V jednom z nejrozšířenějších WordPress pluginů byla nalezena bezpečnostní díra (konkrétně se jedná o dva problémy). Tvůrci oblíbeného All in One SEO Pack na to reagovali rychle a vytvořili bezpečnostní aktualizaci. Takže neváhejte a využijte automatické aktualizace.
Kdo je v ohrožení?
Naštěstí se tento problém týká pouze WordPress instalací s povolenou registrací a členy, kteří mají oprávnění psát či pozměňovat nové příspěvky. Takovýto člen totiž může prostřednictvím formulářů , které plugin přidává na optimalizaci pro vyhledávače (konkrétně title, description a meta tag keywords), vložit škodlivý kód. Na stránce s příspěvkem se tak může spustit klasický XSS (cross site scripting) útok. Což je velice nepříjemné, ale nijak fatální.
Ovšem tato bezpečnostní hrozba v kombinací s druhou dírou už je vážnější. Lze totiž vložit javascript, který v administraci spustí i samotný administrátor. Teoreticky, tak může administrátor nevědomky měnit nastavení WordPress, popřípadě něco i smazat (hrozí CSRF útok). Nejhorší variantou je samozřejmě ztráta hesla anebo vytvoření backdoor.
Problémy s aktualizací
Objevilo se několik problémů s aktualizací pluginu. Někteří majitelé WordPress nevidí možnost aktualizace, což se může u čerstvě vydaných patchů a updatů stávat. Vyřeší se to jednoduše. Klikněte v administraci na pluginy. Najděte All in One SEO Pack a zaškrtněte u něj checkbox. Následně nad anebo pod seznamem pluginu z rolovacího menu vyberte Aktualizovat a klikněte na tlačítko použít. WordPress se „násilím“ podívá zdali náhodou neexistuje v repositáři aktualizace. Jakmile jí najde provede aktualizaci na poslední verzi.
More from my site
Malware maskující se za chybějící font
Plugin JetPack a šablona TwentyFifteen zranitelná proti DOM XSS útoku
Nový ransomware TeslaCrypt cílí na hráče počítačových her
Chyba v oblíbeném WordPress pluginu FancyBox ohrozila tisíce instalací
Proč jsou redakční systémy častým cílem pro hackery
Kritická chyba v Drupal je dalším důvodem zavést automatické aktualizace jako má WordPress