wordpress grafika
25

Masz stronę na WordPressie? Jeżeli masz ten plugin… szybko go usuń!

Do niesamowicie niebezpiecznego ataku doszło w wyniku sprzedaży popularnej wtyczki dla Wordpressa - Display Widgets. Dodatek do popularnego CMS-a blogowego stworzyła Stephanie Wells, która wkrótce zainteresowała się bardziej wersją premium wtyczki, przez co zdecydowała się sprzedać open-source'ową iterację innemu deweloperowi.

Wkrótce okazało się, że użytkownicy zaczęli zgłaszać problemy z owym pluginem. W miesiąc po tym, jak doszło do przejęcia wtyczki pojawiła się jego nowa wersja, jeszcze nie zawierająca w sobie złośliwego kodu. Jednak następna wykazywała już niebezpieczne zachowania, na które zwrócił uwagę David Law, autor konkurencyjnej wtyczki opierającej się na podobnej zasadzie. Według niego, Display Widgets naruszało warunki tworzenia oraz dystrybuowania pluginów poprzez pobieranie 38 MB nieznanych danych z zewnętrznego serwera. Mało tego, Display Widgets ponadto wysyłał dane na inny serwer w internecie, co mogło wskazywać na jego złośliwe działanie. Po tych doniesieniach, ekipa WordPress.org zdecydowała się na zdjęcie pakietu z repozytorium.

Drugi i trzeci przypadek zdjęcia pluginu z bazy WordPressa miało związek z ukryciem mechanizmów służących do śledzenia ruchu na stronach, a nawet umieszczania nowych wpisów. Szacuje się, że około 20 000 stron w internecie mogło zostać zaatakowanych przez niebezpieczne działanie tej wtyczki – niedokonanie aktualizacji w tym przypadku mogło uchronić wielu webmasterów przez uruchomieniem złośliwych mechanizmów zawartych w Display Widgets.

security obrazek zabezpieczenie grafika

Po czwartym usunięciu plugina, ten więcej nie pojawi się w bibliotece WordPressa

I wygląda na to, że zostało to zrobione na dobre. W trakcie śledztwa prowadzonego równolegle przez kilka zainteresowanych tematem osób okazało się, że nowy właściciel wtyczki jest związany z usługą WP Devs. Według ich strony internetowej, skupują oni i rozwijają wtyczki dla WordPressa (szczególnie te starsze oraz porzucone). Firma ma być prowadzona przez dwie osoby – jedną z USA i drugą z Rosji.

Społeczność skupioną wokół WordPressa mocno zainteresowało to, dlaczego w ogóle doszło do sytuacji, w której 4 razy usuwaną tę samą wtyczkę – mimo faktu, że już wcześniej wykazywała ona złośliwe działanie. Linia obrony WordPressa jest całkiem oczywista – w tworzeniu społeczności biorą udział ochotnicy, którzy nie mają narzuconych specjalnych procedur. Okazuje się jednak, że jeden z moderatorów zamknął jedno zgłoszenie Davida Lawa (twórcy konkurencyjnej wtyczki) tylko dlatego, że ten był powiązany z podobnym produktem. Moderator, który prawdopodobnie nie miał pojęcia o tym, z jak niebezpieczną sytuacją miał do czynienia postanowił odesłać zgłaszającego problem do supportu twórcy wtyczki niż samemu podjąć działanie. Moderator zaznaczył przy okazji, że działanie Lawa miało związek z „konkurencją”, co jest oczywiście niedorzeczne.

Sprawdźcie zatem, czy wtyczka Display Widgets jest obecna w Waszej stronie na Wordpressie. Jeżeli tak – jak najszybciej ją odinstalujcie.

  • Grubas

    Pehapy i wordpresy. Oraz 31 luty. Jeszcze się ludzie nie nauczyli.

    • A co ma w tym przypadku WordPress i PHP do rzeczy?

    • Ale zawiodło co innego – sprzedająca plugin nie miała pojęcia o tym, że jej praca zostanie wykorzystana w ten sposób i pośrednio, sprawę zawalili moderatorzy.

  • Polecam usunięcie całego WordPress’a ;) i zainstalowanie np. Concrete5 http://walczak.it/blog/switched-wordpress-concrete5-cms

    • ᗪ ᒍ ᗩ K ᗪ E K I E ᒪ

      A jest tyle pluginów, motywów i społeczność? Serio pytam bo chętnie bym czegoś innego użył

    • Społeczność C5 jest mocna. Plugów i motywów mniej ale sama edycja to bajka w porównaniu z WP, Joomla lub Drupala – zwłaszcza przy wielojęzycznych stronach. Dla WP przyznam że jest o wiele więcej pluginów ale z mojego doświadczenia WP z ~20 pluginami po paru aktualizacjach się wywala w kosmos bez ingerencji w kod.

    • wpdev

      Jeszcze nie miałem problemów z żadną dużą stroną opartą o WP.

    • podrzuć adres dużej wielojęzycznej strony która przez ostatnie parę lat aktualizowałeś na WP bez żadnego problemu

    • Edycja edycją (nie przesadzaj z tym edytorem WordPressa) ale WP można łatwo i szybko zedytować przez doklejenie kilku linijek kodu w PHP, żeby wyglądał całkiem inaczej niż standardowo – co jest nieosiągalne w większości innych CMSów. Mało tego, można to zrobić naprawdę ładnie, tak żeby aktualizacje nie miały na to wpływu.
      Ps. Nigdy mi się żaden WordPress nie ‚wywalił w kosmos’. Nie za bardzo sobie nawet to wyobrażam.

    • syri16

      No kolego, jak Ty frontend w PHP budujesz to szacun.

    • No to może zobacz jak działają motywy WordPressa. Nie chce mi się tego tłumaczyć.

    • syri16

      Wiem jak działają motywy od WordPressa. Struktura nadal jest HTMLem a PHP to tylko logika.

    • Szczepan

      Z tego co widzę w podlinkowanym artykule, to cały zachwyt sprowadza się do tego, że edytujesz pojedyncze bloki strony, zamiast treści. Do tego twórcy nie słyszeli o takich podstawach UX jak choćby etykiety przy ikonach.

    • w Concrete5 tworzenie bardziej złożonych stron z różnymi layoutami treści da się łatwo wyklikać

      w WP masz hack pt. „Page Builder”, w Joomli tzw. moduły <- obydwa rozwiązania nie są WYSIWYG

      przykład edycji bardziej rozbudowanej strony: https://www.youtube.com/watch?v=CwyVS3IhvoE w starszej wersji Concrete5 – idea działania ta sama choć UI i odwzorowanie strona 1:1 podczas edycji jak widać się poprawiło nieco

    • Pragmatus

      Po dupę komuś taka ilość? Są pewne kluczowe rzeczy, reszta w WP powtarza się ciągle…masz doświadczenie to wiesz o czym mowa – chyba że znasz się po łebkach jak każdyk Wacław Janusz Polok i głos zabierasz.

    • zakius

      wygląda w miarę, ale musiałbym usiąść i dokładnie zobaczyć pewne rzeczy
      ale co do usunięcia WP to sprawa oczywista

    • kejwmen

      ten kod jest okropny

    • alamakota

      Bzdura.

      Core WordPressa jest bardzo bezpieczne. To pluginy sa problemem.

      A concrete5 – zajrzyj na hackerone.com na ich program bugbounty, ile zostalo znalezionych luk w ostatniej wersji 8.1.0 (wiekszosc to Stored XSS, jeden z tych bledow pozwala na wykonanie kodu JavaScript bez praktycznie ingerencji uzytkownika (odpowiadajac na Private Message).

      Takie bledy WP wyeliminowal lata swietlne temu.

    • mhm ta, lata świetle temu 2017.03:

      https://blog.sucuri.net/2017/03/stored-xss-in-wordpress-core.html

      https://nvd.nist.gov/vuln/search/statistics?adv_search=true&form_type=advanced&results_type=statistics&query=wordpress

      3 lata temu podatność XSS w popularnym plugin’ie do WP położyła moją stronę. WP bez pluginów nadaje się tylko na prostego bloga – nawet porządnego wsparcia dla wielojęzycznych stron w gołym WP nie uraczyłem.

    • Wystarczy dobry page builder jak ThriveArchitect i mam to samo, a nawet dużo lepsze niż Concrete + dostęp do wszystkiego innego co oferuje wordpress.

    • ThriveArchitect… to trochę jak by do Word’a potrzebny był dodatkowy płatny plugin który umożliwia sprawne edytowanie większych dokumentów :)

  • W razie czego ostatnia bezpieczna to wersja 2.05 dostępna tutaj https://downloads.wordpress.org/plugin/display-widgets.2.05.zip

  • Ciekawa ofiara. Trzeba być pilnym z wtyczkami. :)

  • Oren

    Polecam http://www.webanti.com – od czasu instalacji nie mam już takich problemów.