6 WordPress-plugin-sårbarheder krænket af hackere
Ingen indholdsstyringssystem (CMS) kan måle sig med WordPress, når det gælder popularitet. Det er en ubestridelig mester i sin niche og kan prale af en imponerende 63,5 procent af CMS-markedsandelen. Desuden kører 37 procent af alle websteder på internettet WordPress.
Med sin fleksible ramme, der passer til stort set enhver kontekst online – fra små personlige blogs og nyhedsmedier til websteder, der drives af store brands – er det ikke overraskende, at dette CMS har skabt bølger i web-økosystemområdet i årevis.
Hvad mener cyberkriminelle om dette hype-tog? Du gættede det – de har ikke noget imod at hoppe på det. I modsætning til webmastere er deres motivation dog langt mindre godartet.
Den sunde side er, at WordPress Core er ordentligt sikret fra forskellige vinkler gennem regelmæssige patches af sårbarheder. WordPress’ sikkerhedsteam samarbejder med betroede forskere og hostingvirksomheder for at sikre øjeblikkelig reaktion på nye trusler. For at optrappe forsvaret uden at stole på webstedsejernes opdateringshygiejne har WordPress skubbet automatiserede baggrundsopdateringer siden version 3.7, der blev udgivet i 2013.
Den dårlige nyhed er, at plugins fra tredjeparter kan være et let bytte for ondsindede aktører. Ikke overraskende er plugins med mange aktive installationer en større lokkemad. Ved at udnytte dem kan disse aktører tage en genvej og øge den potentielle angrebsflade betydeligt.
De huller, der for nylig er fundet i populære WordPress-plugins, spænder vidt fra fjernudførelse og fejl med rettighedseskalering til fejl i forbindelse med cross-site request forgery og cross-site scripting.
Mere fra vores ekspertbidragereDer er 5 grundlæggende typer af iværksættere. Hvilken 1 er du?
File Manager
I begyndelsen af september stødte forskere hos den Finland-baserede webhostingudbyder Seravo på et sikkerhedshul i File Manager, et WordPress-plugin, der er installeret på mindst 600.000 websteder. Denne kritiske fejl, der er kategoriseret som en zero-day-sårbarhed for fjernudførelse af kode, gjorde det muligt for en uautentificeret modstander at få adgang til administrationsområdet, køre ondsindet kode og uploade tvivlsomme scripts på ethvert WordPress-websted, der kører File Manager-versioner mellem 6.0 og 6.8.
Der er plugin-producentens fortjeneste, at en patchet version (File Manager 6.9) blev frigivet blot få timer efter, at sikkerhedsanalytikerne havde rapporteret om denne sårbarhed. Ifølge File Manager-statistikkerne over aktive versioner bruges denne version dog i øjeblikket kun på 52,3 procent af de WordPress-websteder, der kører plugin’et. Det betyder, at mere end 300.000 websteder fortsat er modtagelige for kompromittering, fordi deres ejere er langsomme til at opdatere plugin’et til den seneste lappede version.
Da white hats opdagede denne fejl, blev den allerede udnyttet i virkelige angreb, hvor man forsøgte at uploade skadelige PHP-filer til mappen “wp-content/plugins/wp-file-manager/lib/files/” på usikrede websteder. I skrivende stund er mere end 2,6 millioner WordPress-instanser blevet undersøgt for forældede filhåndteringsversioner.
Dertil kommer, at forskellige cyberkriminelle bander synes at føre krig om websteder, der fortsat er lavt hængende frugter. Et af elementerne i denne rivalisering går ud på at angive en adgangskode for adgang til pluginfilen med navnet “connector.minimal.php”, som er en primær affyringsrampe for fjernudførelse af kode i upatchede File Manager-iteringer.
Med andre ord, når trusselsaktører først har fået et første fodfæste i en sårbar WordPress-installation, blokerer de den udnyttelige komponent fra at blive brugt af andre kriminelle, som måske også har bagdørs-adgang til det samme websted. Når vi taler om det, har analytikere observeret forsøg på at hacke websteder via File Manager-plugin-fejl fra hele 370.000 forskellige IP-adresser.
Page Builder
Page Builder WordPress-plugin fra SiteOrigin har over en million installationer. I begyndelsen af maj gjorde sikkerhedstjenesteudbyderen Wordfence en foruroligende opdagelse: Denne enormt populære WordPress-komponent er modtagelig for en række CSRF-sårbarheder (cross-site request forgery), som kan bruges som våben til at opnå forhøjede privilegier på et websted.
Pluginets fejlbehæftede funktioner, “Live Editor” og “builder_content”, giver en ondsindet person mulighed for at registrere en ny administratorkonto eller åbne en bagdør for at få adgang til et sårbart websted efter behag. Hvis en hacker er kompetent nok, kan de udnytte denne sårbarhed til at udføre en overtagelse af et websted.
SiteOrigin udrullede en rettelse inden for en dag efter at være blevet gjort opmærksom på disse fejl. Problemet vil dog fortsat gøre sig gældende over hele linjen, indtil webmastere anvender patchen – desværre tager dette normalt en del tid.
GDPR Cookie Consent
Dette plugin er en af sværvægterne i WordPress-økosystemet og er installeret og bruges aktivt på mere end 800.000 websteder. Det giver webmastere mulighed for at overholde EU’s generelle forordning om databeskyttelse (GDPR) gennem tilpassede meddelelser om cookiepolitik.
I januar sidste år fandt sikkerhedseksperter, at GDPR Cookie Consent version 1.8.2 og tidligere var udsat for en alvorlig sårbarhed, der gjorde det muligt for dårlige aktører at gennemføre cross-site scripting (XSS) og angreb med rettighedseskalering.
Buggen baner vejen for en hacker til at ændre, offentliggøre eller slette ethvert indhold på et sårbart WordPress-websted, selv med abonnenttilladelser. Et andet negativt scenarie går ud på at injicere skadelig JavaScript-kode, der kan forårsage omdirigeringer eller vise uønskede annoncer til besøgende. Den gode nyhed er, at udvikleren, WebToffee, frigav en patchet version den 10. februar.
Duplicator
Med over en million aktive installationer og i alt 20 millioner downloads er Duplicator på listen over de 100 bedste WordPress-plugins. Dens primære funktion handler om migrering eller kloning af et WordPress-websted fra et sted til et andet. Desuden giver det webstedsejere mulighed for at sikkerhedskopiere deres indhold nemt og sikkert.
I februar påviste Wordfence-sikkerhedsanalytikere en fejl, der gjorde det muligt for en gerningsmand at downloade vilkårlige filer fra websteder, der kører Duplicator version 1.3.26 og ældre. En angriber kunne f.eks. udnytte denne fejl til at hente indholdet af filen “wp-config.php”, som bl.a. indeholder webstedets administratoroplysninger. Heldigvis blev fejlen lappet to dage efter, at sårbarheden blev rapporteret til leverandøren.
Site Kit by Google
En alvorlig fejl i Site Kit by Google, et plugin, der bruges aktivt på over 700.000 websteder, gør det muligt for en angriber at overtage den tilknyttede Google Search Console og forstyrre webstedets online-tilstedeværelse. Ved at opnå uautoriseret ejeradgang gennem denne svaghed kan en ondsindet aktør ændre sitemaps, fjerne sider fra Google-søgeresultaterne, injicere skadelig kode og orkestrere black hat SEO-svindel.
En af facetterne af dette smuthul er, at plugin’et har grov implantation af brugerrollekontrollerne. Som prikken over i’et eksponerer det den URL, der udnyttes af Site Kit til at kommunikere med Google Search Console. Når de kombineres, kan disse ufuldkommenheder give næring til angreb, der fører til rettighedseskalering og de ovenfor nævnte scenarier efter udnyttelsen.
Sårbarheden blev opdaget af Wordfence den 21. april. Selv om plugin-forfatteren frigav en opdateret version (Site Kit 1.8.0) den 7. maj, er den i øjeblikket kun installeret på 12,9 procent (ca. 90.000) af de WordPress-websteder, der kører Site Kit. Derfor har hundredtusindvis af webstedsejere endnu ikke anvendt det for at være sikre.
InfiniteWP Client
Dette plugin har mere end 300.000 aktive installationer af en grund: Det giver webstedsejere mulighed for at administrere flere websteder fra deres egen server. En bagside af at nyde disse fordele er, at en modstander kan være i stand til at omgå autentificering via en kritisk fejl, der blev afsløret af WebARX i januar.
For at sætte et sådant angreb i gang, kan en hacker udnytte fejlbehæftede InfiniteWP Client-funktioner kaldet “add_site” og “readd_site”. Da disse enheder ikke havde ordentlige godkendelseskontroller på plads, kunne en angriber udnytte en specielt udformet Base64-kodet nyttelast til at logge ind på et WordPress-administrationsinstrumentbræt uden at skulle indtaste en gyldig adgangskode. Administratorens brugernavn ville være tilstrækkeligt til at få adgang. En opdatering, der tog sig af denne sårbarhed, kom allerede dagen efter opdagelsen.
Hvad man kan gøre ved det
Plugins udvider funktionaliteten af et WordPress-websted, men de kan være en blandet velsignelse. Selv de mest populære WordPress-plugins kan have ufuldkommenheder, der muliggør forskellige former for fjollet spil, der fører til overtagelse af webstedet og datatyveri.
Den gode nyhed er, at plugin-forfatterne hurtigt reagerer på disse svagheder og udruller patches. Disse opdateringer er dog nyttesløse, medmindre webstedsejere gør deres hjemmearbejde og følger sikker praksis.
De følgende tips vil hjælpe dig med at forhindre, at dit WordPress-websted bliver lavt hængende frugt:
- Anvend opdateringer. Dette er den grundlæggende modforanstaltning til WordPress-hacks. Sørg for, at dit websted kører den nyeste version af WordPress Core. Lige så vigtigt er det at installere opdateringer til dine plugins og temaer, når de bliver rullet ud.
- Brug stærke adgangskoder. Angiv en adgangskode, der ser så tilfældig ud som muligt, og som består af mindst 10 tegn. Medtag specialtegn for at hæve barren for angribere, der kan forsøge at brute-force dine godkendelsesoplysninger.
- Følg princippet om mindste privilegier. Giv ikke autoriserede brugere flere tilladelser, end de har brug for. Rollerne admin eller redaktør kan være overflødige for nogle brugere. Hvis abonnent- eller bidragsyderrettighederne er tilstrækkelige, skal du holde dig til dem i stedet.
- Begræns den direkte adgang til PHP-filer. Hackere kan sende specielt udformede HTTP- eller GET/POST-forespørgsler til PHP-komponenter i dine plugins og temaer for at omgå autentificerings- og inputvalideringsmekanismer. For at undgå disse angreb skal du angive regler, der udløser en fejlside, når der gøres sådanne forsøg.
- Fjern inaktive brugere. Gennemgå listen over brugere, der er tilmeldt dit websted, og fjern hvilende konti.
- Deaktiver opregning af brugere. For at forhindre angribere i at se listen over brugerne på dit websted og forsøge at udnytte deres konfigurationsfejl, skal du gå til .htaccess-filen og slå funktionen til opregning af brugere fra der.
- Føj et sikkerhedsplugin til. Sørg for, at plugin’et leveres med en webapplikationsfirewall (WAF), der overvåger mistænkelig trafik og blokerer målrettede angreb, der udnytter kendte sårbarheder og zero-day-sårbarheder.