Tento týden se objevil další WordPress plugin, který obsahuje bezpečnostní díru. Naštěstí už jí autoři opravili a pokud pravidelně aktualizujete svůj WordPres a všechny pluginy, tak se nemusíte bát.
Pojďme se podívat jaké nejrozšířenější pluginy, u kterých byla nedávno objevena bezpečnostní hrozba.
MailPoet
Právě MailPoet alias wysija-newsletters je momentálně nejohroženější.Přitom MailPoet patří mezi nejoblíbenější pluginy pro sběr a rozesílání emailů. Podle oficiálních statistik byl stažen z oficiálních stránek WordPress.org přes 1,7 milion krát.
Záplatovaná verze v2.6.7 je už na světě, ale spousta uživatelů WordPress si jí ještě nestáhlo.
Případný útočník může využít bezpečnostní díru a nahrát do vašeho WordPressu libovolný soubor. Například skript, který po spuštění v databázi změní heslo administrátora.
Pokud je mi známo, tento problém se týká pouze WordPressů, které umožňují registraci cizím lidem. Chyba spočívá v tom, že nedojde k ověření zdali má účet administrátorská práva.
TimThumb
Pluginy které pracují s obrázky jsou často největší slabinou nejen u WordPress ale i u ostatních redakčních systémů a eshopů. Proto byste měli používat pouze známé a prověřené. U nich je výhoda, že na případné bezpečnostní hrozby reaguje autor velice rychle, podobně jak tomu bylo i u TimThumb. Bezpečná verze má číslo 2.8.14.
Chyba v TimThumb, konkrétně ve fungkci WebShot umožňovala útočníkovi vkládat do kteréhokoliv souborů vlastní kusy kódu. Naštěstí tuto rozšířenou funkci si musí uživatel sám aktivovat.
S TimThumb byly problémy už dříve, protože nebyl aktualizován od roku 2011. Podle společnosti Incapsula až za 58 % útoků, u kterých došlo k změnám souborů, stál právě plugin TimThumb.
Pichaya Morimoto, který chybu objevil odhaduje, že by se podobná mohla nacházet i v pluginech WordThumb 1.07, WordPress Gallery Plugin a IGIT Posts Slider Widget.
All in One SEO Pack
O zranitelnosti tohoto pluginu jsem psal začátkem minulého měsíce v článku Zranitelný plugin All in One SEO Pack. Ačkoliv se tato bezpečnostní hrozba týkala pouze WordPressů s otevřenou registrací byla horší v tom, že se jedná o jeden z nejpoužívanějších pluginů na světě. Podle některých statistik jej totiž používá až 20 % všech WordPressů.
Autoři opravily bezpečnostní problém ve verzi 2.1.6.
Login Rebuilder
US-CERT Cyber Security Bulletin upozornil na chybu v tomto pluginu. Konkrétně se jednalo o náchylnost na cross-site request forgery. U tohoto druhu útoku se využije, že jste k administraci přihlášení a momentě kdy navštívíte stránku se škodlivým kódem dojde ke spuštění určitého příkazu prostřednictvím vašeho prohlížeče. Vzhledem k tomu, že jste přihlášení, tak tento příkaz je autorizován pod právy administrátora.
Chyba byla odstraněna ve verzi 1.2.3 minulý týden.
JW Player
Tuto chybu také objevil US-CERT Cyber Security Bulletin. Opět se jedná o zranitelnost na cross-site request forgery, který jsme si popsali v předchozím odstavci.
Dopad této chyby však není tak kritický. Případný útočník vás maximálně donutí smazat přehrávač ze stránek.
Bezpečnostní chyba byla odstraněna ve verzi 2.1.4, která vyšla minulý týden.
Doporučení
Samozřejmě základní doporučení je pravidelně všechno aktualizovat jak to jen jde. Ovšem ani to vám nepomůže pokud někdo chybu objeví a doposud nebyla vytvořena záplata. Například problém u MailPoet byl údajně více jak měsíc. Tedy přes zero day exploit (chyba objevena právě ten den) vás nic neochrání.
Nebezpečí jde částečně snížit pokud budete například svůj WordPress obsluhovat jen z jednoho samotného prohlížeče, který nebudete používat na nic jiného, než práci s WordPress. Vyhnete se tak útokům tipu cross-site request forgery.
Pomůže i vhodné nastavení práv k adresářům a souborům. Následující doporučení jsou podle Tips and Tricks HQ, kteří vytvořili bezpečnostní plugin All In One WP Security.
- root directory – 755
- wp-includes/ – 755
- .htaccess – 644
- wp-admin/index.php – 644
- wp-admin/js/ – 755
- wp-content/themes/ – 755
- wp-content/plugins/ – 755
- wp-admin/ – 755
- wp-content/ – 755
- wp-config.php – 644
Pozor tato práva občas zlobí u některých poskytovatelů sdílených webhostingů.
Mezi další doporučení patří samozřejmě pravidelné zálohování.
- Na databázi stačí automatický Backup Scheduler, který vám může posílat zálohu třeba na email.
- S multimédii to je složitější. Tady je vhodné to prostě jednou za čas zazálohovat přes FTP.
- Šablonu zálohujte jen když něco upravíte.
- Pluginy pokud neupravujete, tak stačí znát jméno. Pokud máte zálohu databáze máte i zálohu jejich nastavení.