Мільйони сайтів WordPress отримують примусове автоматичне оновлення, щоб виправити недолік безпеки

Що щойно сталося? Минулого тижня більша частина з двох мільйонів сайтів WordPress отримали примусове оновлення безпеки через серйозний недолік плагіна, який використовується для резервного копіювання даних. Уразливість може дозволити неавторизованим користувачам завантажувати резервні копії сайтів WP.

Минулого четверга вийшло оновлення безпеки плагіна UpdraftPlus для сайтів WordPress для усунення критичної вразливості. Розробники вважали, що недолік достатньо терміновий, щоб вимагати примусового оновлення.

UpdraftPlus використовується, щоб спростити завантаження та відновлення резервних копій сайтів WordPress. Розробники JetPack під час внутрішнього аудиту UpdraftPlus виявили вразливість у перевірці відсутніх дозволів, яка може дозволити неавторизованим користувачам отримати доступ до цих резервних копій. Зазвичай доступ до них повинні мати лише адміністратори. Згідно з графіками UpdraftPlus, близько 1,7 мільйона сайтів завантажили оновлення в четвер.

І JetPack, і UpdraftPlus опублікували попередження про недолік. Сайти, які шифрують свої резервні копії, піддаються меншому ризику, і розробники UpdraftPlus відзначають, що WordPress хешує збережені паролі, що має захистити їх від хакерів, які отримують незашифровані резервні копії. JetPack каже, що більшість сайтів WordPress оновлено, і закликає тих, хто не має, встановити останній патч UpdraftPlus.

Експлойти плагінів WordPress стають все більш серйозною проблемою. У звіті групи безпеки минулого місяця сказано, що в 2021 році було зареєстровано більше вразливостей, ніж у 2020 році, і що три чверті недоліків плагінів мали відомі експлойти.