פרצת אבטחה – הזרקת תוכן לוורדפרס

דייב אברג'ל,

האתר שלכם נפרץ לאחרונה?

 

בהמשך לפעילות האבטחה השגרתית, ומעקב אחר פרצות אבטחה שאנו ב-uPress מבצעים באופן יזום,
נתקלנו במספר פניות בנוגע להזרקת תוכן (בדרך כלל כפוסטים) באמצעות פרוטוקול REST API של וורדפרס.

פרצת אבטחה זו מאפשרת למשתמשים בלתי מאומתים (ללא התחברות באמצעות שם משתמש וסיסמה) לערוך תוכן של כל אחד מהעמודים או הפוסטים בתוך אתרי וורדפרס.

 

תיקון לפרצת אבטחה זו נכלל בצורה שקטה בוורדפרס בגרסה 4.7.2 יחד עם מספר בעיות אבטחה חמורות פחות.

גרסה זו שוחררה בכוונה תחילה ללא פרסום בנוגע לפרצת האבטחה, וזאת בכדי לאפשר למשתמשים מספיק זמן בכדי לעדכן את גרסת הוורדפרס שלהם.
כעת, כאשר עבר מספיק זמן פורסמה פרצת האבטחה במספר בלוגים בעולם, כולל באתר הרשמי של וורדפרס.

 

איך אוכל לדעת האם אני נמצא בסיכון?

 

פרצת האבטחה משפיעה על REST API של וורדפרס, אשר התווסף והופעל לאחרונה כברירת מחדל – בגרסת הוורדפרס 4.7.0.

אחת מנקודות הקצה של REST API  מאפשרת לצפות, לערוך, למחוק, וליצור פוסטים (על ידי התממשקות API).
בתוך הנקודה הספציפית הזו פרצת האבטחה מאפשרת למבקרים לערוך את כל אחד מהפוסטים באתר ללא אימות הרשאות.

פרצת האבטחה משפיעה על כל אתרי הוורדפרס בגרסאות 4.7.0 או 4.7.1. אם האתר שלך נמצא באחת מגרסאות אלו – אכן אתם חשופים לפרצת האבטחה.

 

לסיכום

 

במידה ועדיין לא אפשרתם עדכונים אוטומטיים באתר וורדפרס שלכם, זה הזמן לעדכן בהקדם האפשרי!

מדובר בפרצת אבטחה מאוד חמורה אשר יכולה לשמש פורצים ברחבי העולם בדרכים שונות להשתמש באתר שלכם לצרכים פוגעניים. עדכנו מיד!

דייב אברג'ל

סמנכ"ל ומייסד uPress, מפתח Backend & Frontend, מתמחה בשיפור ביצועים לאתרי וורדפרס, טיפול בבעיות אבטחה מתקדמות, ושיווק ברשתות חברתיות. שותף פעיל במספר פרוייקטים מעניינים בתחום המוגשים כתרומה לקהילה - WiPi, Enable, Greenicon, Speedom, ועוד..

  • אולי יעניין אותך..

  • כתיבת תגובה

    האימייל לא יוצג באתר. שדות החובה מסומנים *