Millioner av WordPress-nettsteder mottar tvungen automatisk oppdatering for å rette opp sikkerhetsfeil
Hva skjedde nå? I forrige uke fikk den største delen av to millioner WordPress-nettsteder en tvungen sikkerhetsoppdatering på grunn av en alvorlig feil i en plugin som brukes til å sikkerhetskopiere data. Sårbarheten kan la uautoriserte brukere laste ned sikkerhetskopier av WP-nettsteder.
Sist torsdag ble det utgitt en sikkerhetsoppdatering for UpdraftPlus-pluginen for WordPress-nettsteder for å løse en kritisk sårbarhet. Utviklerne mente feilen var presserende nok til å rettferdiggjøre en tvungen oppdatering.
UpdraftPlus brukes til å gjøre det enkelt å laste ned og gjenopprette sikkerhetskopier av WordPress-nettsteder. Utviklere hos JetPack fant under en intern revisjon av UpdraftPlus en sårbarhet i en manglende tillatelsessjekk som kunne gi uautoriserte brukere tilgang til disse sikkerhetskopiene. Vanligvis skal bare administratorer ha tilgang til dem. I følge UpdraftPlus sine diagrammer lastet rundt 1,7 millioner nettsteder ned oppdateringen torsdag.
Både JetPack og UpdraftPlus publiserte advarsler om feilen. Nettsteder som krypterer sikkerhetskopiene er mindre utsatt, og UpdraftPlus-utviklere legger merke til at WordPress hasheser de lagrede passordene sine, noe som skal beskytte dem mot hackere som skaffer ukrypterte sikkerhetskopier. JetPack sier at de fleste WordPress-nettsteder har blitt oppdatert og oppfordrer de som ikke har det til å installere den nyeste UpdraftPlus-oppdateringen.
WordPress-plugin-utnyttelser blir et stadig mer alvorlig problem. En rapport fra en sikkerhetsgruppe i forrige måned sa at flere sårbarheter ble rapportert i 2021 enn i 2020, og at tre fjerdedeler av plugin-feilene hadde kjente utnyttelser.