Плагин WordPress с ошибками позволяет пользователям стирать целые сайты
Исследователи безопасности с Wordfence - ориентированным на безопасность плагином для WordPress - обнаружили критическую ошибку в другом плагине для платформы публикации. Проблема была обнаружена в надстройке HashThemes Demo Importer для WordPress, и серьезность проблемы довольно высока.
Ошибка в плагине HashThemes Demo Importer позволила пользователю, который вошел на платформу WordPress и имеет доступ к серверной части веб-сайта, полностью стереть весь контент, включая страницы, статьи и мультимедиа, а также содержимое баз данных, используемых сайтом. По статистике, на момент обнаружения ошибки плагин был активен примерно на 8 тысячах сайтов.
Первоначальная цель плагина демо-импортера - позволить администраторам сайтов на базе WordPress импортировать демоверсии визуальных тем и дизайнов WordPress одним щелчком мыши. Плагин значительно ускоряет процесс предварительного просмотра и не требует ручной обработки различных файлов настроек, которые могут быть специфичными для используемого сайта и темы.
Команда Wordfence обнаружила ошибку в соответствии с установленным протоколом, но разработчик демо-импортера не отвечал в течение нескольких недель. Наконец, исследователи сообщили о проблеме непосредственно команде разработчиков плагинов WordPress, и в тот же день была удалена неисправная версия плагина. Четыре дня спустя была восстановлена исправленная и исправленная версия.
Wordfence объяснил, что проблема с плагином заключалась в том, как он использовал Ajax. Ошибка позволяла любому пользователю, который вошел в систему, даже тем, у кого по умолчанию были очень ограниченные права и доступ, например подписчики, вносить радикальные изменения на веб-сайт, включая полное удаление всего содержимого на сайте, на котором запущен плагин.
Простой вывод здесь заключается в том, что каждый удобный плагин, который вы, возможно, захотите добавить к существующей настройке WordPress, увеличивает потенциальную поверхность для атаки. Более богатая функциональность и большая простота использования не всегда должны происходить за счет безопасности, но со сторонними плагинами всегда есть вероятность того, что несколько трещин присутствуют и скрыты на виду.