6 WordPress Plugin Vulnerabilities Breached by Hackers

Niciun sistem de gestionare a conținutului (CMS) nu se ridică la nivelul WordPress în termeni de popularitate. Este un campion incontestabil în nișa sa, mândrindu-se cu o cotă de piață impresionantă de 63,5 la sută din CMS. Mai mult, 37 la sută din toate site-urile web de pe internet rulează WordPress.

Cu cadrul său flexibil care se potrivește practic oricărui context online – de la mici bloguri personale și puncte de știri până la site-uri operate de branduri importante – nu este de mirare că acest CMS creează valuri în zona ecosistemului web de ani de zile.

Ce părere au infractorii cibernetici despre acest tren al hype-ului? Ați ghicit – nu-i deranjează să sară pe el. Spre deosebire de administratorii de site-uri web, însă, motivația lor este mult mai puțin benignă.

Sfârșitul este că WordPress Core este securizat corespunzător din diferite unghiuri, prin intermediul unor patch-uri regulate de vulnerabilitate. Echipa de securitate a WordPress colaborează cu cercetători de încredere și companii de găzduire pentru a asigura un răspuns imediat la amenințările emergente. Pentru a intensifica apărarea fără a se baza pe igiena de actualizare a proprietarilor de site-uri, WordPress împinge actualizări automate în fundal încă de la versiunea 3.7 lansată în 2013.

Veștile proaste sunt că pluginurile terțe pot fi o pradă ușoară pentru actorii rău intenționați. Deloc surprinzător, pluginurile cu multe instalări active sunt o momeală mai mare. Exploatându-le, acești actori pot lua o scurtătură și pot crește semnificativ suprafața potențială de atac.

Lucrurile descoperite recent în plugin-urile populare de WordPress acoperă toată gama, de la erori de execuție de la distanță și de escaladare a privilegiilor până la erori de falsificare a cererilor cross-site și de scripting cross-site.

Mai multe de la colaboratorii noștri experțiExistă 5 tipuri de bază de antreprenori. Care dintre ele sunteți?”

File Manager

La începutul lunii septembrie, cercetătorii de la Seravo, furnizor de găzduire web cu sediul în Finlanda, au descoperit o breșă de securitate în File Manager, un plugin WordPress instalat pe cel puțin 600.000 de site-uri. Catalogată drept o vulnerabilitate de execuție de cod de la distanță de tip zero-day, această eroare critică a permis unui adversar neautentificat să acceseze zona de administrare, să ruleze coduri malițioase și să încarce scripturi dubioase pe orice site WordPress care rulează versiuni File Manager între 6.0 și 6.8.

Pentru meritul producătorului de plugin-uri, o versiune corectată (File Manager 6.9) a fost lansată la doar câteva ore după ce analiștii de securitate au raportat această vulnerabilitate. Cu toate acestea, conform statisticilor privind versiunile active ale File Manager, această versiune este utilizată în prezent doar pe 52,3 la sută din site-urile WordPress care rulează plugin-ul. Aceasta înseamnă că mai mult de 300.000 de site-uri continuă să fie susceptibile de a fi compromise deoarece proprietarii lor întârzie să actualizeze pluginul la cea mai recentă versiune corectată.

Când pălăriile albe au descoperit acest defect, acesta era deja exploatat în atacuri din lumea reală care încercau să încarce fișiere PHP dăunătoare în directorul „wp-content/plugins/wp-file-manager/lib/files/” de pe site-uri nesecurizate. La momentul scrierii acestui articol, peste 2,6 milioane de instanțe WordPress au fost sondate pentru versiuni neactualizate ale Managerului de fișiere.

În plus, diferite bande de infractori cibernetici par să se războiască pentru site-urile web care continuă să fie un fruct la îndemână. Unul dintre elementele acestei rivalități se reduce la specificarea unei parole pentru accesarea fișierului plugin-ului numit „connector.minimal.php”, care este o rampă de lansare primară pentru execuția de cod de la distanță în iterațiile File Manager nepotrivite.

Cu alte cuvinte, odată ce actorii de amenințare câștigă un punct de sprijin inițial într-o instalație WordPress vulnerabilă, ei blochează componenta exploatabilă pentru a nu fi folosită de alți infractori care pot avea, de asemenea, acces prin ușa din spate la același site. Apropo, analiștii au observat încercări de a sparge site-uri web prin intermediul bug-ului plugin-ului File Manager provenind de la un număr impresionant de 370.000 de adrese IP diferite.

Page Builder

Page Builder WordPress plugin by SiteOrigin are peste un milion de instalări. La începutul lunii mai, furnizorul de servicii de securitate Wordfence a făcut o descoperire deconcertantă: Această componentă WordPress extrem de populară este susceptibilă la o serie de vulnerabilități CSRF (Cross-Site Request Forgery) care pot fi folosite ca armă pentru a obține privilegii ridicate pe un site.

Caracteristicile eronate ale plugin-ului, „Live Editor” și „builder_content”, permit unui infractor să înregistreze un nou cont de administrator sau să deschidă un backdoor pentru a accesa în voie un site vulnerabil. Dacă un hacker este suficient de competent, poate profita de această vulnerabilitate pentru a executa o preluare a unui site.

SiteOrigin a implementat o soluție la o zi după ce a fost alertat cu privire la aceste defecte. Cu toate acestea, problema va continua să se facă simțită la nivel general până când webmasterii vor aplica patch-ul – din păcate, acest lucru durează de obicei destul de mult timp.

GDPR Cookie Consent

Acest plugin este unul dintre greii din ecosistemul WordPress, fiind instalat și utilizat în mod activ pe mai mult de 800.000 de site-uri. Acesta permite administratorilor de site-uri web să se conformeze Regulamentului general privind protecția datelor (GDPR) al Uniunii Europene prin notificări personalizabile privind politica de cookie-uri.

În ianuarie anul trecut, experții în securitate au descoperit că GDPR Cookie Consent versiunea 1.8.2 și cele anterioare au fost expuse la o vulnerabilitate severă care a permis actorilor răi să realizeze atacuri de tip cross-site scripting (XSS) și escaladare de privilegii.

Bug-ul deschide calea unui hacker spre modificarea, publicarea sau ștergerea oricărui conținut pe un site web WordPress exploatabil, chiar și cu permisiuni de abonat. Un alt scenariu negativ se reduce la injectarea de cod JavaScript dăunător care poate provoca redirecționări sau afișa reclame nedorite pentru vizitatori. Vestea bună este că dezvoltatorul, WebToffee, a lansat o versiune corectată pe 10 februarie.

Duplicator

Cu peste un milion de instalări active și un total de 20 de milioane de descărcări, Duplicator se află pe lista celor mai bune 100 de pluginuri WordPress. Caracteristica sa principală se referă la migrarea sau clonarea unui site WordPress dintr-o locație în alta. În plus, permite proprietarilor de site-uri să își salveze conținutul cu ușurință și în siguranță.

În februarie, analiștii de securitate Wordfence au identificat un defect care permitea unui infractor să descarce fișiere arbitrare de pe site-urile care rulează Duplicator versiunea 1.3.26 și mai vechi. De exemplu, un atacator ar putea profita de această eroare pentru a descărca conținutul fișierului „wp-config.php” care conține, printre altele, acreditările administratorului site-ului. Din fericire, defectul a fost remediat la două zile după ce vulnerabilitatea a fost raportată furnizorului.

Site Kit by Google

Un defect grav în Site Kit by Google, un plugin utilizat în mod activ pe peste 700.000 de site-uri, permite unui atacator să preia controlul asupra Google Search Console asociat și să perturbe prezența online a site-ului. Obținând acces neautorizat al proprietarului prin intermediul acestei slăbiciuni, un actor rău intenționat poate modifica sitemaps, de-listarea paginilor din rezultatele Google Search, injecta cod dăunător și orchestra fraude de tip black hat SEO.

Una dintre fațetele acestei lacune este că pluginul are o implantare grosieră a verificărilor rolului utilizatorului. În plus, acesta expune URL-ul folosit de Site Kit pentru a comunica cu Google Search Console. Atunci când sunt combinate, aceste imperfecțiuni pot alimenta atacuri care duc la escaladarea privilegiilor și la scenariile de post-exploatare menționate mai sus.

Vulnerabilitatea a fost detectată de Wordfence pe 21 aprilie. Deși autorul plugin-ului a lansat o versiune actualizată (Site Kit 1.8.0) pe 7 mai, aceasta este în prezent instalată doar pe 12,9 la sută (aproximativ 90.000) din site-urile WordPress care rulează Site Kit. Prin urmare, sute de mii de proprietari de site-uri încă nu l-au aplicat pentru a fi în siguranță.

InfiniteWP Client

Acest plugin are peste 300.000 de instalări active pentru un motiv: permite proprietarilor de site-uri să administreze mai multe site-uri de pe propriul server. Un revers al medaliei de a se bucura de aceste avantaje este că un adversar ar putea fi capabil să ocolească autentificarea prin intermediul unui defect critic descoperit de WebARX în ianuarie.

Pentru a pune în mișcare un astfel de atac, un hacker ar putea exploata funcțiile buguite ale InfiniteWP Client numite „add_site” și „readd_site”. Deoarece aceste entități nu dispuneau de controale de autentificare adecvate, un atacator ar putea profita de o sarcină utilă codificată Base64 special creată pentru a se conecta la un tablou de bord de administrare WordPress fără a fi nevoie să introducă o parolă validă. Numele de utilizator al administratorului ar fi fost suficient pentru a obține acces. O actualizare care să se ocupe de această vulnerabilitate a sosit chiar a doua zi după descoperire.

Ce să faci în legătură cu aceasta

Pluginele extind funcționalitatea unui site WordPress, dar pot fi o binecuvântare mixtă. Chiar și cele mai populare pluginuri WordPress pot avea imperfecțiuni care permit diverse tipuri de joc murdar care duc la preluarea site-ului și la furtul de date.

Veștile bune sunt că autorii de pluginuri răspund rapid la aceste slăbiciuni și lansează patch-uri. Cu toate acestea, aceste actualizări sunt zadarnice dacă proprietarii de site-uri nu-și fac temele și nu urmează practici sigure.

Cele ce urmează vă vor ajuta să evitați ca site-ul dvs. WordPress să devină un fruct la îndemână:

• Aplicați actualizări. Aceasta este contramăsura fundamentală pentru hackerii WordPress. Asigurați-vă că site-ul dvs. rulează cea mai recentă versiune a WordPress Core. La fel de important, instalați actualizările pentru plugin-urile și temele dvs. odată ce acestea sunt lansate.
• Folosiți parole puternice. Specificați o parolă care să pară cât mai aleatorie posibil și care să fie formată din cel puțin 10 caractere. Includeți caractere speciale pentru a ridica ștacheta pentru atacatorii care ar putea încerca să vă forțeze brutal detaliile de autentificare.
• Respectați principiul celui mai mic privilegiu. Nu acordați utilizatorilor autorizați mai multe permisiuni decât au nevoie. Rolurile de administrator sau editor ar putea fi redundante pentru unii utilizatori. Dacă privilegiile de abonat sau contributor sunt suficiente, păstrați-le în schimb.
• Limitați accesul direct la fișierele PHP. Hackerii pot trimite cereri HTTP sau GET/POST special create către componentele PHP ale pluginurilor și temelor dvs. pentru a ocoli mecanismele de autentificare și validare a intrărilor. Pentru a evita aceste atacuri, specificați reguli care declanșează o pagină de eroare atunci când se fac astfel de încercări.
• Eliminați utilizatorii inactivi. Treceți în revistă lista de utilizatori înscriși pe site-ul dumneavoastră și eliminați conturile inactive.
• Dezactivați enumerarea utilizatorilor. Pentru a împiedica atacatorii să vadă lista utilizatorilor site-ului dvs. și să încerce să exploateze scăpările de configurare ale acestora, mergeți la fișierul .htaccess și dezactivați funcția de enumerare a utilizatorilor de acolo.
• Adaugați un plugin de securitate. Asigurați-vă că pluginul vine cu un firewall pentru aplicații web (WAF) care monitorizează traficul suspect și blochează atacurile țintite care se bazează pe vulnerabilități cunoscute și de zi zero.

.