Technologie i Firma

Nie tylko WordPress jest winny zmasowanych ataków

Wojciech Kulik | Redaktor serwisu benchmark.pl
7 komentarzy Dyskutuj z nami

WordPress szybko naprawił swój błąd, jednak właściciele dziesiątek tysięcy stron nie przyjęli jego wyciągniętej ręki.

WordPress nie zaliczy minionych tygodni do udanych. W wersji 4.7.1 została wykryta krytyczna luka, którą cyberprzestępcy chętnie wykorzystywali. Skala problemu mogłaby być jednak mniejsza gdyby nie jedna, malutka na pozór kwestia.

Zacznijmy jednak od początku. Otóż WordPress w wersji 4.7.1 (jak i 4.7) okazał się dziurawy. Najgroźniejsza (bo najłatwiejsza do wykorzystania) luka znajdowała się w interfejsie REST API, który daje dostęp do wszystkich danych z panelu administracyjnego. Innymi słowy, cyberprzestępca mógł podmienić treść na stronie, bez jakiejkolwiek autoryzacji. 

Pod koniec stycznia opublikowana została wersja 4.7.2 łatająca tę lukę. Mimo to – jak informuje serwis WPzen – dziesiątki tysięcy stron wciąż są podatne na ten konkretny atak. Dlaczego? Ponieważ ich administratorzy ręcznie wyłączyli automatyczne aktualizacje i wersji 4.7.2. nie dostali. Najczęściej w obawie o to, że kolejna aktualizacja może coś „zepsuć”. 

Pretensje do WordPressa za udostępnienie dziurawej aktualizacji i automatyczną aktywację REST API, są całkowicie uzasadnione. Równie dużą odpowiedzialność za zmasowane ataki ponoszą jednak właściciele stron, którzy wyłączyli automatyczne aktualizacje. Znacznie lepszym rozwiązaniem (w trosce o witrynę), byłoby najzwyklejsze w świecie robienie kopii zapasowej.

Źródło: WPzen, WordPress, Securi.net

Komentarze

7
Zaloguj się, aby skomentować
avatar
Dodaj
Komentowanie dostępne jest tylko dla zarejestrowanych użytkowników serwisu.
  • avatar
    Konto usunięte
    kolejna wtopa, to REST API w WP nie wymaga autoryzacji ???? ręce mi opadły. czy pomimo aktywacji REST API jest nie do wycięcia na WAN, z pozostawieniem wyłącznie LAN ? czy nadal w miarę bezpieczny WP to taki schowany za serwerem WEB który wszystko będzie proxował i filtrował?
    3
  • avatar
    Marucins
    U nich zawsze to wygląda tak
    "naprawiono pewne błędy związane z bezpieczeństwem."
    1
  • avatar
    Konto usunięte
    Jak to jest...:
    1 .brak konfiguracji zabezpeiczen WP tak w ogóle
    2. brak kopii
    3. aktualizacje WP raz na jakiś czas a nie auto-aktualziacje bo zwsze moze coś sie zaciąć

    A jak dla mnie WP działa dobrze, mam 20 stron z różnymi wersjami WP i żadna nie została zaatakowana w ostaniach 4-5 latach
    1
  • avatar
    jkaminski
    Nowa wersja - nowa dziura :)
    1
  • avatar
    Ladros
    Gdzie tu logika, żeby wyłączać aktualizacje będąc na wadliwej wersji?
    -3