wordpress grafika
8

Miliony stron opartych na WordPress zagrożone. Poważna luka w Jetpack

Administratorzy oraz posiadacze stron na popularnym CMS Wordpress powinni przyjrzeć się swoim stronom: te oparte na Jetpack powinny uaktualnić się do Jetpack 7.9.1. Wygląda na to, że od Jetpack 5.1 wordpressowe strony wykazują krytyczną podatność na ataki cybernetyczne.

Aby zaktualizować Jetpack, należy zalogować się do panelu administratora witryny lub pobrać Jetpacka ręcznie i zaimplementować go do swojej strony internetowej. Aby pobrać Jetpack samodzielnie, przejdźcie tutaj.

Jetpack jest darmowym narzędziem (od WordPressa), które znacząco zwiększa możliwości CMS-a: zapewnia dostęp do prostych backupów, zwiększa szybkość witryny, a także dba o jej bezpieczeństwo. Tym razem jednak doszło do tego, że narzędzie dedykowane lepszym zabezpieczeniom witryn opartych o CMS WordPress… samo jest powodem, dla którego wiele z nich może zostać przejętych przez cyberprzestępców. Jetpack może pochwalić się w tym momencie 5 mln aktywnymi instalacjami.

Czytaj więcej: Trzy masowe ataki na strony z WordPressem

Błąd w Jetpack wynika z tego, jak procesuje on wbudowany kod – Adham Sadaqah znalazł tę podatność i szczegółowo ją opisał, przekazując dane Automattic (właściciel WordPressa oraz Jetpacka). Na szczęście, nie ma w tym momencie dowodów na to, że ktokolwiek wykorzystał ten błąd zanim ktokolwiek się o nim dowiedział. Adham Sadaqah twierdzi, że nie znalazł żadnych przesłanek ku temu, by sądzić, że z udziałem tej podatności dokonano jakiegokolwiek ataku na stronę opartą o CMS WordPress. Nie oznacza to jednak, że problem nie jest poważny: hakerzy już wiedzą o tym, że istnieje luka w WordPressie i jeżeli jeszcze jej nie znaleźli, na pewno na nią wpadną i będą polować na niezaktualizowane witryny.

Aby zwiększyć adopcję poprawek dedykowanych najnowszemu błędowi, wydano WordPressa w wersjach: „5.1.1, 5.2.2, 5.3.1, 5.4.1, 5.5.2, 5.6.2, 5.7.2, 5.8.1, 5.9.1, 6.0.1, 6.1.2, 6.2.2, 6.3.4, 6.4.3, 6.5.1, 6.6.2, 6.7.1, 6.8.2, 6.9.1, 7.0.2, 7.1.2, 7.2.2, 7.3.2, 7.4.2, 7.5.4, 7.6.1, 7.7.3, 7.8.1, 7.9.1”.

Firma dodaje:

„If you are running any of these versions, your website is not vulnerable to this issue. But, if you’re not running the latest and greatest—7.9.1—your site is missing other security enhancements!”

Warto więc zaktualizować nie tylko Jetpacka, ale również całego WordPressa. Najgorsze jest to, że niektórzy w ogóle tego nie robią, z obawy o to, że strony się „posypią”. Fakt, aktualizacje Wordpresa mogą być nieco upierdliwe i nastręczać pewnych problemów. Również nowe wersje wtyczek potrafią sporo namieszać.

To jednak nie pierwszy raz, gdy Jetpack stał się bramą do stron opartych na WordPressie. W zeszłym roku hakerzy znaleźli całkiem prosty sposób na instalowanie zbackdoorowanych pluginów na stronach z tym CMS – również dzięki słabo zabezpieczonym kontom w serwisie WordPress.com. Jetpack natomiast „wtopił” przez dziurawy system zdalnego zarządzania.