Minulý týden byla v oblíbeném pluginu WordPress SEO Plugin by Yoast, který používá přes milion uživatelů, objevena bezpečnostní chyba. Ta umožňovala provést takzvaný Blind SQL Injection.

Blind SQL Injection je dením z druhů útoků SQL injection, kdy přes nějakou bezpečnostní díru má možnost útočník posílat dotazy na databázi. U Blind SQLi to však nejsou rovnou samotné SQL dotazy, ale podle reakce skriptu pozná zdali byla odpověď ano anebo ne. Pomocí Blind SQLi se například může dotázat zdali je uživatelské jméno „admin“ anebo první písmenko hesla je „a“.

V tomto případě nebyl správně ošetřen vstup, přes GET, pro uživatelské role administrátor, redaktor anebo autor článku. Zranitelnost se nacházela v souboru admin/class-bulk-editor-list-table.php. Pokud používáte verzi 1.7.3.3 tak tam stále ještě je.

Společnost Yoast reagovala poměrně rychle a vydala verzi 1.7.4 Navíc začala sama s automatickou aktualizací pluginu. Zároveň společnost rozeslala více jak 150 tisíc informačních e-mailů. Většinou se jednalo o platící zákazníky, kteří musí vyplnit svůj e-mail.

Automatická aktualizace pluginu nejen mě překvapila, protože je ve WordPress prozatím vypnutá a spíše se o ní jen mluvilo jako, že jednou bude. Hlavním důvodem jsou možné problémy, které mohou nastat. Většinou se jedná o kompatibilitu s ostatními pluginy. Nejčastěji se objevují chyby kvůli pluginům na cachování a bezpečnost. Stačí ale jeden refresh a vše funguje. Při manuální aktualizaci to problém není u automatické může někde zůstat vyset nějaká chybová hláška. Ona varovná informace, že byste si měli před aktualizací WordPress všechno zazálohovat má něco do sebe. V budoucna nám to jistě ulehčí snapshoty poskytovatelů webhostingu, ale prozatím se musíme spolehnout na klasické metody.

Kvůli celé situaci jsem zahlédl i pár žhavých diskuzí a článků. Většinou se ozývali vývojáři, kteří musí teprve své výtvory doladit. Nakonec se objevila v oficiálním Codexu WordPress lehká změna. Automatické aktualizace se mohou provádět pro pluginy a šablony ve speciálních případech. K celé situaci vyšla i oficiální zpráva.

V případě, že najdete ve vašem pluginu závažnou bezpečnostní chybu můžete požádat přímo WordPress vývojáře o pomoc. Pokud to uznají za správné mohou provést automatickou aktualizaci všech nainstalovaných pluginů. Pro šablony to zatím nefunguje, ale jednou v budoucnu prý možná bude.

Samozřejmě pokud je to možné snažte se být s uživateli vašeho pluginu či šablony v kontaktu a případně je vždy upozornit na novou verzi jak jen to jde.

Tento článek byl byl přečten 2327 krát