Kritická chyba v pluginu Slider Revolution ohrožuje velké množství instalací WordPress

Nejnovější kauza kolem pluginu Slider Revolution pěkně rozdmýchala otázku nejen kolem bezpečnosti, ale i přístupu k pluginů v šablonách WordPress. Tvůrci oblíbeného pluginu Slider Revolution objevili v únoru tohoto roku velmi vážnou bezpečnostní chybu, která umožňuje útočníkovi získat údaje ze souboru wp-config.php. S nimi nebude mít problém během velmi krátké doby ovládnout kompletní instalaci. Získá totiž přístup do databáze, v ní si vytvoří administrátorský a pak už je v podstatě vymalováno.

Vývojáři samozřejmě rychle chybu opravili a od verze 4.2 už je užívání pluginu naprosto bezpečnou záležitostí. Zřejmě aby minimalizovali riziko, však tato úprava proběhla v tichosti. Problém ovšem nastal u šablon, které tento plugin používají a jejich autoři neprovedli bezpečnostní update.

Společnost Envato Market udělala rychlý průzkum, aby zjistili kolika produktů se bezpečnostní hrozba týká. Přes jejich tržiště bylo prodáno více jak 1000 šablon, které jsou potenciálně ohroženy. Dokonce kvůli tomu na speciální stránce zveřejnili jejich seznam. Některé už jsou opraveny a stačí je jen aktualizovat, ovšem stále je dost autorů šablon, kteří nezareagovali. Samozřejmě Envato Market zablokovala prodej nebezpečných šablon a navíc se rozhodla poslat jejich zákazníkům email s upozorněním na nutnost aktualizace.

Na vývojářský tým ThemePunch, který stojí za Slider Revolution, se snesla vlna kritiky za jejich tichý bezpečností update. Ve společnosti Envato Market si myslí, že takto důležitá aktualizace by se měla řešit, co možná nejrychleji s tvůrci šablon a WordPress komunitou, aby donutila vývojáře rychle reagovat.

Samozřejmě se objevila i stará diskuze o tématu přidávání pluginů do šablon. Pokud by totiž plugin byl klasickou cestou, tak se nabídne aktualizace ihned poté, co bude připravena. Samozřejmě tvůrci šablon mohou oponovat, že v případě velkých změn nemusí šablona fungovat, tak jak by měla.

Co se týká samotných „best practices“ – osvědčené praxe, tak toto se u WordPress nedoporučuje. Je to takové porušování standard. Ovšem pokud jste velké tržiště jako Envato Market, tak je lepší přimhouřit nad tímto oko. Ostatně právě nejprodávanější šablony často nesplňují obecná doporučení.

Podle některých odhadů WordPress momentálně využívá až 23 % všech internetových stránek, kam dosáhne Google. Tento redakční systém je tak velice vyhledávaným hackery. Velké množství automatických robotů to doslova zkouší na předpokládané slabiny instalací. Prakticky každý, jehož WordPress kdy zaindexoval Google bude dříve anebo později podroben zkoušce. Většina lidí si toho ani nevšimne, protože nesledují statistiky přístupů postavené na PHP anebo ze serverových dat (access log). Většina měření jako je třeba Google Analytics útok robotů neodhalí.

Napsat komentář

Vaše emailová adresa nebude zveřejněna. Vyžadované informace jsou označeny *