RSS Feed
Νέα
May
14
Σημαντικό κενό ασφαλείας XSS σε WordPress sites
Συντάκτης Michael Cohen on 14 May 2015 11:47

Όσοι διαχειρίζονται ένα WordPress site θα πρέπει να είναι πολύ προσεκτικοί καθώς αποκαλύφθηκε ένα κενό ασφαλείας που ενδέχεται να τους επηρεάσει. Πρόσφατα ανακαλύφθηκε ευπάθεια στην πλατφόρμα, η οποία εκθέτει ένα WordPress site σε πιθανές επιθέσεις, σύμφωνα με την εταιρεία ασφαλείας Sucuri. Μέχρι στιγμής, είναι γνωστό ότι επηρεάζεται το θέμα TwentyFifteen (εγκατεστημένο ως προεπιλογή) και το plugin JetPack, το οποίο έχει εγκατασταθεί πάνω από ένα εκατομμύριο φορές.

H ευπάθεια XSS (cross-site scripting) είναι ”DOM-based”, κάτι που σημαίνει ότι είναι υπεύθυνη για το πως το κείμενο, οι εικόνες, τα headers και τα links παρατίθενται στον browser. Εάν ένας χάκερ σας ξεγελάσει και κάνετε κλικ σε ένα κακόβουλο link, μπορεί να πάρει τον πλήρη έλεγχο του site σας σε WordPress. Το κακό είναι ότι το εν λόγω bug δεν επηρεάζει μόνο εκείνους που χρησιμοποιούν το TwentyFifteen theme, αλλά όλους τους χρήστες WordPress, καθώς το εν λόγω theme είναι ενσωματωμένο στο WordPress και όποιο plugin ή theme χρησιμοποιεί το πακέτο genericons που έρχεται μαζί, επηρεάζεται από την ευπάθεια.

Ευτυχώς, η λύση είναι πολύ απλή και είναι κάτι που ήδη πήραμε την πρωτοβουλία να κάνουμε σε όλους τους πελάτες shared hosting αλλά και managed server μας: Το Sucuri συνιστά την αφαίρεση του αρχείου "example.html" μέσα από τον κατάλογο genericons απ' όπου εμφανίζεται μέσα στην εγκατάσταση WordPress σας. Εσείς από την μεριά σας, θα πρέπει να προσέξετε μελλοντικές εγκαταστάσεις WordPress plugins και themes που κάνετε, να μην περιέχουν το εν λόγω αρχείο.

 


Σχόλια (0)