WordPress z dużą luką w zabezpieczeniach. Wtyczka naraziła na atak miliony stron internetowych
- 21.02.2022, godz. 09:31
Popularna wtyczka do tworzenia kopii zapasowych WordPress, z ponad trzema milionami użytkowników, miała w sobie poważną lukę.
Luka została już załatana, natomiast umożliwiała cyberprzestępcom dostęp do haseł, informacji o tożsamości i innych poufnych danych.
Sprawdź: Program do nagrywania ekranu
Zobacz również:
Jak donoszą analitycy bezpieczeństwa WordFence, ich badacz Marc Montpas odkrył lukę w UpdraftPlus. To wtyczka do tworzenia kopii zapasowych, przywracania i klonowania dla WordPress.
UpdraftPlus ma funkcję, która pozwala na wysyłanie linku do pobrania kopii zapasowej za pośrednictwem poczty e-mail na adres wskazany przez właściciela witryny. Jednak ta funkcja została słabo zaimplementowana i - jak twierdzi badacz - pozwalała prawie każdemu, nawet użytkownikom na poziomie subskrybenta, utworzyć prawidłowy link, który umożliwiał pobranie plików kopii zapasowych.
Jeśli ktoś korzysta z UpdraftPlus, powinien niezwłocznie zainstalować aktualizację. Poprawiona wersja to 1.22.3.
Warto dodać, że aby wykorzystać lukę, atakujący musiał mieć aktywne konto w usłudze. Potencjalne konsekwencje były natomiast "bardzo poważne", dlatego badacze podkreślają konieczność wprowadzenia aktualizacji.
Zobacz: 7-zip
Wtyczki do WordPressa zapewniają świetne funkcje, ale często niestety zawierają krytyczne błędy. Te mogą umożliwić atakującym pełne przejęcie witryny.
Niedawno odkryta została również inna luka w zabezpieczeniach, tym razem we wtyczce "WordPress Email Template Designer - WP HTML Mail". Pozwała na wstrzykiwanie złośliwego kodu JavaScript, który uruchamiał się za każdym razem, gdy administrator witryny uzyskiwał dostęp do edytora szablonów e-mail.
Jeśli więc rozwijamy strony na WordPressie, koniecznie dbajmy o to, aby wprowadzać aktualizacje i dbać o bezpieczeństwo.