A Sucuri által nemrég kiadott közlemény szerint igen komoly problémával is szembesülhetnek a WordPress 4.7, illetve 4.7.1-et használó weboldal tulajdonosok, ugyanis a WordPress REST API sérülékenységét felhasználva hétköznapi, regisztráció nélküli látogatók is képesek lehetnek módosítani az oldalunkon található bármilyen bejegyzést vagy éppen oldalt, ehhez pedig még csak meg sem kell erőltetniük magukat igazán. A parafaktort erősíti az is, hogy a módosításon túl képesek lehetnek létrehozni teljesen új tartalmakat, de akár a már meglévőket is törölhetik.

Szerencsére a megoldás sem bonyolult, mindössze frissítenünk kell a WordPress core-t a legfrissebb, 4.7.2-es verzióra. Azoknál, akik bekapcsolva hagyták az automatikus frissítéseket ez már valószínűleg meg is történt, de azért érdemes ennek utánanézni. Akik kézzel frissítenek, azok pedig minél hamarabb lépjenek be a vezérlőpultba és indítsák el a folyamatot. Ez az eset is csak egy újabb bizonyítéka annak, hogy miért érdemes és hasznos az automatikus frissítések használata és a WordPress core frissen tartása.

Azt azért még fontos megemlíteni, hogy a REST API csak a 4.7-es verzió óta része a rendszernek, tehát a korábbi változatok nem érintettek ebben a sebezhetőségben.

A sérülékenységet és ennek kihasználását részletesebben is kifejti a Sucuri blogbejegyzése: https://blog.sucuri.net/2017/02/content-injection-vulnerability-wordpress-rest-api.html

Konklúzió: Mindig frissítsünk! (Core-t, bővítményeket, sablonokat)