Wordpress niedawno zaktualizował swój kod do wersji 4.7.2, by wyeliminować groźną dziurę pozwalającą na podmienianie zawartości stron.
Wordpress to popularny system zarządzania treścią (CMS), który wykorzystują miliony stron na całym świecie. Pod koniec stycznia deweloperzy Wordpressa zaktualizowali jego kod, by wyeliminować niebezpieczną lukę, która pozwalała na wstrzykiwanie kodu na stronę.
Wstrzykiwanie kodu to technika stosowana przez cyberprzestępców dla modyfikacji zawartości stron w wyniku błędnego (z perspektywy logiki kodu jednak jak najbardziej poprawnego) przetworzenia wprowadzonych na stronę danych. Dane te dostają się kanałami w pełni legitymowanymi, na które pozwalają strony, ale już ich zawartość nie jest taką jaką oczekiwałby właściciel strony. Zamiast standardowego zapytania czy wpisu w komentarzu podawany jest kod, który na pozór nie jest szkodliwy, a w praktyce, po przetworzeniu przez silnik witryny, staje się niebezpieczny.
Informacja dla użytkowników Wordpress
Najnowsza (stan na dzień 11.02.2017) wersja Wordpress nosi numer 4.7.2 i eliminuje wykrytą kilka dni wcześniej lukę w gałęzi Wordpress 4.7. Dotyczyła ona API REST i pozwalała na zmodyfikowanie dowolnego postu lub treści strony.
Wordpress dokonał aktualizacji po cichu i jeśli nasz CMS jest skonfigurowany tak, by samodzielnie wdrażać aktualizacje, to nie musimy się przejmować.
Jeśli wszelki poprawki wprowadzamy samodzielnie, a nasza wersja Wordpress to 4.7 lub 4.7.1, to aktualizacja jest wskazana. Problem z REST API nie dotyczy użytkowników starszych wersji Wordpress.
Źródło: CW, Wordpress
Komentarze
4Zarówno Core "bywa" dziurawy, wtyczki są dziurawe, szablony są dziurawe, szczególnie jak ściągasz je z lewych źródeł. Mam na myśli oczywiście szablony premium.
Kwestią pozostaje zabezpieczenie WP i modlenie się, że udało się to zrobić w miarę poprawnie.
Usunięcie zbędnych wtyczek, instalacja skanera, instalacja ukrywania folderów WP i inne, ciekawe modyfikacje httaccess.
A i to wszystko jest na "ch*j" jak użytkownicy panelu (niezależnie od roli) są durni i włażą tam bez sensownego "antywira". A jeszcze lepiej, jak dadzą dostęp do FTP (bo do SSH to broń BORze) każdemu, kto o to poprosi.
Jak to mówią:
"Problem exist beetween chair and keybord".
Ave
https://www.cvedetails.com/vulnerability-list/vendor_id-2337/product_id-4096/