Zespół WordPress opublikował aktualizację WordPress 7.0.2, która usuwa dwie poważne podatności bezpieczeństwa. Jedna z nich została sklasyfikowana jako krytyczna, ponieważ w określonych warunkach może doprowadzić do wykonania dowolnego kodu na serwerze (Remote Code Execution – RCE), a w konsekwencji do przejęcia strony internetowej.
Jeżeli korzystasz z WordPressa, zalecamy niezwłoczną aktualizację do wersji 7.0.2 (lub najnowszej dostępnej wersji dla Twojej gałęzi wydawniczej).
Jakie podatności zostały wykryte?
W najnowszych wersjach WordPressa wykryto dwie luki bezpieczeństwa:
CVE-2026-63030 – krytyczna podatność (SQL Injection → RCE)
Najpoważniejsza z wykrytych luk umożliwia przeprowadzenie ataku typu SQL Injection, który w określonych scenariuszach może doprowadzić do zdalnego wykonania kodu (Remote Code Execution – RCE). Oznacza to, że atakujący może uzyskać możliwość wykonywania poleceń na serwerze, a w konsekwencji przejąć kontrolę nad witryną.
Podatne wersje:
- WordPress 6.9.0 – 6.9.4
- WordPress 7.0.0 – 7.0.1
CVE-2026-60137 – poważna podatność SQL Injection
Druga luka umożliwia nieautoryzowany dostęp do danych znajdujących się w bazie danych WordPressa. Chociaż sama w sobie nie prowadzi do wykonania kodu, może skutkować wyciekiem poufnych informacji lub stanowić pierwszy etap bardziej zaawansowanego ataku.
Podatne wersje:
- WordPress 6.8.0 – 6.8.5
- WordPress 6.9.0 – 6.9.4
- WordPress 7.0.0 – 7.0.1
Dlaczego aktualizacja jest tak ważna?
W przeciwieństwie do wielu podatności wymagających wcześniejszego zalogowania do panelu administracyjnego, opisywane luki nie wymagają uwierzytelnienia. Oznacza to, że potencjalny atak może zostać przeprowadzony bez posiadania konta w WordPressie.
W praktyce skutki wykorzystania takich podatności mogą obejmować:
- przejęcie kontroli nad stroną internetową,
- wyciek danych z bazy danych,
- umieszczenie złośliwego oprogramowania,
- przekierowywanie odwiedzających na niebezpieczne strony,
- wysyłanie spamu z serwera,
- wykorzystanie strony do dalszych ataków.
Zespół WordPress uznał zagrożenie za na tyle poważne, że uruchomił automatyczne aktualizacje bezpieczeństwa. Warto jednak pamiętać, że nie każda instalacja aktualizuje się automatycznie – szczególnie jeśli automatyczne aktualizacje zostały wcześniej wyłączone lub wystąpił błąd podczas procesu.
Jak bezpiecznie zaktualizować WordPressa?
Sama aktualizacja trwa zwykle kilka minut, jednak warto wykonać ją zgodnie z dobrymi praktykami.
1. Wykonaj kopię zapasową
Przed rozpoczęciem aktualizacji wykonaj pełny backup:
- plików strony,
- bazy danych.
Dzięki temu w razie problemów możliwe będzie szybkie przywrócenie poprzedniej wersji.
2. Zaktualizuj WordPressa
Zaloguj się do panelu administracyjnego WordPress.
Przejdź do:
Kokpit → Aktualizacje
i zainstaluj najnowszą dostępną wersję.
Jeżeli korzystasz z WordPressa 7.x, zalecana wersja to 7.0.2.
3. Zaktualizuj motywy i wtyczki
Po zakończeniu aktualizacji WordPressa sprawdź, czy wszystkie motywy i wtyczki również posiadają najnowsze wersje.
Nieaktualne rozszerzenia są jedną z najczęstszych przyczyn włamań do stron internetowych.
4. Zweryfikuj działanie strony
Po aktualizacji sprawdź:
- czy strona otwiera się poprawnie,
- czy działa panel administracyjny,
- formularze kontaktowe,
- sklep internetowy (jeżeli korzystasz z WooCommerce),
- integracje z zewnętrznymi usługami.
Co zrobiliśmy w SEOHOST.pl?
Bezpieczeństwo naszych klientów traktujemy priorytetowo.
Po opublikowaniu informacji o podatnościach wdrożyliśmy dodatkowe reguły ModSecurity (WAF), które mają na celu ograniczenie możliwości wykorzystania opisanych luk.
Należy jednak pamiętać, że nawet najlepszy Web Application Firewall nie zastąpi aktualizacji aplikacji. Reguły bezpieczeństwa stanowią dodatkową warstwę ochrony, ale nie eliminują źródła problemu.
Dlatego wszystkim użytkownikom WordPressa rekomendujemy jak najszybszą aktualizację do wersji 7.0.2.
Podsumowanie
Jeżeli Twoja strona działa na podatnej wersji WordPressa, nie warto odkładać aktualizacji na później.
Najważniejsze kroki:
- zaktualizuj WordPressa do wersji 7.0.2,
- wykonaj wcześniej kopię zapasową,
- zaktualizuj wszystkie motywy i wtyczki,
- usuń nieużywane rozszerzenia,
- regularnie monitoruj dostępność kolejnych aktualizacji bezpieczeństwa.
Kilka minut poświęconych na aktualizację może uchronić stronę przed przejęciem, utratą danych i kosztownym procesem odzyskiwania serwisu po ataku.
Komentarze