Miljonid WordPressi saidid saavad turvavea parandamiseks sunniviisilise automaatse värskenduse

Mis just juhtus? Eelmisel nädalal sai suurem osa kahest miljonist WordPressi saidist sunniviisilise turvavärskenduse andmete varundamiseks kasutatava pistikprogrammi tõsise vea tõttu. Haavatavus võib lubada volitamata kasutajatel alla laadida WP-saitide varukoopiaid.

Eelmisel neljapäeval ilmus WordPressi saitide pistikprogrammi UpdraftPlus turvavärskendus kriitilise haavatavuse kõrvaldamiseks. Arendajad arvasid, et viga oli piisavalt kiireloomuline, et õigustada sundvärskendust.

UpdraftPlusi kasutatakse WordPressi saitide allalaadimise ja varukoopiate taastamise lihtsustamiseks. JetPacki arendajad leidsid UpdraftPlusi siseauditi käigus puuduvate lubade kontrollimisel haavatavuse, mis võib lubada volitamata kasutajatel juurdepääsu nendele varukoopiatele. Tavaliselt peaks neile juurdepääs olema ainult administraatoritel. UpdraftPlusi edetabelite kohaselt laadis värskenduse neljapäeval alla umbes 1,7 miljonit saiti.

Nii JetPack kui ka UpdraftPlus avaldasid vea kohta hoiatused. Oma varukoopiaid krüpteerivad saidid on vähem ohustatud ja UpdraftPlusi arendajad märgivad, et WordPress räsib oma salvestatud paroole, mis peaks kaitsma neid häkkerite eest, kes hangivad krüptimata varukoopiaid. JetPack ütleb, et enamikku WordPressi saite on värskendatud, ja kutsub neid, kes pole installinud uusimat UpdraftPlusi plaastrit.

WordPressi pistikprogrammide ärakasutamine on muutumas üha tõsisemaks probleemiks. Turvagrupi eelmisel kuul avaldatud aruanne ütles, et 2021. aastal teatati rohkem turvaauke kui 2020. aastal ja et kolmveerand pistikprogrammi vigadest olid teadaolevad ärakasutused.