Groźna luka WordPressa wystawia strony na niebezpieczeństwo

Aby skorzystać z opisanej poniżej luki WordPressa, osoba atakująca musi najpierw uzyskać uprawnienia do wgrywania i usuwania plików multimedialnych. Innymi słowy wystarczy, by przejęła konto użytkownika o niskim poziomie uprawnień (np. “autor”), lub wykorzystała błędną konfigurację. Luka pozwala takiemu cyberprzestępcy usunąć różne rodzaje plików takie jak:
wordpress luka
wordpress luka

  • .htaccess – skasowanie jednego z takich plików teoretycznie nie powoduje groźnych konsekwencji, ale w niektórych przypadkach może on zawierać ograniczenia związane z bezpieczeństwem (np. dostęp do wybranych folderów). Usunięcie go zatem może dać nieuprawnionej osobie dostęp do danych.
  • index.php – bywa, że pusty plik tego typu jest umieszczany w katalogu, by zapobiec wyświetlaniu listingu plików w przypadku liberalnej konfiguracji serwera. Usunięcie takiego pliku da atakującemu dostęp do listy wszystkich chronionych tą metodą plików.
  • fc-config.php – usunięcie tego pliku uruchamia proces ponownej instalacji WordPressa podczas następnej wizyty na stronie. Plik ten zawiera hasło i login do bazy danych i bez jego obecności system działa tak, jakby nie był jeszcze zainstalowany. Osoba atakująca przechodzi w ten sposób cały proces instalacji i może nadać sobie uprawnienia administratora, co w efekcie pozwoli jej na dokonanie dowolnej operacji na stronie.

Tym samym cyberprzestępca może łatwo uszkodzić konfigurację całej strony. W sytuacji, w której ofiara nie będzie posiadała backupu konsekwencje mogą być bardzo poważne. Warto zauważyć, że opisana podatność, może również pozwolić atakującemu działać dyskretniej poprzez zainstalowanie na serwerze złośliwego kodu. Chociaż firma RipsTech zgłosiła obecność luki w listopadzie 2017 roku, do tej pory nie wydano poprawki, która naprawiałaby błąd. W grudniu uzyskano tylko potwierdzenie, że eksperci bezpieczeństwa pracują nad łatką do platformy. Skontaktowaliśmy się w tej sprawie między innymi z firmą Automattic, operatorem największego serwisu opartego na WordPressie, ale nadal czekamy na komentarz.

WordPress jest najpopularniejszym systemem CMS na świecie (fot. Pixabay)

Co robić, by odpowiednio zabezpieczyć swojego WordPressa?

Chociaż problem jest poważny i może uczynić dużo szkody w systemie zarządzania treścią, musimy pamiętać, że w tym konkretnym przypadku mamy do czynienia z podatnością niższego poziomu.

 — Atakujący musi najpierw w jakiś sposób uzyskać dostęp do uprawnień użytkownika strony, by wykorzystać ten błąd w praktyce. Jeżeli zadbamy o odpowiedni poziom uwierzytelniania (np. uwierzytelnianie dwuskładnikowe) administratorów i wszystkich pracowników mających konto w serwisie, to cyberprzestępca nie będzie mógł skorzystać z tej metody. — sugeruje Michał Jarski, wiceprezes Wheel Systems, firmy produkującej rozwiązania z zakresu cyberbezpieczeństwa.

Administratorzy WordPressa mogą również dodać do systemu fragment kodu, który blokuje możliwość skasowania plików. Dokładną poradę znajdziecie w artykule źródłowym Ripstech.

Jak słusznie zauważa Michał Jarski, WordPress co pewien czas boryka się z podobnymi problemami ponieważ jest jednym z najpopularniejszych systemów do publikacji na świecie (korzysta z niego nawet 25% stron w całym internecie), przez co stanowi łakomy kąsek dla cyberprzestępców. Na podobnej zasadzie jak Windows względem innych systemów operacyjnych. Do tego mamy tu do czynienia z problemem fragmentacji, podobnie jak w przypadku systemu Microsoftu. Dużo firm i klientów indywidualnych zaniedbuje i nie przeprowadza aktualizacji WordPressa, przez co wiele stron korzysta z różnych, czasami bardzo przestarzałych, wersji tego CMS-a. Nie usprawiedliwia to jednak tej platformy przed odwlekaniem wydania łatki bezpieczeństwa. | CHIP