat dat daar niet zit. Je kan het uitzetten door de volgende code in je .htaccess te plaatsen:


# Block WordPress xmlrpc.php requests
<Files xmlrpc.php>
order deny,allow
deny from all
allow from 123.123.123.123
</Files>


123.123.123.123 moet je dan vervangen met eigen IP natuurlijk, indien nodig.

[Reactie gewijzigd door Settler11 op 17 mei 2017 09:15]

Of in pure PHP :)
quote: PHP
add_filter('xmlrpc_enabled', '__return_false');

[Reactie gewijzigd door P1nGu1n op 17 mei 2017 14:34]

Die XML-RPC API, ga je die gebruiken bij normaal wordpress gebruik ?
is voor mij even nieuw namelijk.
Als je de mobiele app gebruikt dan wel, anders bijna niet volgens mij. De Jetpack plugin gebruikt hem ook.
Je gebruikt hem om via bv. een Android App (van WordPress) te communiceren met de backend van je site.

Zo kan je realtime foto's uploaden van een event, en voorzien van commentaar.

Direct van je telefoon, naar je CMS... kan handig zijn - maar 99% van de gebruikers doet dat niet.

Om die reden blokkeer ik de (REST) API en XML-RPC standaard bij elke uitrol van een WP-site.

Als men dan merkt dat het niet werkt, en er is gegronde reden dat het wel moet werken, dan zet ik het alsnog aan.

Liever opt-in dan opt-out met deze verborgen opties.

Op dit item kan niet meer gereageerd worden.


Nintendo Switch Google Pixel XL 2 LG W7 Samsung Galaxy S8 Google Pixel 2 Sony Bravia A1 OLED Microsoft Xbox One X Apple iPhone 8

© 1998 - 2017 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Hardware.Info de Persgroep Online Services B.V. Hosting door True

*