Ни одна система управления контентом не может сравниться с WordPress по популярности. Это бесспорный чемпион в своей нише, обладающий впечатляющей долей мирового рынка в 60%. Кроме того, примерно 35% всех веб-сайтов в Интернете работают на WordPress.
Не нужно быть ученым-ракетчиком, чтобы понять, почему эта CMS уже много лет вызывает волнения в области веб-экосистемы. Он обеспечивает гибкую структуру, которая подходит практически для любого контекста в Интернете, от небольших личных блогов и новостных агентств до сайтов, управляемых крупными брендами.
Что киберпреступники думают об этом хайп-поезде? Как вы уже догадались – они не против попрыгать на нем. Однако, в отличие от веб-мастеров, их мотивация гораздо менее безобидна. Серебряная подкладка заключается в том, что WordPress Core должным образом защищен под разными углами. Плохая новость заключается в том, что сторонние плагины могут стать легкой добычей для злоумышленников.
Неудивительно, что плагины с большим количеством активных установок являются большей приманкой. Используя их, мошенники могут сократить путь и значительно увеличить потенциальную поверхность атаки. Вот краткое изложение уязвимостей безопасности, недавно обнаруженных в плагинах WP, которые имеют огромную пользовательскую аудиторию.
Файловый менеджер
В начале сентября 2023 года исследователи обнаружили лазейку в безопасности файлового менеджера — плагина WP, установленного как минимум на 700 000 сайтов. Эта критическая ошибка, относящаяся к категории уязвимости нулевого дня для удаленного выполнения кода, позволяет злоумышленнику, не прошедшему проверку подлинности, получить доступ к области администрирования, запустить вредоносный код и загрузить хитрые сценарии на любой сайт WordPress, на котором запущены версии файлового менеджера между 6.0 и 6.8.
К чести производителя плагинов, исправленная версия (File Manager 6.9) была выпущена всего через несколько часов после того, как аналитики безопасности сообщили об этой уязвимости. Однако сотни тысяч сайтов по-прежнему подвержены компрометации, поскольку их владельцы не спешат обновлять плагин до последней исправленной сборки.
Когда белые шляпы обнаружили эту уязвимость, она уже использовалась в реальных атаках, пытаясь загрузить вредоносные файлы PHP в каталог «wp-content/plugins/wp-file-manager/lib/files/» на незащищенных веб-сайтах. На момент написания этой статьи более 2,6 миллиона экземпляров WordPress были проверены на наличие устаревших версий файлового менеджера.
Более того, различные киберпреступные группировки, по-видимому, ведут войну за веб-сайты, которые по-прежнему остаются легкой добычей. Один из элементов этого соперничества сводится к указанию пароля для доступа к файлу подключаемого модуля с именем «connector.minimal.php», который является основной панелью запуска для удаленного выполнения кода в непропатченных итерациях файлового менеджера.
Другими словами, как только злоумышленники закрепятся на уязвимой установке WordPress, они блокируют доступ к уязвимому компоненту другими преступниками, которые также могут иметь бэкдор-доступ к тому же сайту. Говоря об этом, аналитики наблюдали попытки взлома веб-сайтов с помощью ошибки плагина File Manager, исходящие с колоссальных 370 000 различных IP-адресов.
Конструктор страниц
Плагин Page Builder WP от SiteOrigin имеет более миллиона установок. В начале мая 2023 года аналитики безопасности сделали обескураживающее открытие: этот чрезвычайно популярный компонент WordPress подвержен ряду уязвимостей, связанных с подделкой межсайтовых запросов (CSRF), которые можно использовать для получения повышенных привилегий на сайте.
Глючные функции плагина, «Live Editor» и «builder_content», позволяют злоумышленнику зарегистрировать новую учетную запись администратора или открыть бэкдор для доступа к уязвимому сайту по своему желанию. Если хакер достаточно компетентен, он может воспользоваться этой уязвимостью для захвата сайта.
SiteOrigin выпустил исправление в течение дня после того, как узнал об этих недостатках. Тем не менее, проблема будет продолжать проявляться повсеместно, пока веб-мастера не установят исправление — к сожалению, это может занять месяцы.
Согласие на использование файлов cookie GDPR
Этот плагин является одним из тяжеловесов в экосистеме WordPress, он установлен и активно используется на более чем 800 000 сайтов. Это позволяет веб-мастерам соблюдать Общий регламент ЕС по защите данных (GDPR) с помощью настраиваемых уведомлений о политике использования файлов cookie.
В январе прошлого года эксперты по безопасности обнаружили, что GDPR Cookie Consent версии 1.8.2 и более ранние были подвержены серьезной уязвимости, которая позволяла злоумышленникам осуществлять межсайтовые сценарии (XSS) и атаки с повышением привилегий.
Ошибка позволяет хакеру изменять, публиковать или удалять любой контент на сайте WordPress, который можно использовать, даже с разрешениями подписчика. Другой неблагоприятный сценарий сводится к внедрению вредоносного кода JavaScript, который вызывает перенаправления или отображает нежелательную рекламу для посетителей.
Разработчик WebToffee выпустил исправленную версию в середине февраля. Однако веб-сайты не в безопасности, пока плагин не будет обновлен до безопасной версии.
Дубликатор
С более чем 1 миллионом активных установок и в общей сложности 20 миллионами загрузок Duplicator входит в список 100 лучших плагинов WP. Его основная функция заключается в переносе или клонировании сайта WordPress из одного места в другое. Кроме того, это позволяет владельцам сайтов легко и безопасно создавать резервные копии своего контента.
В феврале 2023 года поставщик услуг безопасности WordFence обнаружил уязвимость, которая позволяла злоумышленнику загружать произвольные файлы с сайтов, на которых работает Duplicator версии 1.3.26 и старше. Например, злоумышленник может использовать эту ошибку для загрузки содержимого файла «wp-config.php», который содержит, среди прочего, учетные данные администратора сайта.
Уязвимость была исправлена через два дня после того, как об уязвимости было сообщено поставщику, поэтому веб-мастерам следует сделать домашнее задание и установить последнюю безопасную версию, если они еще этого не сделали.
Набор для сайта от Google
Серьезная уязвимость в Site Kit от Google, плагине, который активно используется на более чем 300 000 сайтов, позволяет злоумышленнику завладеть соответствующей консолью поиска Google и нарушить присутствие сайта в Интернете. Получив несанкционированный доступ владельца с помощью этой уязвимости, злоумышленник может изменить карты сайта, исключить страницы из результатов поиска Google, внедрить вредоносный код и организовать мошенничество с черной шляпой SEO.
Одной из граней этой лазейки является то, что плагин имеет грубую имплантацию проверок роли пользователя. В довершение всего он предоставляет URL-адрес, используемый Site Kit для связи с Google Search Console. В совокупности эти несовершенства могут подпитывать атаки, ведущие к повышению привилегий и упомянутым выше сценариям пост-эксплуатации.
Уязвимость была обнаружена 21 апреля 2023 года. Хотя автор плагина выпустил обновленную версию (Site Kit 1.8.0) 7 мая, многие владельцы сайтов еще не применили ее.
Клиент InfiniteWP
Этот плагин имеет более 300 000 активных установок по одной причине: он позволяет владельцам сайтов управлять несколькими сайтами со своего собственного сервера. Обратной стороной этих льгот является то, что злоумышленник может обойти аутентификацию с помощью критической уязвимости, обнаруженной в январе 2023 года.
Чтобы запустить такую атаку, хакер может использовать ошибочные функции клиента InfiniteWP, называемые «add_site» и «readd_site». Поскольку у этих объектов не было надлежащих средств проверки подлинности, злоумышленник мог использовать специально созданную полезную нагрузку в кодировке Base64 для входа в панель администратора WordPress без ввода действительного пароля. Для доступа достаточно имени администратора.
Хотя вскоре после обнаружения появилось обновление, устраняющее эту уязвимость, веб-мастерам необходимо попробовать его, чтобы защитить свои сайты от несанкционированного доступа.
Краткое содержание
Плагины расширяют функциональность сайта WordPress, но они могут быть неоднозначными. Даже самые популярные плагины WP могут иметь недостатки, которые позволяют использовать различные типы нечестной игры, от CSRF и XSS до удаленного выполнения кода и повышения привилегий, что приводит к захвату сайта и краже данных.
Хорошая новость заключается в том, что авторы плагинов быстро реагируют на эти недостатки и выпускают исправления. Таким образом, применение обновлений, как только они станут доступны, является фундаментальной мерой противодействия этим взломам. Кроме того, имейте в виду, что осведомленность — это полдела, поэтому неплохо быть активным веб-мастером и быть в курсе отчетов об ошибках, выпущенных WordFence и аналогичными ресурсами в области безопасности.
фото Клинт Паттерсон на Скрыть