Miljontals WordPress-webbplatser får påtvingad automatisk uppdatering för att åtgärda säkerhetsbrister

Vad hände nyss? Förra veckan fick den större delen av två miljoner WordPress-webbplatser en påtvingad säkerhetsuppdatering på grund av ett allvarligt fel i ett plugin som används för att säkerhetskopiera data. Sårbarheten kan låta obehöriga användare ladda ner säkerhetskopior av WP-webbplatser.

I torsdags gick en säkerhetsuppdatering för UpdraftPlus-plugin för WordPress-webbplatser ut för att åtgärda en kritisk sårbarhet. Utvecklarna tyckte att felet var tillräckligt brådskande för att motivera en påtvingad uppdatering.

UpdraftPlus används för att göra nedladdning och återställning av säkerhetskopior av WordPress-webbplatser enkelt. Utvecklare på JetPack fann under en intern revision av UpdraftPlus en sårbarhet i en kontroll av saknade behörigheter som kunde ge obehöriga användare tillgång till dessa säkerhetskopior. Vanligtvis ska bara administratörer ha tillgång till dem. Enligt UpdraftPlus listor laddade runt 1,7 miljoner sajter ner uppdateringen på torsdagen.

Både JetPack och UpdraftPlus publicerade varningar om felet. Webbplatser som krypterar sina säkerhetskopior är mindre i riskzonen, och UpdraftPlus-utvecklare noterar att WordPress hashar sina lagrade lösenord, vilket bör skydda dem från hackare som skaffar okrypterade säkerhetskopior. JetPack säger att de flesta WordPress-webbplatser har uppdaterats och uppmanar de som inte har det att installera den senaste UpdraftPlus-patchen.

Utnyttjningar av WordPress-plugin blir ett allt allvarligare problem. En rapport från en säkerhetsgrupp förra månaden sa att fler sårbarheter rapporterades 2021 än 2020 och att tre fjärdedelar av plugin-bristerna hade känt utnyttjande.