Miljoonat WordPress-sivustot saavat pakotetun automaattisen päivityksen tietoturvavirheen korjaamiseksi

Mitä juuri tapahtui? Viime viikolla suurin osa kahdesta miljoonasta WordPress-sivustosta sai pakotetun tietoturvapäivityksen tietojen varmuuskopiointiin käytetyn laajennuksen vakavan virheen vuoksi. Haavoittuvuus saattaa antaa luvattomien käyttäjien ladata WP-sivustojen varmuuskopioita.

Viime torstaina WordPress-sivustojen UpdraftPlus-laajennuksen tietoturvapäivitys korjasi kriittisen haavoittuvuuden. Kehittäjät ajattelivat, että virhe oli tarpeeksi kiireellinen pakottaakseen päivityksen.

UpdraftPlusia käytetään WordPress-sivustojen varmuuskopioiden lataamiseen ja palauttamiseen. JetPackin kehittäjät havaitsivat UpdraftPlusin sisäisen tarkastuksen aikana haavoittuvuuden puuttuvasta käyttöoikeustarkistuksesta, joka saattoi antaa luvattomille käyttäjille mahdollisuuden päästä käsiksi kyseisiin varmuuskopioihin. Yleensä vain järjestelmänvalvojilla pitäisi olla pääsy niihin. UpdraftPlusin kaavioiden mukaan noin 1,7 miljoonaa sivustoa latasi päivityksen torstaina.

Sekä JetPack että UpdraftPlus julkaisivat varoituksia virheestä. Varmuuskopionsa salaavat sivustot ovat vähemmän vaarassa, ja UpdraftPlus-kehittäjät huomauttavat, että WordPress tiivistää tallennetut salasanansa, minkä pitäisi suojata niitä hakkereilta, jotka hankkivat salaamattomia varmuuskopioita. JetPack sanoo, että useimmat WordPress-sivustot on päivitetty, ja kehottaa niitä, jotka eivät ole asentaneet uusimman UpdraftPlus-korjauksen.

WordPress-laajennusten hyödyntämisestä on tulossa yhä vakavampi ongelma. Tietoturvaryhmän viime kuussa julkaiseman raportin mukaan vuonna 2021 ilmoitettiin enemmän haavoittuvuuksia kuin vuonna 2020 ja että kolme neljäsosaa laajennusvirheistä oli tunnettuja hyväksikäyttöjä.