WordPress šablony využívajících zastaralý plugin Slider Revolution jsou v ohrožení

Útočníci začali aktivně zneužívají kritické zranitelnosti WordPress pluginu Slider Revolution, který využívá poměrně velký počet šblon. Jedná se převážně o automatické útoky robotů, kteří prochází instalace WordPress, hledají konkrétní šablony a testují u nich plugin Slider Revolution. Hrozba se stala velice aktuální, když někdo zveřejnil na fóru konkrétní důkaz zranitelnosti a seznam ohrožených šablon.

Podle provozovatelů honeypotů Trustwave bylo zaznamenáno až 64 aktivních IP adres z kterých směřují útoky.

Chyba se nachází ve verzi 4.1.4 a starší.  Pokud používáte aktuální verzi 4.6 (25. srpna 2014), tak už jste chráněni. Chyba však byla opravena už ve verzi 4.2. Je zajímavé, že tato záplata byla vydána už v únoru tohoto roku. Autoři pluginu ThemePunch při aktualizaci upozornili na bezpečnostní chybu, která byla opravena, ovšem nijak konkrétně.

A o jakou bezpečnostní hrozbu se jedná? Jde o LFI (local file inclusion) zranitelnost. Podle blogu Sucuri údajně může hacker spustit skript, díky kterému získá přístup do wp-config.php. V podstatě jakmile se k těmto údajům dostane, tak už je váš WordPress odepsaný. Soubor wp-config.php totiž obsahuje přístupové údaje do databáze, díky kterým může zjistit login administrátora a změnit heslo. Naštěstí heslo jde pouze změnit nikoliv přečíst, díky jednosměrnému šifrování.

Problémem je hlavně vypnutá automatický aktualizace pluginu Slider Revolution kvůli šablonám. Uživatelé je většinou aktualizují manuálně společně se šablonou, aby nedošlo k problémům s funkčností.

Jednoduše řečeno v současné době je ohroženo velké množství instalací WordPress protože tvůrci šablon neaktualizují pluginy spojené s jejich šablonami.  Ale to je podle zástupce ThemePunch údajně celkem běžný jev. Přitom pluginy na serverech WordPress jsou aktualizovány jakmile je to možné v případě bezpečnostních hrozeb.

Velké množství tvůrců nejen šablon ale i dalších pluginů využívá už hotové řešení od jiných developerů jako jsou třeba už hotové knihovny. Usnadní to práci a navíc je jednodušší udržovat vše aktuální a bezpečné, ovšem v případě, že nedochází k aktualizacím, tak může začít docházet k problémům právě s bezpečností.

Spoléhat se na práci jiných znamená nést dvojitou zodpovědnost a developer by měl sledovat nejen své projekty ale i dění kolem skriptů třetí strany, který využívá.

Share Button

Tento článek byl byl přečten 2477 krát

Napsat komentář

Vaše emailová adresa nebude zveřejněna. Vyžadované informace jsou označeny *