หลังจากที่ WordPress ได้ออกเวอร์ชั่น 4.9.3 เพื่อใช้อุดช่องโหว่ 34 ช่องไปเมื่อไม่นานมานี้ ผลปรากฏว่าเวอร์ชั่นใหม่นี้กลับมีปัญหาเสียแล้ว ข้อผิดพลาดที่เกิดขึ้นนี้เกิดจาก error ของ PHP ที่พยายามจะไปขัดขวางการอัปเดตอัตโนมัติในระหว่างที่ WordPress กำลังทำการอัปเดต ซึ่งหลังจากทาง WordPress ได้ปล่อยแพทช์อัปเดตเวอร์ชั่น 4.9.3 ไปไม่กี่ชั่วโมง ทางทีมงาน WordPress ก็พบข้อผิดพลาดที่เกิดขึ้น ดังนั้นจึงได้ทำการออกเวอร์ชั่น 4.9.4 เพื่อแก้ปัญหาข้อผิดพลาดดังกล่าว ซึ่งถ้าหากผู้ใช้ไม่ได้ทำการอัปเดตด้วยตนเองเป็นเวอร์ชั่น 4.9.4 บั๊กก็จะทำให้ เว็บไซต์ของผู้ใช้เป็น WordPress เป็นเวอร์ชั่น 4.9.3 ตลอดไป ทำให้เสี่ยงต่อปัญหาด้านความปลอดภัยในอนาคต
Dion Hulse หัวหน้าฝ่ายพัฒนาของ WordPress ได้อธิบายถึงปัญหาเกิดจาก # 43103-core ต้องการไปฃดจำนวนการเรียน API เมื่อ Cron task มีการรันอัปเดตอัตโนมัติ เนื่องจากเกิด human error ทำให้การกระทำขั้นสุดท้ายไม่เป็นไปตามที่ตั้งไว้ ซึ่งกลับทำให้เกิดข้อผิดพลาดอย่างร้ายแรงแทน เช่นเดียวกันกับที่ไม่สามารถใช้ find_core_auto_update() ได้ทั้งหมด
สำหรับปัญหาที่เกิดขึ้นนี้ ได้รับการแก้ไขเรียบร้อยแล้ว วิธีการอัปเดตทำได้โดย
- อัปเดตผ่านทาง WordPress Administration : ให้ไปที่ WordPress Dashboard → Updates และคลิกที่ “Update Now.”
- อัปเดตผ่าน WP-CLI : ถ้าคุณมี command line ที่เข้าสู่ WordPress และติดตั้ง WP-CLI การอัปเดต wp core จะช่วยให้คุณอัปเดตได้เร็วขึ้น
- อัปเดตด้วยตัวเองผ่าน FTP : หากคุณอัปเดตด้วยการดาวน์โหลดไฟล์ ZIP และใช้ FTP ในการอัปโหลดไฟล์ไปยังเว็บ วิธีการทำเพียงแค่เปลี่ยนไฟล์ wp-includes/update.php & wp-includes/version.php.
- อัปเดตด้วย PHP : หากคุณมี command line ที่เข้าสู่ WordPress สามารถทำการอัปเดตได้โดยรัน wp_maybe_auto_update() ใน WordPress
เมื่ออัปเดตเสร็จแล้วให้ทำการตรวจสอบว่า WordPress ของคุณเป็นเวอร์ชั่น 4.9.4 แล้วหรือไม่ แต่อย่างไรก็ดีในตอนนี้ยังไม่ได้รับรายงานเกี่ยวกับบั๊กนี้จากเว็บไซต์ที่ได้ทำการอัปเดตไปแล้ว ผู้ใช้บางคนยังเห็นว่าเว็บของตนได้ทำการอัปเดตการติดตั้งทั้ง 2 เวอร์ชั่นอัตโนมัติอีกด้วย แต่ถึงอย่างไรข่าวที่เกี่ยวกับช่องโหว่ DoS นั้นยังไม่มีวี่แววว่าจะออกโปรแกรมเพื่อแก้ไขปัญหาช่องโหว่นี้เลย ในตอนนี้ เว็บไซต์ WordPress ส่วนใหญ่มักจะตกเป็นเป้าหมายของแฮกเกอร์ เนื่องจากเป็นที่นิยมใช้กันอย่างแพร่หลาย ดังนั้นผู้ดูแลระบบควรดำเนินการตรวจสอบ software และ plugin อยู่เสมอๆ เพื่อเป็นการป้องกัน
ที่มา : The Hacker News, Wordfence, WordPress blog
