Ερευνητές ασφαλείας βρήκαν μια νέα ευπάθεια στο WordPress plugin Backup and Staging by WP Time Capsule. Η ευπάθεια επηρεάζει την έκδοση 1.22.20 και παλαιότερες εκδόσεις.
Το WordPress plugin έχει πάνω από 20.000 ενεργές εγκαταστάσεις και χρησιμοποιείται για τη δημιουργία αντιγράφων ασφαλείας ιστότοπων και τη διαχείριση ενημερώσεων.
Ωστόσο, η ευπάθεια στο Backup and Staging by WP Time Capsule επιτρέπει σε μη εξουσιοδοτημένους χρήστες να εκμεταλλευτούν έναν κατεστραμμένο μηχανισμό ελέγχου ταυτότητας και να αποκτήσουν πρόσβαση (ίσως και πρόσβαση διαχειριστή) σε επηρεαζόμενους ιστότοπους WordPress.
Δείτε επίσης: Modern Events Calendar – WordPress: Hackers στοχεύουν ευπάθεια
Η ευπάθεια ανακαλύφθηκε από ειδικούς ασφαλείας στην Patchstack και δημιουργήθηκε από σφάλμα στον κώδικα του plugin (στο αρχείο wptc-cron-functions.php). Μέσω αυτής της ευπάθειας, οι εισβολείς θα μπορούσαν να παρακάμψουν κρίσιμους ελέγχους ταυτότητας, να χειριστούν JSON-encoded POST data για να αυξήσουν τα προνόμιά τους και να συνδεθούν αποτελεσματικά ως διαχειριστές ιστότοπου.
Όπως εξήγησε η Patchstack, οποιοσδήποτε μη εξουσιοδοτημένος χρήστης θα μπορούσε να συνδεθεί στον ιστότοπο ως διαχειριστής με ένα μόνο αίτημα. Το μόνο που χρειάζεται είναι να έχει ρυθμίσει κάποιος το plugin ώστε να συνδεθεί με το wptimecapsule.com site.
Backup and Staging by WP Time Capsule plugin: Ενημέρωση ασφαλείας
Η ευπάθεια αναφέρθηκε στους προγραμματιστές του plugin στις 3 Ιουλίου. Μέσα σε έξι ώρες κυκλοφόρησαν την έκδοση 1.22.20 για να μετριάσουν την αρχική ευπάθεια.
Δείτε επίσης: Το νέο Caesar Cipher Skimmer στοχεύει WordPress, Magento και OpenCart Sites
Ωστόσο, αργότερα σημειώθηκε ότι η αρχική ενημέρωση κώδικα ήταν μόνο εν μέρει αποτελεσματική. Στις 12 Ιουλίου, κυκλοφόρησε η έκδοση 1.22.21 με μια πιο ισχυρή επιδιόρθωση.
Σύμφωνα με την Patchstack, το περιστατικό υπογραμμίζει τη σημασία των αυστηρών πρωτοκόλλων ασφαλείας στην ανάπτυξη plugins για το WordPress και άλλες πλατφόρμες.
Συνιστάται στους χρήστες του plugin WP Time Capsule να εφαρμόσουν αμέσως την έκδοση 1.22.21 ή μεταγενέστερη για να εξασφαλίσουν ότι οι ιστότοποί τους προστατεύονται.
Σημασία προστασίας WordPress
Η προστασία των ιστοσελίδων WordPress είναι ιδιαίτερα σημαντική για πολλούς λόγους. Αρχικά, οι ιστότοποι WordPress είναι πολύ δημοφιλείς, που σημαίνει ότι αποτελούν βασικό στόχο για τους κυβερνοεγκληματίες. Αν ο ιστότοπός σας δεν είναι προστατευμένος, μπορεί να προκληθεί σημαντική ζημιά.
Επιπρόσθετα, ένα μη προστατευόμενο site WordPress μπορεί να υπονομεύσει την εμπιστοσύνη και την αξιοπιστία που έχετε δημιουργήσει με τους πελάτες σας. Εάν τα δεδομένα τους υποκλαπούν, είναι πολύ πιθανό να προσφύγουν νομικά εναντίον σας και να στραφούν σε άλλες εταιρείες.
Δείτε επίσης: WordPress plugins σε κίνδυνο – Χάκερς δημιουργούν ψεύτικους λογαριασμούς διαχειριστή
Η προστασία του ιστοτόπου σας είναι επίσης σημαντική για τη διατήρηση της συνοχής και της αξιοπιστίας του περιεχομένου σας. Αν ένας hacker παραβιάσει τον WordPress ιστότοπό σας και αλλοιώσει το περιεχόμενο, μπορεί να προκληθεί η εντύπωση ότι δεν ασχολείστε αρκετά με τον ιστότοπό σας.
Με άλλα λόγια, η εξασφάλιση της προστασίας του ιστοτόπου WordPress δεν είναι απλά θέμα προστασίας των δεδομένων σας – είναι θέμα διατήρησης της εμπιστοσύνης των πελατών σας, συντήρησης της φήμης της εταιρείας σας και παραμονής στην κορυφή του ανταγωνισμού.
Πηγή: www.infosecurity-magazine.com
