WAŻNE
TERAZ

Oficjalnie. Debiut Lewandowskiego odwołany!

Nie tylko WordPress jest winny zmasowanych ataków

WordPress szybko naprawił swój błąd, jednak właściciele dziesiątek tysięcy stron nie przyjęli jego wyciągniętej ręki.

Image

WordPress nie zaliczy minionych tygodni do udanych. W wersji 4.7.1 została wykryta krytyczna luka, którą cyberprzestępcy chętnie wykorzystywali. Skala problemu mogłaby być jednak mniejsza gdyby nie jedna, malutka na pozór kwestia.

Zacznijmy jednak od początku. Otóż WordPress w wersji 4.7.1 (jak i 4.7) okazał się dziurawy. Najgroźniejsza (bo najłatwiejsza do wykorzystania) luka znajdowała się w interfejsie REST API, który daje dostęp do wszystkich danych z panelu administracyjnego. Innymi słowy, cyberprzestępca mógł podmienić treść na stronie, bez jakiejkolwiek autoryzacji. 

Pod koniec stycznia opublikowana została wersja 4.7.2 łatająca tę lukę. Mimo to – jak informuje serwis WPzen – dziesiątki tysięcy stron wciąż są podatne na ten konkretny atak. Dlaczego? Ponieważ ich administratorzy ręcznie wyłączyli automatyczne aktualizacje i wersji 4.7.2. nie dostali. Najczęściej w obawie o to, że kolejna aktualizacja może coś „zepsuć”. 

Pretensje do WordPressa za udostępnienie dziurawej aktualizacji i automatyczną aktywację REST API, są całkowicie uzasadnione. Równie dużą odpowiedzialność za zmasowane ataki ponoszą jednak właściciele stron, którzy wyłączyli automatyczne aktualizacje. Znacznie lepszym rozwiązaniem (w trosce o witrynę), byłoby najzwyklejsze w świecie robienie kopii zapasowej.

Źródło: WPzen, WordPress, Securi.net

Wybrane dla Ciebie
ZATRZYMAJ SIĘ NA CHWILĘ… TE ARTYKUŁY WARTO PRZECZYTAĆ