Το πρόσθετο Buggy WordPress επιτρέπει στους χρήστες να σκουπίζουν ολόκληρους ιστότοπους

Οι ερευνητές ασφαλείας με το Wordfence - μια προσθήκη εστιασμένη στην ασφάλεια για το WordPress - βρήκαν ένα κρίσιμο σφάλμα σε μια άλλη προσθήκη για την πλατφόρμα εκδόσεων. Το ζήτημα εντοπίστηκε στο πρόσθετο HashThemes Demo Importer για το WordPress και η σοβαρότητα του προβλήματος είναι αρκετά υψηλή.

Το σφάλμα στην προσθήκη HashThemes Demo Importer επέτρεψε σε έναν χρήστη που έχει συνδεθεί στην πλατφόρμα WordPress και έχει πρόσβαση στο backend ενός ιστότοπου να διαγράψει πλήρως όλο το περιεχόμενο, συμπεριλαμβανομένων σελίδων, άρθρων και πολυμέσων, καθώς και τα περιεχόμενα των βάσεων δεδομένων που χρησιμοποιεί ο ιστότοπος. Σύμφωνα με στατιστικά στοιχεία, περίπου 8 χιλιάδες ιστότοποι είχαν ενεργή την προσθήκη όταν ανακαλύφθηκε το σφάλμα.

Ο αρχικός σκοπός της προσθήκης εισαγωγής επίδειξης είναι να επιτρέψει στους διαχειριστές ιστότοπων που βασίζονται σε WordPress να εισάγουν επιδείξεις οπτικών θεμάτων και σχεδίων WordPress με ένα μόνο κλικ. Η προσθήκη επιταχύνει σημαντικά τη διαδικασία προεπισκόπησης και δεν περιλαμβάνει χειροκίνητο χειρισμό διαφορετικών αρχείων ρυθμίσεων που μπορεί να είναι συγκεκριμένα για τον ιστότοπο και το θέμα που χρησιμοποιείται.

Η ομάδα του Wordfence αποκάλυψε το σφάλμα σύμφωνα με το οφειλόμενο πρωτόκολλο, αλλά ο προγραμματιστής του εισαγωγέα επίδειξης δεν απάντησε για εβδομάδες. Τέλος, οι ερευνητές μετέφεραν το ζήτημα απευθείας στην ομάδα προσθηκών WordPress και η ελαττωματική έκδοση του πρόσθετου καταργήθηκε την ίδια μέρα. Τέσσερις ημέρες αργότερα, μια επιδιορθωμένη και διορθωμένη έκδοση τέθηκε αντίγραφα ασφαλείας.

Το Wordfence εξήγησε ότι το πρόβλημα με το πρόσθετο βρισκόταν στον τρόπο με τον οποίο χρησιμοποιούσε τον Ajax. Το σφάλμα επέτρεπε σε κάθε χρήστη που ήταν συνδεδεμένος, ακόμη και σε αυτούς με πολύ περιορισμένα προεπιλεγμένα δικαιώματα και πρόσβαση, όπως συνδρομητές, να κάνει δραστικές αλλαγές στον ιστότοπο, συμπεριλαμβανομένης της πλήρους διαγραφής όλου του περιεχομένου στον ιστότοπο που εκτελεί την προσθήκη.

Η απλή λύση εδώ είναι ότι κάθε βολικό πρόσθετο που μπορεί να θέλετε να προσθέσετε στην υπάρχουσα ρύθμιση του WordPress σας αυξάνει την πιθανή επιφάνεια για επίθεση. Η πλουσιότερη λειτουργικότητα και η μεγαλύτερη ευκολία χρήσης δεν χρειάζεται πάντα να βαρύνουν την ασφάλεια, αλλά με τα πρόσθετα τρίτων, υπάρχει πάντα η πιθανότητα να υπάρχουν μερικές ρωγμές και να κρύβονται σε κοινή θέα.