6 WordPress Plugin Vulnerabilities Breached by Hackers
Ingen innehållshanteringssystem (CMS) kan mäta sig med WordPress när det gäller popularitet. Det är en obestridlig mästare i sin nisch och har en imponerande marknadsandel på 63,5 procent av CMS-marknaden. Dessutom kör 37 procent av alla webbplatser på Internet WordPress.
Med sitt flexibla ramverk som passar praktiskt taget alla sammanhang på nätet – från små personliga bloggar och nyhetsbyråer till webbplatser som drivs av stora varumärken – är det ingen överraskning att detta CMS har skapat ringar på vattnet i ekosystemområdet i åratal.
Vad tycker cyberkriminella om detta hype-tåg? Du gissade det – de har inget emot att hoppa på det. Till skillnad från webmasters är deras motivation dock mycket mindre godartad.
Den positiva sidan är att WordPress Core är ordentligt säkrat från olika vinklar genom regelbundna sårbarhetsläckor. WordPress säkerhetsteam samarbetar med betrodda forskare och värdföretag för att säkerställa omedelbar respons på nya hot. För att öka försvaret utan att förlita sig på webbplatsägares uppdateringshygien har WordPress skickat automatiska bakgrundsuppdateringar sedan version 3.7 som släpptes 2013.
Den dåliga nyheten är att plugins från tredje part kan vara ett lätt byte för illasinnade aktörer. Föga förvånande är plugins med många aktiva installationer ett större lockbete. Genom att utnyttja dem kan dessa aktörer ta en genväg och avsevärt öka den potentiella angreppsytan.
De kryphål som nyligen hittats i populära WordPress-plugins har en stor spännvidd, från fjärrstyrd exekvering och fel som leder till utökning av privilegier till fel som leder till förfalskning av förfrågningar på olika platser och skript på olika platser.
Mer från våra experterDet finns 5 grundläggande typer av entreprenörer.
File Manager
I början av september upptäckte forskare vid den finskbaserade webbhotellleverantören Seravo ett säkerhetshål i File Manager, ett WordPress-plugin som är installerat på minst 600 000 webbplatser. Denna kritiska bugg, som kategoriseras som en zero-day-sårbarhet för fjärrkörning av kod, gjorde det möjligt för en oautentiserad motståndare att få tillgång till administratörsområdet, köra skadlig kod och ladda upp oseriösa skript på alla WordPress-webbplatser som körde File Manager-versioner mellan 6.0 och 6.8.
En patchad version (File Manager 6.9) släpptes till insticksmodultillverkarens ära bara några timmar efter det att säkerhetsanalytiker hade rapporterat om denna sårbarhet. Enligt statistiken över aktiva versioner av File Manager används den här versionen dock för närvarande endast på 52,3 procent av de WordPress-webbplatser som kör insticksprogrammet. Det innebär att mer än 300 000 webbplatser fortsätter att vara känsliga för kompromiss eftersom deras ägare är långsamma med att uppdatera insticksprogrammet till den senaste patchade versionen.
När vita hattar upptäckte den här bristen utnyttjades den redan i verkliga angrepp där man försökte ladda upp skadliga PHP-filer till katalogen ”wp-content/plugins/wp-file-manager/lib/files/” på osäkra webbplatser. I skrivande stund har mer än 2,6 miljoner WordPress-instanser undersökts med avseende på föråldrade versioner av filhanteraren.
Det verkar dessutom som om olika cyberkriminella gäng krigar om webbplatser som fortsätter att vara lågt hängande frukter. Ett av inslagen i denna rivalitet handlar om att ange ett lösenord för åtkomst till insticksmodulets fil med namnet ”connector.minimal.php”, som är ett primärt startfält för exekvering av fjärrkod i okontrollerade File Manager-versioner.
Med andra ord blockerar hotaktörerna, när de väl har fått ett första fotfäste i en sårbar WordPress-installation, den exploaterbara komponenten så att den inte kan användas av andra brottslingar som också kan ha tillgång till bakdörrar på samma webbplats. På tal om det har analytiker observerat försök att hacka webbplatser via felet i File Manager-pluginet som kommer från hela 370 000 olika IP-adresser.
Page Builder
Page Builder WordPress-pluginet från SiteOrigin har över en miljon installationer. I början av maj gjorde leverantören av säkerhetstjänster Wordfence en oroväckande upptäckt: Denna enormt populära WordPress-komponent är känslig för en rad CSRF-sårbarheter (cross-site request forgery) som kan användas som vapen för att få utökade privilegier på en webbplats.
Insticksmodulets felfria funktioner, ”Live Editor” och ”builder_content”, gör det möjligt för en illasinnad att registrera ett nytt administratörskonto eller öppna en bakdörr för att få åtkomst till en sårbar webbplats när han eller hon vill. Om en hackare är tillräckligt kompetent kan han eller hon utnyttja denna sårbarhet för att utföra ett övertagande av en webbplats.
SiteOrigin lanserade en lösning inom en dag efter att ha uppmärksammats på dessa brister. Problemet kommer dock att fortsätta att göra sig påmint över hela linjen tills webbansvariga tillämpar patchen – tyvärr tar detta vanligtvis ganska lång tid.
GDPR Cookie Consent
Detta insticksprogram är en av tungviktarna i WordPress-ekosystemet och installeras och används aktivt på mer än 800 000 webbplatser. Det gör det möjligt för webmasters att följa Europeiska unionens allmänna dataskyddsförordning (GDPR) genom anpassningsbara meddelanden om cookiepolicy.
I januari förra året upptäckte säkerhetsexperter att GDPR Cookie Consent version 1.8.2 och tidigare var utsatta för en allvarlig sårbarhet som gjorde det möjligt för dåliga aktörer att genomföra cross-site scripting (XSS) och privilegieeskaleringsattacker.
Buggen banar vägen för en hackare att ändra, publicera eller radera innehåll på en exploaterbar WordPress-webbplats, till och med med med prenumerantbehörigheter. Ett annat negativt scenario handlar om att injicera skadlig JavaScript-kod som kan orsaka omdirigeringar eller visa oönskade annonser för besökare. Den goda nyheten är att utvecklaren WebToffee släppte en patchad version den 10 februari.
Duplicator
Med över en miljon aktiva installationer och totalt 20 miljoner nedladdningar finns Duplicator med på listan över de 100 bästa WordPress-plugins. Dess primära funktion handlar om att migrera eller klona en WordPress-webbplats från en plats till en annan. Dessutom gör den det möjligt för webbplatsägare att säkerhetskopiera sitt innehåll på ett enkelt och säkert sätt.
I februari upptäckte säkerhetsanalytiker från Wordfence en brist som gjorde det möjligt för en förövare att ladda ner godtyckliga filer från webbplatser som kör Duplicator version 1.3.26 och äldre. En angripare kunde till exempel utnyttja felet för att ladda ner innehållet i filen ”wp-config.php”, som bland annat innehåller autentiseringsuppgifter för administratören av webbplatsen. Tack och lov rättades felet två dagar efter att sårbarheten rapporterades till leverantören.
Site Kit by Google
En allvarlig brist i Site Kit by Google, ett insticksprogram som används aktivt på över 700 000 webbplatser, gör det möjligt för en angripare att ta över den associerade Google Search Console och störa webbplatsens närvaro på nätet. Genom att få obehörig ägaråtkomst genom denna svaghet kan en illvillig aktör ändra sitemaps, avlista sidor från Googles sökresultat, injicera skadlig kod och iscensätta svarthättade SEO-bedrägerier.
En av facetterna av detta kryphål är att insticksmodulen har en grov implementering av kontrollerna av användarrollen. Till råga på allt avslöjar den URL som används av Site Kit för att kommunicera med Google Search Console. När dessa brister kombineras kan de ge bränsle till attacker som leder till privilegieeskalering och de scenarier efter exploatering som nämns ovan.
Sårbarheten upptäcktes av Wordfence den 21 april. Även om pluginförfattaren släppte en uppdaterad version (Site Kit 1.8.0) den 7 maj är den för närvarande installerad på endast 12,9 procent (cirka 90 000) av de WordPress-webbplatser som kör Site Kit. Därför har hundratusentals webbplatsägare ännu inte tillämpat den för att vara säkra.
InfiniteWP Client
Detta insticksprogram har mer än 300 000 aktiva installationer av en anledning: Det gör det möjligt för webbplatsägare att hantera flera webbplatser från sin egen server. En baksida av att njuta av dessa fördelar är att en motståndare kanske kan kringgå autentisering via en kritisk brist som avslöjades av WebARX i januari.
För att sätta igång en sådan attack kan en hackare utnyttja de felaktiga InfiniteWP Client-funktioner som kallas ”add_site” och ”readd_site”. Eftersom dessa enheter inte hade korrekta autentiseringskontroller på plats kunde en angripare utnyttja en speciellt skapad Base64-kodad nyttolast för att logga in på en WordPress admin dashboard utan att behöva ange ett giltigt lösenord. Administratörens användarnamn skulle räcka för att få tillgång. En uppdatering som tog hand om denna sårbarhet kom redan nästa dag efter upptäckten.
Vad man kan göra åt det
Plugins utökar funktionaliteten på en WordPress-webbplats, men de kan vara en blandad välsignelse. Även de mest populära WordPress-plugins kan ha brister som möjliggör olika typer av fult spel som leder till övertagande av webbplatser och datastöld.
Den goda nyheten är att pluginförfattarna snabbt reagerar på dessa svagheter och rullar ut patchar. Dessa uppdateringar är dock meningslösa om inte webbplatsägare gör sin hemläxa och följer säkra metoder.
Med följande tips kan du förhindra att din WordPress-webbplats blir en lågt hängande frukt:
- Tillämpa uppdateringar. Detta är den grundläggande motåtgärden mot WordPress-haverier. Se till att din webbplats kör den senaste versionen av WordPress Core. Lika viktigt är det att installera uppdateringar för dina plugins och teman när de rullas ut.
- Använd starka lösenord. Ange ett lösenord som ser så slumpmässigt ut som möjligt och består av minst 10 tecken. Inkludera specialtecken för att höja ribban för angripare som kan försöka bryta dina autentiseringsuppgifter.
- Följ principen om minst privilegier. Ge inte auktoriserade användare fler behörigheter än vad de behöver. Rollerna administratör eller redaktör kan vara överflödiga för vissa användare. Om privilegierna prenumerant eller bidragsgivare räcker, håll dig till dem i stället.
- Begränsa den direkta åtkomsten till PHP-filer. Hackare kan skicka speciellt utformade HTTP- eller GET/POST-förfrågningar till PHP-komponenter i dina insticksprogram och teman för att kringgå mekanismer för autentisering och inmatningsvalidering. För att undvika dessa attacker bör du ange regler som utlöser en felsida när sådana försök görs.
- Ta bort inaktiva användare. Gå igenom listan över användare som är inskrivna på din webbplats och ta bort vilande konton.
- Inaktivera uppräkning av användare. För att förhindra att angripare kan se listan över webbplatsens användare och försöka utnyttja deras konfigurationsfel, gå till .htaccess-filen och stäng av funktionen för uppräkning av användare där.
- Lägg till ett säkerhetsplugin. Se till att insticksprogrammet levereras med en brandvägg för webbapplikationer (WAF) som övervakar misstänkt trafik och blockerar riktade attacker som utnyttjar kända och nolldagssårbarheter.