Miliony witryn WordPress otrzymują wymuszoną automatyczną aktualizację w celu załatania luki w zabezpieczeniach

Co się stało? W zeszłym tygodniu większa część z dwóch milionów witryn WordPress otrzymała wymuszoną aktualizację zabezpieczeń z powodu poważnej usterki wtyczki używanej do tworzenia kopii zapasowych danych. Luka w zabezpieczeniach może umożliwić nieautoryzowanym użytkownikom pobieranie kopii zapasowych witryn WP.

W zeszły czwartek opublikowano aktualizację zabezpieczeń wtyczki UpdraftPlus dla witryn WordPress w celu usunięcia krytycznej luki w zabezpieczeniach. Twórcy uznali, że usterka była na tyle pilna, że ​​uzasadniała wymuszoną aktualizację.

UpdraftPlus służy do prostego pobierania i przywracania kopii zapasowych witryn WordPress. Deweloperzy z JetPack, podczas wewnętrznego audytu UpdraftPlus, znaleźli lukę w sprawdzaniu brakujących uprawnień, która mogłaby umożliwić nieautoryzowanym użytkownikom dostęp do tych kopii zapasowych. Zwykle dostęp do nich powinni mieć tylko administratorzy. Według wykresów UpdraftPlus około 1,7 miliona stron pobrało aktualizację w czwartek.

Zarówno JetPack, jak i UpdraftPlus opublikowały ostrzeżenia o usterce. Witryny, które szyfrują swoje kopie zapasowe, są mniej zagrożone, a programiści UpdraftPlus zauważają, że WordPress haszuje przechowywane hasła, co powinno chronić je przed hakerami, którzy uzyskują niezaszyfrowane kopie zapasowe. JetPack twierdzi, że większość witryn WordPress została zaktualizowana i zachęca te, które tego nie zrobiły, do zainstalowania najnowszej poprawki UpdraftPlus.

Exploity wtyczek WordPress stają się coraz poważniejszym problemem. Raport grupy bezpieczeństwa z zeszłego miesiąca mówi, że w 2021 roku zgłoszono więcej luk w zabezpieczeniach niż w 2020 roku, a trzy czwarte wad wtyczek miało znane exploity.