Buggy WordPress Plugin tillåter användare att torka hela webbplatser
Säkerhetsforskare med Wordfence – ett säkerhetsfokuserat plugin för WordPress – hittade en kritisk bugg i en annan plugin för publiceringsplattformen. Problemet upptäcktes i HashThemes Demo Importer-tillägget för WordPress och problemets svårighetsgrad är ganska hög.
Felet i HashThemes Demo Importer-plugin gjorde det möjligt för en användare som har loggat in på WordPress-plattformen och har tillgång till en webbplatss backend att helt radera allt innehåll, inklusive sidor, artiklar och media, såväl som innehållet i databaser som används av webbplatsen. Enligt statistiken hade cirka 8 tusen webbplatser plugin-programmet aktivt när felet upptäcktes.
Det ursprungliga syftet med demoimporterplugin är att låta WordPress-baserade webbplatsadministratörer importera demos av WordPress visuella teman och design med ett enda klick. Plugin-programmet snabbar upp förhandsgranskningen avsevärt och involverar inte manuell hantering av olika inställningsfiler som kan vara specifika för webbplatsen och temat som används.
Teamet på Wordfence avslöjade felet efter vederbörligt protokoll men utvecklaren av demoimportören svarade inte på flera veckor i sträck. Slutligen förde forskarna frågan direkt till WordPress-pluginteamet och den felaktiga versionen av pluginet togs ner samma dag. Fyra dagar senare lades en korrigerad och fixad version upp igen.
Wordfence förklarade att problemet med pluginet låg i hur det använde Ajax. Felet gjorde det möjligt för alla användare som var inloggade, även de med mycket begränsade standardrättigheter och åtkomst såsom prenumeranter, att göra drastiska ändringar på webbplatsen, inklusive att helt radera allt innehåll på webbplatsen som kör plugin.
Det enkla alternativet här är att varje praktisk plugin som du kanske vill lägga till din befintliga WordPress-installation ökar den potentiella ytan för attack. Rikare funktionalitet och större användarvänlighet behöver inte alltid gå på bekostnad av säkerheten, men med tredjepartsplugins finns det alltid möjligheten att några sprickor finns och dolda i osynligt.
