Серия от критични уязвимости в WordPress налагат спешен ъпдейд
WordPress е софтуер, с помощтта на който могат да се създадат прекрасни уеб сайтове или блогове. Ненапразно за WordPress се твърди, че е едновременно безплатен и безценен.
Заради своята популярност продуктът привлича като магнит хакерите. През последния месец атаките срещу сайтове, създадени с WordPress зачестиха. Причината е, че в Интернет се появиха описания на уязвимости, които сравнително лесно могат да бъдат използвани. Засилената хакерска дейност пришпори появата на версия 3.3.2 – в средата на април, като не е изключено в съвсем скоро време да се появи и следваща версия. В момента се работи по WordPress 3.4 бета 3.
Най-сериозните уязвимости, за които има информация в Мрежата в момента, представляват няколко CSRF (Cross-Site Request Forgery) експлойта. Това накратко представляват атаки в две стъпки. В първата хакерът „открадва“ доверието (в лицето на куки информация например) на атакувания сайт. Във втората се изпращат форми или се изпълняват операции с цел извършване на неоторизирани действия. Става дума за:
1. Change Post Title CSRF
2. Make URLs clickable CSRF
3. Post comments CSRF
4. Add Admin CSRF
За сериозността на уязвимостите може да се съди по списъка на възможните неоторизирани действия:
– Добавяне на потребител / администратор
– Изтриване на потребител / администратор
– Одобряване на коментар
– Забраняване на коментар
– Изтриване на коментар
– Смяна на изображението на фона
– Вмъкване на изображение за хедъра
– Смяна на името на сайта
– Смяна на администратовния e-mail
– Смяна на адреса на сайта
Във версия 3.3.1 експлойтите са налице. Все още няма информация от тестове на последната 3.3.2 версия. Тъй като тя е обявена като „секюритии ъпдейт“ на 3.3.1, може да се очаква, че дупките са закърпени. Затова засега, препоръката е: Бърз ъпдейт до версия 3.3.2 може да спести доста неприятности.