Plugin FancyBox dokáže vylepšit zobrazování obrázků na vašem WordPress. Umí upravit okraje, odsazení, průhlednost, umožní po kliknutí na obrázek jeho efektivní zvětšení, kde se dá nastavit rychlost animace, pozice zavírací ikonky a spousty dalších věcí. Není divu, že si jej stáhlo přes 600 tisíc uživatelů. Bohužel se v něm objevila chyba, která byla rovnou zneužita.

Po stížnosti na diskuzních fórech se pustila do analýzy společnost Securi, která potvrdila bezpečnostní díru a také její zneužití. Útok probíhá přes POST a směřuje na následující URL:

POST /wp-admin/admin-post.php?page=fancybox-for-wordpress HTTP/1.1

Útok tedy odrazíte pokud máte omezený přístup do administrace, či adresáře s administrací, jen pro vybrané IP adresy. Útočníkovi se vrátí odpověď serveru 403 (přístup zamítnut) a vy uvidíte jen záznam v access log. Toto můžete provést prostřednictvím bezpečnostních pluginů (například WordFence) anebo umístěním/úpravou .htaccess souboru v adresáři /wp-admin/.

V .htaccess blokování IP adres dosáhnete pomocí následujících kódu:

order deny,allow
 deny from all
 allow from 111.222.333.444

Prozatím byl zaznamenán jen útok formou vložení iframe, který způsoboval přesměrování na cizí web, což značně ulehčí identifikování napadení. Bohužel si toho okamžitě všimnou vyhledávače. Jsou hlášeny případy, kdy Google takto napadený web dočasně vyřadil z vyhledávání. Pokud se vám to stalo, přihlašte se do Google nástroje pro webmastery a zkontrolujte zprávy. Najdete instrukce jak požádat o znovuposouzení webu.

Po zjištění a potvrzení zranitelnosti byl plugin deaktivován z repozitáře na wordpress.org. Následně byli kontaktování vývojáři, aby plugin co nejdříve zabezpečili. Ti reagovali velice rychle a vydali rychlou bezpečnostní záplatu ve verzi 3.0.4. Následovala další aktualizace 3.0.5, kde vývojáři například odstranili zobrazování verze pluginu z html kódu.

FancyBox ve verzi 3.0.4 je tak už bezpečný. Pokud jej používáte a doposud jste jej neaktualizovali učiňte tak co možná nejdříve. V současné době už je opět zařazen v repozitáři a je možné si jej stáhnout.