Wszystko na temat zabezpieczania WordPressa przed atakami i złosliwymi skryptami.
W ciągu kilku ostatnich dni wykryto poważne luki związane z bezpieczeństwem w trzech popularnych wtyczkach – WooCommerce, WPML i WordPress SEO by Yoast. Na szczęście we wszystkich tych przypadkach autorzy stanęli na wysokości zadania i bardzo szybko udostępnili nowe, wolne od błędów wersje swoich wtyczek.
Znalezione błędy są na tyle poważne, że zalecana jest jak najszybsza aktualizacja wspomnianych rozszerzeń.
W popularnej wtyczce WP-Slimstat (ponad 1,3 miliona pobrań) została wykryta poważna luka bezpieczeństwa. Pozwala na przeprowadzenie ataku SQL injection, który w najgorszym przypadku może prowadzić nawet do przejęcia przez atakującego całkowitej kontroli nad stroną.
Błąd został wykryty kilka dni temu. Autor bardzo szybko wydał poprawkę, która znalazła się w wersji 3.9.6 wtyczki. Ponieważ ryzyko związane z luką zostało określone jako bardzo wysokie, zalecana jest natychmiastowa aktualizacja.
Więcej informacji na temat luki oraz wyjaśnienie w jaki sposób może ona zostać wykorzystana znaleźć można na blogu Sucuri.
Anthony Ferrara wykonał bardzo ciekawą analizę, z której wynika że:
(…) over 78% of all PHP installs have at least one known security vulnerability.
Prawie dwa lata temu pisałem o zatrważającej liczbie starych, dziurawych WordPressów, które leżą sobie w internecie i czekają na zainfekowanie. W tym temacie niewiele się zmieniło. Doszło za to kolejne zagrożenie, wynikające z całej masy serwerów z nieaktualnymi, często dziurawymi wersjami interpretera PHP.
O konieczności regularnego aktualizowania używanych wtyczek i motywów piszę przy każdej możliwej okazji. Tym razem okazja jest szczególna, bowiem ofiarą złośliwego skryptu nazwanego SoakSoak (od adresu jednej ze stron, na które są przekierowywane osoby odwiedzające zainfekowane serwisy) padło (szacunkowo) ponad 100 tysięcy stron korzystających z popularnej wtyczki Slider Revolution (znanej również pod skróconą nazwą RevSlider). Sprawę opisano szczegółowo na blogu Sucuri, ale niestety w mojej ocenie firma ta jest współodpowiedzialna za zaistniałą sytuację.
WPScan Vulnerability Database, jeden z serwisów zbierających informacje o lukach bezpieczeństwa w WordPressie oraz w przeznaczonych dla niego wtyczkach i motywach (o pozostałych przeczytać można tutaj), uruchomił moduł statystyk. Możemy się z niego dowiedzieć, która wersja WordPressa miała najwięcej problemów z bezpieczeństwem oraz które wtyczki i motywy zawierały najwięcej potencjalnie niebezpiecznych błędów.
Koncepcja logowania bez użycia hasła nie jest nowa, a jej implementacji jest co najmniej kilka. Idea wszelkiego rodzaju jednorazowych kodów nie jest idealna, ponieważ taki kod to tak naprawdę kolejne hasło – trudne (jeśli nie niemożliwe) do złamania, ale wciąż wymagające wprowadzenia do formularza logowania. Znacznie lepszym (a raczej wygodniejszym) sposobem jest wysyłanie na powiązany z kontem adres e-mail specjalnego linku, po kliknięciu którego zostaniemy automatycznie zalogowani w serwisie. Link ten jest za każdym razem inny, a jego ważność jest stosunkowo krótka. I takie właśnie podejście postanowił wcielić w życie Cristian Antohe, który stworzył wtyczkę Passwordless Login dla WordPressa.
Jak już wielokrotnie podkreślałem na WPzen, temat bezpieczeństwa naszych serwisów jest niezwykle ważny. Wraz z popularyzacją WordPressa wzrosła znacząco liczba prób ataków na strony z niego korzystające, a olbrzymia liczba dostępnych wtyczek i motywów powoduje, że coraz łatwiej jest trafić na produkt, w którym znajduje się jakaś luka bezpieczeństwa.
Luki w WordPressie są usuwane bardzo szybko po ich wykryciu, a o aktualność naszych instalacji dba mechanizm automatycznych aktualizacji (lub – jeśli go wyłączymy – powiadomienia w panelu administracyjnym). Nieco inaczej wygląda jednak sytuacja w przypadku wtyczek i motywów dostępnych w oficjalnym repozytorium, a rynek płatnych dodatków premium to już w ogóle wolna amerykanka. Dlatego też dobrze jest trzymać rękę na pulsie i samodzielnie sprawdzać, czy używane przez nas rozszerzenia i szablony nie zagrażają bezpieczeństwu naszego serwisu.
O tym, że należy na bieżąco aktualizować zainstalowane wtyczki i motywy, trąbią na prawo i lewo wszystkie osoby zajmujące się WordPressem (dotyczy to również każdego innego CMSa) i ogólnie pojętym bezpieczeństwem serwisów internetowych. Zawsze jednak znajdzie się grupa użytkowników, która za nic ma te zalecenia, a pojawiająca się uporczywie w panelu administracyjnym informacja o dostępnych aktualizacjach to dla nich tylko irytujące czerwone kółeczko z numerkiem, które najlepiej byłoby wyłączyć lub ukryć.
TimThumb to skrypt skalujący obrazki „w locie”. Na temat jego wad i zalet, a także znalezionych w nim luk bezpieczeństwa pisałem półtorej roku temu. Co ma on wspólnego z WordPressem? Korzysta (lub korzystało) z niego wielu twórców motywów (głównie płatnych). Problem w tym, że jego autor ogłosił właśnie, że zaprzestaje rozwijania i wspierania tego skryptu. Oznacza to, że jeśli ktoś odkryje w nim kolejną lukę, to nie zostanie ona usunięta.
Jeśli Twoja strona korzysta z TimThumba, to należy jak najszybciej się tym zająć i pozbyć się tykającej bomby.
W ostatnich dniach otrzymałem kilka pytań związanych z brakiem możliwości zalogowania się do panelu administracyjnego WordPressa. Wszystkie te przypadki miały jedną wspólną cechę: próby wejścia do panelu kończyły się komunikatem Nie znaleziono strony, wskazującym na brak pliku wp-login.php, w którym odbywa się cały proces logowania.
Okazało się, że niektóre firmy hostingowe (między innymi bardzo popularny Home.pl) bez wiedzy klientów i bez przesłania im jakiejkolwiek informacji zmieniają nazwę pliku wp-login.php na wp-login.php.blocked. I mimo że działanie to ma swoje uzasadnienie, to sposobu, w jaki cała akcja została przeprowadzona, nie można nazwać profesjonalnym.