You are here: Home » WordPress » Když si v aktualizaci pluginu stáhnete i backdoor

Když si v aktualizaci pluginu stáhnete i backdoor

Kauza pluginu Custom Content Type Manager před pár týdny otřásla důvěryhodností pluginů, které si můžete instalovat online z WordPress.org přes administraci. Co se přesně stalo? Nejdříve z nějakého důvodu změnil majitele. Jeho nový vlastník do něj pak nahrál backdoor, který si uživatelé stáhli společně s aktualizací, kterou vydal. Na vše náhodou přišli bezpečnostní experti ze Securi.

Situace byla natolik vážná, že musel zasáhnout tým WordPress, který má na starosti pluginy. Novému i stávajícímu vlastníkovi odebrali práva k pluginu Custom Content Type Manager, vrátili plugin do původního stavu před úpravou a vydaly tuto změnu (návrat) jako aktualizaci. Současná verze 0.9.8.9 tedy není nová, ale původní „bezpečná“. Ty uvozovky jsou zde schválně, protože plugin nebyl aktualizován přes 10 měsíců.

Otázkou však zůstává, proč vlastně změnil plugin vlastníka. Ve hře je možnost ukradení účtu anebo také původní majitel mohl plugin prodat. Což údajně není nic neobvyklého. Úspěšné pluginy kupují společnosti, které na nich dále vydělávají peníze. Ať už legálně anebo ne. O tomto se ale moc nemluví. Custom Content Type Manager patří mezi ty úspěšnější. Má přes 10 tisíc aktivních instalací. Původní autor se k problému nijak nevyjádřil.

Custom Content Type Manager není první a nebude ani poslední

Počet pluginů zdarma na WordPress.org přibývá. Každý si může vytvořit vlastní a nabídnout jej komunitě zdarma ke stažení. S tím jak oblíbenost WordPress roste, tak přibývá fanoušků ale i lidí, kteří na něm vydělávají peníze všemožnými způsoby.

Přeštěte si   Kdo a jak rozhoduje, který hosting bude na WordPress.org jako doporučený

Obrana proti tomu nebude jednoduchá. Prozatím se jeví jako lepší využívat pluginy, které používá hodně lidí, protože ty jsou pod větším drobnohledem. Zvláště komerční projekty si platí služby poskytovatelů WAF (Web Application Firewall), IPS (Intrusion Detection Systems) a IDS (Intrusion Prevetntion Systems) ochran, které sledují co nového ve světě zranitelností nultého dne. Ty se samozřejmě podobně jako v případě Custom Content Type Manager rádi pochlubí podobnými případy. Přeci jen mají z toho patřičnou pozornost.

Dále pokud se nejedná o záplatu bezpečnostní zranitelnosti a někde není rozbitý kus webu, můžete s aktualizací posečkat a průběžně sledovat diskuze na fóru u pluginu. Securi trvalo upozornit na backdoor zhruba 14 dnů. Což ale není zrovna málo. Navíc podle jejich příběhu to vypadá, že spíše na backdoor narazili náhodou.

Přeštěte si   Jak různě se dá blogovat ve WordPress

Co určitě ale udělat můžete je sledovat, co se s pluginem děje. Většina uživatelů WordPress ani netuší, co obsahuje aktualizace pluginu. Jen kliknou bezmyšlenkovitě na aktualizovat. Správně byste si měli přečíst, co je součástí a aktualizace, projít si diskuzi k pluginu, jestli někdo nepíše, že plugin zlobí anebo dobře nefunguje s jiným pluginem. Mimochodem zvláště cachovací pluginy nemusí vždy „spolupracovat“. Pokud jako v případě Custom Content Type Manager najednou plugin změnil majitele, je to rozhodně důvod se ptát proč?

Závěr

O problémech jako je tento se moc nemluví ani nepíše, ale mělo by se. Uživatelé přestávají být ostražití. Zvykli si, že pluginy jako WordFence anebo automatická aktualizace za ně řeší spousty problémů.

Share Button

Programuju v PHP už několik let spíše pro zábavu. Baví mě WordPress, protože tak lenivým lidem jako jsem já ušetří spoustu času. A rád sbírám reklamní flash disky. Tento blog používám pro utřídění myšlenek.

http://n-host.cz

Napsat komentář

Vaše emailová adresa nebude zveřejněna. Vyžadované informace jsou označeny *