Ghost 4.15.1: Cập nhật vá lỗi tính năng thành viên (member) 🐞
Bản vá bảo mật tính năng thành viên.
Kiếm Tiền Từ Việc Xuất Bản - Biến Tri Thức Thành Tài Sản
Tiếp cận thị trường toàn cầu một cách hiệu quả và tạo ra lợi nhuận nhanh nhất từ việc xuất bản blog và bản tin điện tử newsletter với ghost.
Trước đây, bạn có thể thêm thành viên vào Ghost site của bạn thông qua một API ẩn là
POST /members/api/send-magic-link/
Kỹ thuật này tuy tôi đã sử dụng thàng công, nhưng khi nhận thức lại thì nó rõ ràng tiềm ẩn rủi ro về bảo mật, và đúng là hôm nay Ghost đã chặn cách này để bảo mật.
Phương thức này có thể bị chuyển đổi sang tấn công site bạn bằng việc chèn các thành viên spam vào site bạn mà bỏ qua các lớp bảo vệ như xác thực email, cũng như thay đổi địa chỉ email của thành viên khác.
Nếu bạn đang dùng Ghost (Pro) thì bạn sẽ được cập nhật tự động. Mọi site host bởi ghostFam cũng được cập nhật phiên bản mới nhất 4.16 để bảo vệ site bạn.
Ngoài lề một chút về báo lỗi của Ghost
Tôi đã từng nghĩ việc Ghost Dashboard trưng bày quá nhiều thông tin của Ghost cũng như có chút can thiệp vào site bạn là không tốt, nhưng hôm nay sau khi nhận được các thông báo của Ghost trực tiếp ở Dashboard và email thì mới thấy rằng Ghost đã tính toán sẵn cho các tình huống mật cấp bách như hôm nay.
Thông tin chi tiết về lỗi bảo mật này bạn có thể xem tại đây.
Good job, Ghost team!👍
Cường đam mê xuất bản số, chuyên nghiên cứu khai thác sức mạnh của các nền tảng như ghost và WordPress, đồng thời chia sẻ các kỹ thuật viết SEO thực chiến hiệu quả dựa trên những công cụ này.
cuongthach.com
Cộng Đồng ghostFam
✨ Hãy kết nối và chia sẻ đam mê của bạn ngay trong cộng đồng ghostFam. Tham gia để cùng nhau tạo nên một sân chơi đầy ý nghĩa.