Popularna wtyczka do WordPressa stanowi zagrożenie

Zagrożonych jest ponad 40 000 stron internetowych korzystających z popularnej wtyczki do mediów społecznościowych. Na szczęście lukę udało się załatać twórcom wtyczki, ale nie wiadomo ile cybeprzestępców skorzystało z okazji.

Badacz bezpieczeństwa z WebARX niedawno odkrył lukę w „Simple Social Buttons”, wtyczce umożliwiającej administratorom witryny umieszczanie przycisków udostępniania prowadzących do mediów społecznościowych, takich jak Facebook i Twitter, wewnątrz artykułów, sekcji komentarzy i innych częściach witryny.

Luka umożliwia każdemu użytkownikowi, który może utworzyć nowe konto w witrynie, wykorzystanie wtyczki i użycie jej w celu uzyskania dostępu do ustawień administracyjnych. To może dać cyberprzestępcom okazję do przejęcia strony internetowej. Luka ta została przedstawiona w poniższym filmie:

Jak widać, cała operacja jest dość prosta. Nie wiadomo od jak dawna luka była obecna w oprogramowaniu. Szczególne obawy wzbudza skala problemu. Według twórców wtyczki, WPBrigade, „Simple Social Buttons” został pobrany ponad 500 000 razy. Oficjalne dane WordPress podają natomiast, że został zainstalowany na ponad 40 000 stron internetowych. Problem został zgłoszony twórcom wtyczki w zeszłym tygodniu i na szczęście luka szybko została usunięta wraz z aktualizacją następnego dnia. Aby zachować bezpieczeństwo należy zaktualizować wtyczkę do najnowszej wersji 2.0.22. Problem ten ujawnia jednocześnie jedną z największych zalet i wad WordPressa: popularności. Z jednej strony duża społeczność tego CMS’a sprawia, że można szybko uzyskać pomoc w rozwiązaniu ewentualnych problemów. Z drugiej strony ewentualne zagrożenia związane z bezpieczeństwem mogą potencjalnie dotknąć olbrzymiej wręcz liczby witryn.

Jak najlepiej dbać o bezpieczeństwo strony internetowej na WordPress? Kamil Sadkowski, starszy analityk zagrożeń w ESET tak przedstawia metodę na poprawienie bezpieczeństwa stron: – Kluczowe jest aktualizowanie zarówno WordPressa, jak i wszystkich wykorzystywanych w nim komponentów. Lepiej zapomnieć o nazwie użytkownika: admin i haśle: admin i ustawić silne hasło do konta administratora oraz przydzielić uprawnienia do publikowania nowych materiałów jedynie w pełni zaufanym osobom. Niektóre wtyczki umożliwiają dodanie dwuskładnikowego uwierzytelniania – warto skorzystać z takiej funkcjonalności. Bezpieczeństwo komputera, z którego zarządzamy naszą stroną, jest równie istotne – jeśli haker uzyska do niego dostęp, to przejęcie kontroli nad naszą stroną internetową to tylko kwestia czasu. Dlatego warto pamiętać o aktualizacji systemu operacyjnego, programu antywirusowego oraz zachowywaniu ostrożności podczas korzystania z Internetu. | CHIP

Close

Choć staramy się je ograniczać, wykorzystujemy mechanizmy takie jak ciasteczka, które pozwalają naszym partnerom na śledzenie Twojego zachowania w sieci. Dowiedz się więcej.