Groźne luki w popularnych wtyczkach WordPressa

Trzy pluginy popularnego oprogramowania do tworzenia i edycji stron internetowych pozwalały hakerom na przejęcie kontroli nad witryną. Narażeni na ataki byli użytkownicy skryptow: Appointments, Flickr Gallery i RegistrationMagic - Custom Registration Forms. Ich twórcy już opublikowali aktualizacje bezpieczeństwa.

Serwis Wordfence wykrył, że wymienione wtyczki (uzupełniające oprogramowanie o dodatkowe funkcje) umożliwiają wgranie na serwer pliku, dającego nieograniczony dostęp do skryptu WordPressa. W przypadku Flickr Gallery wystarczyło tylko za pomocą metody POST zainstalować w odpowiednim miejscu na stronie backdoor. Atak za pomocą dwóch pozostałych wtyczek następował przez wykonanie zapytania skryptu admin-ajax.php. Zagrożone są:

Aby się ustrzec przed włamaniem, zainstalujcie najnowsze wersje wtyczek, które już zostały zaktualizowane przez ich twórców. Radzimy też wyłączyć możliwość wykonywania skryptów PHP na serwerze w folderach /wp-includes/ oraz /wp-content/uploads/. Na serwerach z zainstalowanym Apachem możemy to zrobić tworząc w tych folderach plik .htaccess z kodem następującej treści:

<Files *.php>
deny from all
</Files>

Najlepiej jednak domyślnie zablokować możliwość wykonywania plików we wszystkich folderach i przyznać go tylko tam, gdzie jest to konieczne. Można również pomyśleć o ograniczeniu możliwości dokonywania zmian w skryptach WordPressa za pomocą praw plików systemu operacyjnego.

Pamiętajcie też o cyklicznym aktualizowaniu zainstalowanych wtyczek oraz samego WordPressa. Warto też co jakiś czas przeglądać logi serwera. Nieaktualizowane serwisy, działające na popularnych skryptach, są częstym celem cyberprzestępców. Włamanie nie musi być widoczne na pierwszy rzut oka, gdyż taki przejęty portal-zombie jest wykorzystywany przez długi czas na przykład do rozsyłania spamu. | CHIP

Źródło: Wordfence
Close

Choć staramy się je ograniczać, wykorzystujemy mechanizmy takie jak ciasteczka, które pozwalają naszym partnerom na śledzenie Twojego zachowania w sieci. Dowiedz się więcej.