Technologie i Firma

Nie tylko WordPress jest winny zmasowanych ataków

przeczytasz w 1 min.
Wojciech Kulik | Redaktor serwisu benchmark.pl
7 komentarzyDyskutuj z nami

WordPress szybko naprawił swój błąd, jednak właściciele dziesiątek tysięcy stron nie przyjęli jego wyciągniętej ręki.

WordPress nie zaliczy minionych tygodni do udanych. W wersji 4.7.1 została wykryta krytyczna luka, którą cyberprzestępcy chętnie wykorzystywali. Skala problemu mogłaby być jednak mniejsza gdyby nie jedna, malutka na pozór kwestia.

Zacznijmy jednak od początku. Otóż WordPress w wersji 4.7.1 (jak i 4.7) okazał się dziurawy. Najgroźniejsza (bo najłatwiejsza do wykorzystania) luka znajdowała się w interfejsie REST API, który daje dostęp do wszystkich danych z panelu administracyjnego. Innymi słowy, cyberprzestępca mógł podmienić treść na stronie, bez jakiejkolwiek autoryzacji. 

Pod koniec stycznia opublikowana została wersja 4.7.2 łatająca tę lukę. Mimo to – jak informuje serwis WPzen – dziesiątki tysięcy stron wciąż są podatne na ten konkretny atak. Dlaczego? Ponieważ ich administratorzy ręcznie wyłączyli automatyczne aktualizacje i wersji 4.7.2. nie dostali. Najczęściej w obawie o to, że kolejna aktualizacja może coś „zepsuć”. 

Pretensje do WordPressa za udostępnienie dziurawej aktualizacji i automatyczną aktywację REST API, są całkowicie uzasadnione. Równie dużą odpowiedzialność za zmasowane ataki ponoszą jednak właściciele stron, którzy wyłączyli automatyczne aktualizacje. Znacznie lepszym rozwiązaniem (w trosce o witrynę), byłoby najzwyklejsze w świecie robienie kopii zapasowej.

Źródło: WPzen, WordPress, Securi.net

Komentarze

7
Zaloguj się, aby skomentować
avatar
Komentowanie dostępne jest tylko dla zarejestrowanych użytkowników serwisu.
  • avatar
    Konto usunięte
    3
    kolejna wtopa, to REST API w WP nie wymaga autoryzacji ???? ręce mi opadły. czy pomimo aktywacji REST API jest nie do wycięcia na WAN, z pozostawieniem wyłącznie LAN ? czy nadal w miarę bezpieczny WP to taki schowany za serwerem WEB który wszystko będzie proxował i filtrował?
    • avatar
      Marucins
      1
      U nich zawsze to wygląda tak
      "naprawiono pewne błędy związane z bezpieczeństwem."
      • avatar
        Konto usunięte
        1
        Jak to jest...:
        1 .brak konfiguracji zabezpeiczen WP tak w ogóle
        2. brak kopii
        3. aktualizacje WP raz na jakiś czas a nie auto-aktualziacje bo zwsze moze coś sie zaciąć

        A jak dla mnie WP działa dobrze, mam 20 stron z różnymi wersjami WP i żadna nie została zaatakowana w ostaniach 4-5 latach
        • avatar
          jkaminski
          1
          Nowa wersja - nowa dziura :)
          • avatar
            Ladros
            -3
            Gdzie tu logika, żeby wyłączać aktualizacje będąc na wadliwej wersji?