6 WordPress Wtyczka Podatności naruszone przez hakerów
Żaden system zarządzania treścią (CMS) nie mierzy się do WordPressa pod względem popularności. Jest to niekwestionowany mistrz w swojej niszy, szczycący się imponującym udziałem w rynku CMS na poziomie 63,5 procent. Co więcej, 37 procent wszystkich stron internetowych w Internecie korzysta z WordPressa.
Z jego elastycznymi ramami, które pasują praktycznie do każdego kontekstu online – od małych osobistych blogów i serwisów informacyjnych po strony obsługiwane przez duże marki – nie jest niespodzianką, że ten CMS od lat wywołuje zamieszanie w obszarze ekosystemu internetowego.
Co cyberprzestępcy sądzą o tym szumnym trendzie? Zgadłeś – nie mają nic przeciwko wskoczeniu do niego. Jednak w przeciwieństwie do webmasterów, ich motywacja jest znacznie mniej łagodna.
Srebrną stroną jest to, że rdzeń WordPressa jest odpowiednio zabezpieczony pod różnymi kątami dzięki regularnym łatom na luki. Zespół ds. bezpieczeństwa WordPressa współpracuje z zaufanymi badaczami i firmami hostingowymi, aby zapewnić natychmiastową reakcję na pojawiające się zagrożenia. Aby zwiększyć obronę bez polegania na higienie aktualizacji właścicieli witryn, WordPress przesuwa automatyczne aktualizacje tła od wersji 3.7 wydanej w 2013 r.
Złe wieści są takie, że wtyczki stron trzecich mogą być łatwym łupem dla złośliwych aktorów. Nic dziwnego, że wtyczki z wieloma aktywnymi instalacjami są większym wabikiem. Wykorzystując je, aktorzy ci mogą pójść na skróty i znacznie zwiększyć potencjalną powierzchnię ataku.
Luki znalezione ostatnio w popularnych wtyczkach WordPressa obejmują całą gamę błędów, od zdalnego wykonywania poleceń i eskalacji przywilejów po błędy typu cross-site request forgery i cross-site scripting.
Więcej od naszych współpracowników-ekspertówIstnieje 5 podstawowych typów przedsiębiorców. Which 1 Are You?
File Manager
Na początku września badacze fińskiego dostawcy usług hostingowych Seravo natrafili na lukę w zabezpieczeniach File Managera, wtyczki do WordPressa zainstalowanej na co najmniej 600 000 witryn. Ten krytyczny błąd, skategoryzowany jako zdalne wykonanie kodu zero-day, pozwalał nieupoważnionemu przeciwnikowi uzyskać dostęp do obszaru administracyjnego, uruchomić złośliwy kod i załadować podejrzane skrypty na dowolnej witrynie WordPressa z wtyczką File Manager w wersjach od 6.0 do 6.8.
Dla twórcy wtyczki, poprawiona wersja (File Manager 6.9) została wydana zaledwie kilka godzin po tym, jak analitycy bezpieczeństwa zgłosili tę lukę. Według statystyk aktywnych wersji File Manager, jednak, ten build jest obecnie używany tylko na 52,3 procent witryn WordPress, które uruchomić wtyczkę. Oznacza to, że ponad 300 000 witryn nadal jest podatnych na atak, ponieważ ich właściciele ociągają się z aktualizacją wtyczki do najnowszej poprawionej wersji.
Gdy białe kapelusze odkryły tę lukę, była ona już wykorzystywana w rzeczywistych atakach próbujących załadować szkodliwe pliki PHP do katalogu „wp-content/plugins/wp-file-manager/lib/files/” na niezabezpieczonych witrynach. W momencie pisania tego tekstu, ponad 2,6 miliona instancji WordPressa zostało sprawdzonych pod kątem przestarzałych wersji menedżera plików.
Co więcej, różne gangi cyberprzestępców wydają się prowadzić wojnę o strony internetowe, które nadal są nisko wiszącymi owocami. Jeden z elementów tej rywalizacji sprowadza się do określenia hasła dostępu do pliku wtyczki o nazwie „connector.minimal.php”, który jest głównym punktem wyjścia do zdalnego wykonania kodu w niezałatanych wersjach File Managera.
Innymi słowy, gdy aktorzy cyberprzestępczy zdobędą początkowy przyczółek w podatnej na ataki instalacji WordPressa, blokują możliwość wykorzystania tego komponentu przez innych przestępców, którzy również mogą mieć dostęp typu backdoor do tej samej witryny. Mówiąc o tym, analitycy zaobserwowali próby włamania się na strony internetowe poprzez błąd wtyczki File Manager pochodzący z aż 370 000 różnych adresów IP.
Page Builder
Wtyczka Page Builder WordPress firmy SiteOrigin ma ponad milion instalacji. Na początku maja, dostawca usług bezpieczeństwa Wordfence dokonał niepokojącego odkrycia: Ten ogromnie popularny komponent WordPress jest podatny na serię błędów CSRF (cross-site request forgery), które mogą być wykorzystane do uzyskania podwyższonych uprawnień w witrynie.
Błędne funkcje wtyczki, „Live Editor” i „builder_content”, pozwalają złośliwemu sprawcy zarejestrować nowe konto administratora lub otworzyć backdoora, aby uzyskać dostęp do podatnej witryny według własnego uznania. Jeśli haker jest wystarczająco kompetentny, może skorzystać z tej luki, aby wykonać przejęcie witryny.
SiteOrigin wprowadził poprawkę w ciągu jednego dnia po otrzymaniu ostrzeżenia o tych błędach. Jednak problem będzie nadal odczuwalny na całym forum, dopóki webmasterzy nie zastosują poprawki – niestety, zwykle zajmuje to sporo czasu.
GDPR Cookie Consent
Ta wtyczka jest jedną z ciężkich wag w ekosystemie WordPress, zainstalowaną i aktywnie używaną w ponad 800 000 witryn. Umożliwia webmasterom przestrzeganie ogólnego rozporządzenia Unii Europejskiej o ochronie danych (GDPR) poprzez dostosowywane powiadomienia o polityce plików cookie.
W styczniu ubiegłego roku eksperci ds. Bezpieczeństwa stwierdzili, że GDPR Cookie Consent w wersji 1.8.2 i wcześniejsze były narażone na poważną lukę, która pozwalała złym aktorom ściągać ataki cross-site scripting (XSS) i eskalacji uprawnień.
Błąd toruje hakerowi drogę w kierunku zmiany, umieszczania lub usuwania dowolnej treści w exploitowanej witrynie WordPress, nawet z uprawnieniami subskrybenta. Inny niekorzystny scenariusz sprowadza się do wstrzykiwania szkodliwego kodu JavaScript, który może powodować przekierowania lub wyświetlać niechciane reklamy dla odwiedzających. Dobrą wiadomością jest to, że deweloper, WebToffee, wydał poprawioną wersję 10 lutego.
Duplicator
Z ponad milionem aktywnych instalacji i łączną liczbą 20 milionów pobrań, Duplicator znajduje się na liście 100 najlepszych wtyczek WordPress. Jego podstawowa funkcja dotyczy migracji lub klonowania witryny WordPress z jednej lokalizacji do drugiej. Plus, pozwala właścicielom witryn do tworzenia kopii zapasowych ich treści łatwo i bezpiecznie.
W lutym, analitycy bezpieczeństwa Wordfence pinpointed wadę, która pozwoliła sprawcy do pobrania dowolnych plików z witryn działających Duplicator wersji 1.3.26 i starszych. Na przykład, napastnik mógł wykorzystać ten błąd do pobrania zawartości pliku „wp-config.php”, który zawiera między innymi dane uwierzytelniające administratora strony. Na szczęście, dziura została załatana dwa dni po zgłoszeniu jej producentowi.
Site Kit by Google
Poważna dziura w Site Kit by Google, wtyczce aktywnie wykorzystywanej w ponad 700 000 witryn, pozwala atakującemu przejąć kontrolę nad powiązanym Google Search Console i zakłócić obecność witryny w Internecie. Uzyskując nieautoryzowany dostęp do właściciela poprzez tę lukę, złośliwy aktor może zmieniać sitemapy, usuwać strony z listy wyników wyszukiwania Google, wstrzykiwać szkodliwy kod i organizować oszustwa black hat SEO.
Jednym z aspektów tej luki jest to, że wtyczka ma prostą implantację kontroli roli użytkownika. Na domiar złego, ujawnia adres URL wykorzystywany przez Site Kit do komunikacji z Google Search Console. W połączeniu, te niedoskonałości mogą napędzać ataki prowadzące do eskalacji przywilejów i scenariuszy post-exploitation wspomnianych powyżej.
Luka została zauważona przez Wordfence 21 kwietnia. Mimo że autor wtyczki udostępnił jej zaktualizowaną wersję (Site Kit 1.8.0) 7 maja, jest ona obecnie zainstalowana na zaledwie 12,9 procent (około 90 000) witryn WordPress z Site Kitem. Dlatego setki tysięcy właścicieli witryn muszą jeszcze zastosować go, aby pozostać bezpiecznym.
InfiniteWP Client
Ta wtyczka ma ponad 300 000 aktywnych instalacji z jakiegoś powodu: pozwala właścicielom witryn zarządzać wieloma witrynami z ich własnego serwera. Odwrotną stroną korzystania z tych udogodnień jest to, że przeciwnik może być w stanie obejść uwierzytelniania poprzez krytyczną wadę odkrytą przez WebARX w styczniu.
Aby ustawić taki atak w ruchu, haker może wykorzystać błędne funkcje klienta InfiniteWP o nazwie „add_site” i „readd_site”. Ponieważ te jednostki nie miały odpowiednich kontroli uwierzytelniania w miejscu, atakujący mógł wykorzystać specjalnie spreparowany ładunek kodowany Base64, aby zalogować się do pulpitu administratora WordPress bez konieczności wprowadzania ważnego hasła. Wystarczyła nazwa użytkownika administratora, aby uzyskać dostęp. Aktualizacja zajmująca się tą luką pojawiła się już następnego dnia po jej odkryciu.
Co z tym zrobić
Wtyczki rozszerzają funkcjonalność witryny WordPress, ale mogą być mieszanym błogosławieństwem. Nawet najbardziej popularne wtyczki WordPress mogą mieć niedoskonałości, które umożliwiają różne rodzaje faul play prowadzące do przejęcia witryny i kradzieży danych.
Dobrą wiadomością jest to, że autorzy wtyczek szybko reagują na te słabości i toczą łatki. Jednak te aktualizacje są daremne, jeśli właściciele witryn nie odrabiają pracy domowej i nie stosują bezpiecznych praktyk.
Następujące wskazówki pomogą Ci zapobiec witrynie WordPress, aby nie stała się owocem, na którym można się zawiesić:
- Zastosuj aktualizacje. Jest to podstawowy środek zaradczy dla hacków WordPress. Upewnij się, że Twoja witryna działa na najnowszej wersji WordPress Core. Co równie ważne, zainstaluj aktualizacje dla swoich wtyczek i motywów, gdy tylko zostaną one wprowadzone na rynek.
- Używaj silnych haseł. Określ hasło, które wygląda tak losowo, jak to tylko możliwe i składa się z co najmniej 10 znaków. Uwzględnij znaki specjalne, aby podnieść poprzeczkę dla napastników, którzy mogą próbować wyłudzić dane uwierzytelniające.
- Postępuj zgodnie z zasadą najmniejszych uprawnień. Nie dawaj autoryzowanym użytkownikom więcej uprawnień niż potrzebują. Role administratora lub redaktora mogą być zbędne dla niektórych użytkowników. Jeśli uprawnienia subskrybenta lub współtwórcy są wystarczające, trzymaj się ich.
- Ogranicz bezpośredni dostęp do plików PHP. Hakerzy mogą wysyłać specjalnie spreparowane żądania HTTP lub GET/POST do komponentów PHP Twoich wtyczek i motywów, aby obejść mechanizmy uwierzytelniania i sprawdzania poprawności danych wejściowych. Aby uniknąć tych ataków, określ reguły, które wywołują stronę błędu, gdy takie próby są podejmowane.
- Usuń nieaktywnych użytkowników. Przejrzyj listę użytkowników zapisanych w witrynie i usuń nieaktywne konta.
- Wyłącz wyliczanie użytkowników. Aby uniemożliwić napastnikom przeglądanie listy użytkowników witryny i próby wykorzystania ich błędów w konfiguracji, przejdź do pliku .htaccess i wyłącz tam funkcję wyliczania użytkowników.
- Dodaj wtyczkę bezpieczeństwa. Upewnij się, że wtyczka jest wyposażona w zaporę aplikacji internetowych (WAF), która monitoruje podejrzany ruch i blokuje ukierunkowane ataki wykorzystujące znane luki i luki zero-day.
.