Strony wciąż są hackowane przez stare dziury we wtyczkach

WordPress - bugO tym, że należy na bieżąco aktualizować zainstalowane wtyczki i motywy, trąbią na prawo i lewo wszystkie osoby zajmujące się WordPressem (dotyczy to również każdego innego CMSa) i ogólnie pojętym bezpieczeństwem serwisów internetowych. Zawsze jednak znajdzie się grupa użytkowników, która za nic ma te zalecenia, a pojawiająca się uporczywie w panelu administracyjnym informacja o dostępnych aktualizacjach to dla nich tylko irytujące czerwone kółeczko z numerkiem, które najlepiej byłoby wyłączyć lub ukryć.

Dobrym przykładem nieodpowiedzialności niektórych właścicieli stron jest sytuacja sprzed nieco ponad trzech miesięcy, kiedy to wykryto i natychmiastowo załatano groźną lukę bezpieczeństwa we wtyczce MailPoet.

Na blogu Sucuri można przeczytać, że wciąż odnotowuje się liczne przypadki infekowania stron przez dawno załataną dziurę:

This issue was disclosed months ago and the MailPoet team patched it promptly. It seems, though, that many website owners have still not gotten the word, or are blatantly not updating, because we are seeing another string of mass exploitation attempts against WordPress websites.

Problem jest o tyle poważny, że poprzez zainfekowaną stronę atakujący może dostać się również do innych witryn działających w ramach tego samego konta, nawet jeśli strony te nie korzystają z dziurawej wtyczki!

(…) cross site contamination is occurring after the compromise.

There were a few websites that did not have MailPoet installed, but further investigation revealed it was on a neighboring website (which was out of date and not patched or protected).

Pisałem już o tym, że aby nasza strona była w pełni bezpieczna, powinniśmy aktualizować również nieaktywne motywy i wtyczki. Przykro mi to mówić, ale opisana powyżej sytuacja jest najlepszym potwierdzeniem moich słów…

Daniel Cid z Sucuri przytacza również przykład strony, która została zainfekowana poprzez… swoją własną kopię bezpieczeństwa, przechowywaną na serwerze w katalogu /backup i zrobioną przed załataniem dziury we wtyczce MailPoet:

In one case, the “forgotten” directory was /backups. He had a copy of WordPress inside /backups running the vulnerable plugin and it lead to his whole site getting hacked.

To prowadzi do kolejnego wniosku: kopie bezpieczeństwa należy robić nie tylko regularnie, ale i z głową.

Bezpośredni link