03/07/2014 Corina Bulubasa

Blog-urile WordPress, amenintate de o grava problema de securitate

Image blog

WordPress este  o platforma cunoscuta in intraga lume pentruWordPress blogurile ce pot fi create si administrate prin intermediul sau. Utilizata de milioane de personae, platforma este dezvoltata si imbunatatita permanent, oferind noi functionalitati si caracteristici.

Recent s-a descoperit insa ca unul dintre aceste up-date-uri prezinta o eroare ce se poate dovedi fatala pentru blogul ce il utilizeaza.

Plug-in-ul ce prezinta aceasta periculoasa vulnerabilitate a fost descarcat deja de peste 1,7 milioane de utilizatori. Eroarea permite oricarui atacator sa preia controlul total asupra blogului respectiv.

Problema identificata este foarte serioasa, deoarece ea permite incarcarea pe blog a unui fisier PHP, prin intermediul caruia atacatorul poate face orice doreste cu site-ul respectiv, inclusiv phishing, trimiterea de spam, hosting malware, infectarea altor clienti (pe un server partajat).

Vulnerabilitatea a fost reparata în MailPoet versiunea 2.6.7, lansat marti, 1 iulie, astfel încat toti administratorii de blog WordPress ar trebui sa faca upgrade de plug-in pentru cea mai recenta versiune cât mai curând posibil în cazul în care au descarcat si folosit pug-in-ul cu probleme.

Problema a aparut ca urmare a interpretarii gresite de catre dezvoltatori a posibilitatii de a incarca fisiere pe site, considerand ca doar adminii pot urca fisiere daca se autentifica folosind admin_init. In realitate, pagina de upload putea fi activata de orice user, deci accesibila oricui.

Daniel Cid, Sucuri's chief technology officer, cel care a descoperit problema, avertizeaza toti dezvoltatorii web sa nu utilizeze niciodata admin_init() sau is_admin() ca metoda de autentificare, deoarece metodele sunt foarte nesigure.

Site-urile WordPress reprezinta o tinta predilecta a hacker-ilor, care verifica zilnic internetul in cautare de vulnerabilitati de acest gen.

Sfatul nostru, pentru a va mentine blogul sau site-ul in siguranta, este sa faceti toate up-date-urile imediat cum apar, deoarece problemele eventuale sunt corectate imediat.