Krytyczny błąd we wtyczce WPtouch – zalecana natychmiastowa aktualizacja

Ekipa Sucuri wykryła krytyczny błąd w popularnej wtyczce WPtouch. Błąd jest podobny do ujawnionego w ubiegłym tygodniu problemu z wtyczką MailPoet i pozwala na przesłanie na serwer dowolnego pliku z pominięciem sprawdzenia posiadanych przez użytkownika uprawnień. Problem dotyczy tylko serwisów, które pozwalają użytkownikom na rejestrację i występuje jedynie w wersji 3.x (wersje 1.x i 2.x są bezpieczne).

Autorzy rozszerzenia opublikowali stosowną poprawkę, która trafiła już do repozytorium. Wszyscy użytkownicy WPtouch (zarówno wersji bezpłatnej, jak i płatnej) powinni upewnić się, że korzystają z wtyczki w wersji 3.4.3 (lub nowszej).

Czytaj dalej → Brak komentarzy

Krytyczny błąd we wtyczce MailPoet (Wysija) – zalecana natychmiastowa aktualizacja

Ważna informacja dla użytkowników popularnej wtyczki MailPoet (dawniej Wysija). W rozszerzeniu wykryto krytyczny błąd bezpieczeństwa, pozwalający na przesłanie na serwer dowolnego pliku (w tym również skryptów) z pominięciem autoryzacji. Daje to atakującemu ogromne pole do popisu – może on zrobić z naszą stroną praktycznie wszystko i wykorzystać ją w dowolny sposób, na przykład do rozsyłania spamu, dystrybucji oprogramowania malware, wyświetlania własnych reklam lub przekierowywania naszych użytkowników na inne strony. Twórcy wtyczki poprawili już błąd i wydali nową, bezpieczną wersję rozszerzenia, oznaczoną numerkiem 2.6.7. Zalecana jest jak najszybsza aktualizacja wtyczki.

Czytaj dalej → komentarzy 5

Używanie „darmowych” wersji płatnych motywów i wtyczek może być niebezpieczne

Płatne wtyczki i motywy „premium” dla WordPressa są zwykle bardziej rozbudowane i lepsze jakościowo niż ich darmowe odpowiedniki, które możemy znaleźć w oficjalnym repozytorium. Ceny dodatków nie są zwykle wygórowane – porządny motyw możemy kupić już za 40 dolarów; ceny wtyczek są nieco bardziej zróżnicowane.

Nie wszyscy właściciele serwisów internetowych są jednak skłonni zapłacić za potrzebną wtyczkę lub szablon i wolą pobrać je za darmo z nie do końca legalnych źródeł. Nie wszyscy jednak wiedzą, że takie „darmowe” wersje płatnych dodatków często zawierają ukrytą niespodziankę, która w najgorszym wypadku może doprowadzić do utraty kontroli nad własną stroną.

Czytaj dalej → komentarzy 10

Uwaga na e-maile proponujące bezpłatną instalację wtyczki All in One SEO Pack Pro!

Od kilkunastu dni na kilka moich kont e-mail trafiają wiadomości zachęcające do bezpłatnej instalacji popularnej wtyczki All in One SEO Pack Pro w nazywanej „nową” wersji 2.1. Na wstępie zaznaczę, że pod żadnym pozorem nie wolno tej wtyczki instalować, a autorzy rozszerzenia nigdy nie wysyłają tego typu wiadomości i nie rozdają swojego produktu za darmo (a już na pewno nie używają do tego spamu). Wtyczka, którą można pobrać spod wskazanego w wiadomości adresu, zawiera złośliwy kod (malware). Zobaczmy na co możemy być narażeni instalując „promowane” w ten sposób rozszerzenia.

Czytaj dalej → komentarzy 8

WP Security Audit Log – permanentna inwigilacja użytkowników

WordPress nie został wyposażony w żaden mechanizm monitorowania aktywności użytkowników. Narzędzi do analizy ruchu na stronie jest sporo (chociażby bardzo popularny Google Analytics), ale gdy chcemy sprawdzić kto i co robił w panelu administracyjnym, to nie zdadzą one egzaminu.

Wtyczka WP Security Audit Log prowadzi dziennik wszystkich istotnych działań, jakie wykonali nasi użytkownicy w panelu administracyjnym. Dane takie mogą być przydatne gdy prowadzona przez nas strona ma wielu autorów lub administratorów, ale również gdy klient, któremu wykonaliśmy witrynę, zbyt często mówi, że w jego serwisie coś „nagle przestało działać” albo „samo się zmieniło”.

Czytaj dalej → 1 komentarz

Dlaczego WordPress jest tak częstym celem ataków?

Osoby tworzące różnego rodzaju złośliwe oprogramowanie bardzo często jako cel swojej działalności obierają serwisy działające na WordPressie. Nie dzieje się tak dlatego, że WordPress ma jakoś szczególnie dużo luk związanych z bezpieczeństwem. Problemem są jego użytkownicy, którzy za nic mają zalecenia dotyczące regularnego wykonywania aktualizacji.

Pisałem już kiedyś o popularności poszczególnych (niestety, często bardzo starych) wersji WordPressa, jednak dane z systemu automatycznych aktualizacji nie są do końca miarodajne – nie uwzględniają bowiem popularności poszczególnych stron ani nawet tego, czy są one publicznie dostępne. Ekipa WP WhiteSecurity przygotowała nieco inne zestawienie – przeanalizowała ponad 42 tysiące najpopularniejszych według serwisu Alexa stron opartych na WordPressie. Wyniki są zatrważające.

Czytaj dalej → komentarze 4

BackWPup – prosty sposób na kopie bezpieczeństwa WordPressa

Regularne wykonywanie kopii bezpieczeństwa naszego serwisu internetowego to podstawa. Aktualny backup plików i bazy danych pomoże nam gdy nasza strona zostanie zainfekowana, gdy aktualizacja WordPressa się nie powiedzie lub gdy sami przez nieuwagę zrobimy coś, przez co stracimy dane naszego serwisu.

Większość firm hostingowych wykonuje regularnie kopie danych swoich klientów, ale w sytuacji awaryjnej dobrze mieć również własną. Istnieje sporo wtyczek dla WordPressa pozwalających na wykonywanie backupów – ja od dłuższego czasu korzystam z darmowego rozszerzenia BackWPup i mogę je z czystym sumieniem polecić. To narzędzie proste w obsłudze, a jednocześnie posiadające olbrzymie możliwości.

Czytaj dalej → komentarzy 39

20 procent najpopularniejszych wtyczek dla WordPressa posiada luki w bezpieczeństwie

Przygotowany przez firmę Checkmarx raport dotyczący bezpieczeństwa najpopularniejszych wtyczek dla WordPressa nie napawa optymizmem. Ponad 20 procent z przeanalizowanych rozszerzeń jest podatnych na ataki przy użyciu technik SQL Injection, Cross Site Scripting (XSS), Cross Site Request Forgery (CSRF), Remote / Local File Inclusion (RFI / LFI) lub Path Traversal. Co gorsza, w ciągu pół roku znalezione błędy zostały poprawione tylko w 6 na 18 problematycznych wtyczek.

Czytaj dalej → komentarze 2

TimThumb – co to jest i czy trzeba się tego obawiać?

TimThumb to skrypt służący do skalowania obrazków. Jest bardzo prosty w użyciu, a dzięki wbudowanemu mechanizmowi cache nie obciąża w znaczący sposób serwera – i prawdopodobnie właśnie dlatego upodobali go sobie twórcy szablonów dla WordPressa (mimo że nie powstał on z myślą o tym CMSie). W sierpniu 2011 roku odkryto w nim dość poważną lukę bezpieczeństwa, która została usunięta w ciągu dosłownie kilku dni. Kilka tygodni po tym incydencie autor skryptu ogłosił wydanie wersji 2.0 – skrypt został przepisany praktycznie od nowa i jest całkowicie bezpieczny. Niestety, łatka niebezpiecznego skryptu została do TimThumba przyklejona już chyba na stałe, mimo że w tym momencie po prostu mu się ona nie należy.

Zobaczmy dlaczego skrypt ten jest tak chętnie używany i dlaczego nie ma powodu aby się go obawiać. A wszystkim nie do końca przekonanym wskażę alternatywy.

Czytaj dalej → komentarzy 15

Sprawdzanie szablonów dla WordPressa za pomocą Theme Check

Wtyczka Theme Check to jedno z narzędzi używanych przez moderatorów oficjalnego repozytorium WordPressa do weryfikacji zgłaszanych szablonów. Służy ona do automatycznego wyszukiwania najczęstszych błędów i braków w motywach. Może się ona jednak przydać każdemu użytkownikowi tego CMSa do sprawdzania darmowych szablonów pobranych ze źródeł innych niż oficjalne repozytorium. Sens takiego sprawdzania jest bezdyskusyjny – darmowe motywy mogą nie tylko być niskiej jakości, ale również zawierać złośliwy kod lub ukryte linki reklamowe.