WordPress z dużą luką w zabezpieczeniach. Wtyczka naraziła na atak miliony stron internetowych

Popularna wtyczka do tworzenia kopii zapasowych WordPress, z ponad trzema milionami użytkowników, miała w sobie poważną lukę.

Wtyczka z luką naraziła na atak miliony stron na WordPressie / Fot. Stephen Phillips, Unsplash.com

Wtyczka z luką naraziła na atak miliony stron na WordPressie / Fot. Stephen Phillips, Unsplash.com

Luka została już załatana, natomiast umożliwiała cyberprzestępcom dostęp do haseł, informacji o tożsamości i innych poufnych danych.

Sprawdź: Program do nagrywania ekranu

Zobacz również:

  • Błąd w AppGallery pozwala pobierać płatne aplikacje za darmo
  • WordPress Starter ułatwi tworzenie stron internetowych

Jak donoszą analitycy bezpieczeństwa WordFence, ich badacz Marc Montpas odkrył lukę w UpdraftPlus. To wtyczka do tworzenia kopii zapasowych, przywracania i klonowania dla WordPress.

UpdraftPlus ma funkcję, która pozwala na wysyłanie linku do pobrania kopii zapasowej za pośrednictwem poczty e-mail na adres wskazany przez właściciela witryny. Jednak ta funkcja została słabo zaimplementowana i - jak twierdzi badacz - pozwalała prawie każdemu, nawet użytkownikom na poziomie subskrybenta, utworzyć prawidłowy link, który umożliwiał pobranie plików kopii zapasowych.

Jeśli ktoś korzysta z UpdraftPlus, powinien niezwłocznie zainstalować aktualizację. Poprawiona wersja to 1.22.3.

Warto dodać, że aby wykorzystać lukę, atakujący musiał mieć aktywne konto w usłudze. Potencjalne konsekwencje były natomiast "bardzo poważne", dlatego badacze podkreślają konieczność wprowadzenia aktualizacji.

Zobacz: 7-zip

Wtyczki do WordPressa zapewniają świetne funkcje, ale często niestety zawierają krytyczne błędy. Te mogą umożliwić atakującym pełne przejęcie witryny.

Niedawno odkryta została również inna luka w zabezpieczeniach, tym razem we wtyczce "WordPress Email Template Designer - WP HTML Mail". Pozwała na wstrzykiwanie złośliwego kodu JavaScript, który uruchamiał się za każdym razem, gdy administrator witryny uzyskiwał dostęp do edytora szablonów e-mail.

Jeśli więc rozwijamy strony na WordPressie, koniecznie dbajmy o to, aby wprowadzać aktualizacje i dbać o bezpieczeństwo.

W celu komercyjnej reprodukcji treści Computerworld należy zakupić licencję. Skontaktuj się z naszym partnerem, YGS Group, pod adresem [email protected]

TOP 200