Błędna wtyczka WordPress pozwala użytkownikom na wymazywanie całych stron internetowych
Badacze bezpieczeństwa z Wordfence – wtyczką do WordPressa skupiającą się na bezpieczeństwie – znaleźli krytyczny błąd w innej wtyczce do platformy wydawniczej. Problem został zauważony w dodatku HashThemes Demo Importer dla WordPress, a waga problemu jest dość wysoka.
Usterka wtyczki HashThemes Demo Importer pozwoliła użytkownikowi, który zalogował się do platformy WordPress i ma dostęp do backendu witryny, na całkowite wyczyszczenie całej zawartości, w tym stron, artykułów i multimediów, a także zawartości baz danych wykorzystywanych przez witrynę. Według statystyk, w momencie wykrycia błędu wtyczka była aktywna na około 8 tysiącach stron internetowych.
Pierwotnym celem wtyczki importera demo jest umożliwienie administratorom witryn opartych na WordPressie importowania demonstracji motywów wizualnych i projektów WordPress za pomocą jednego kliknięcia. Wtyczka znacznie przyspiesza proces podglądu i nie wymaga ręcznej obsługi różnych plików ustawień, które mogą być specyficzne dla używanej witryny i motywu.
Zespół z Wordfence ujawnił błąd zgodnie z odpowiednim protokołem, ale programista importera demo nie odpowiadał przez wiele tygodni. Wreszcie badacze skierowali sprawę bezpośrednio do zespołu wtyczek WordPress, a wadliwa wersja wtyczki została usunięta tego samego dnia. Cztery dni później ponownie pojawiła się łatana i naprawiona wersja.
Wordfence wyjaśnił, że problem z wtyczką tkwił w sposobie, w jaki używał Ajax. Błąd umożliwiał każdemu zalogowanemu użytkownikowi, nawet tym z bardzo ograniczonymi domyślnymi prawami i dostępem, takim jak subskrybenci, wprowadzenie drastycznych zmian w witrynie, w tym całkowite usunięcie całej zawartości witryny, na której działa wtyczka.
Prostym wnioskiem jest to, że każda wygodna wtyczka, którą możesz chcieć dodać do istniejącej konfiguracji WordPressa, zwiększa potencjalną powierzchnię ataku. Bogatsza funkcjonalność i większa łatwość użytkowania nie zawsze muszą odbywać się kosztem bezpieczeństwa, ale w przypadku wtyczek innych firm zawsze istnieje możliwość, że kilka pęknięć jest obecnych i ukrytych na widoku.
