WordPress szybko naprawił swój błąd, jednak właściciele dziesiątek tysięcy stron nie przyjęli jego wyciągniętej ręki.
WordPress nie zaliczy minionych tygodni do udanych. W wersji 4.7.1 została wykryta krytyczna luka, którą cyberprzestępcy chętnie wykorzystywali. Skala problemu mogłaby być jednak mniejsza gdyby nie jedna, malutka na pozór kwestia.
Zacznijmy jednak od początku. Otóż WordPress w wersji 4.7.1 (jak i 4.7) okazał się dziurawy. Najgroźniejsza (bo najłatwiejsza do wykorzystania) luka znajdowała się w interfejsie REST API, który daje dostęp do wszystkich danych z panelu administracyjnego. Innymi słowy, cyberprzestępca mógł podmienić treść na stronie, bez jakiejkolwiek autoryzacji.
Pod koniec stycznia opublikowana została wersja 4.7.2 łatająca tę lukę. Mimo to – jak informuje serwis WPzen – dziesiątki tysięcy stron wciąż są podatne na ten konkretny atak. Dlaczego? Ponieważ ich administratorzy ręcznie wyłączyli automatyczne aktualizacje i wersji 4.7.2. nie dostali. Najczęściej w obawie o to, że kolejna aktualizacja może coś „zepsuć”.
Pretensje do WordPressa za udostępnienie dziurawej aktualizacji i automatyczną aktywację REST API, są całkowicie uzasadnione. Równie dużą odpowiedzialność za zmasowane ataki ponoszą jednak właściciele stron, którzy wyłączyli automatyczne aktualizacje. Znacznie lepszym rozwiązaniem (w trosce o witrynę), byłoby najzwyklejsze w świecie robienie kopii zapasowej.
Źródło: WPzen, WordPress, Securi.net
Komentarze
7"naprawiono pewne błędy związane z bezpieczeństwem."
1 .brak konfiguracji zabezpeiczen WP tak w ogóle
2. brak kopii
3. aktualizacje WP raz na jakiś czas a nie auto-aktualziacje bo zwsze moze coś sie zaciąć
A jak dla mnie WP działa dobrze, mam 20 stron z różnymi wersjami WP i żadna nie została zaatakowana w ostaniach 4-5 latach