Κρίσιμο κενό ασφαλείας σε WordPress Plugin!

Κρίσιμο κενό ασφαλείας σε WordPress Plugin!

Κενό ασφαλείας του ThemeGrill Demo Importer που αδειάζει βάσεις δεδομένων

Όπως κάθε open source εφαρμογή, έτσι και το WordPress με τα εκατοντάδες plugins που το συνοδεύουν, εμφανίζει κατά καιρούς κενά ασφαλείας. Υπάρχει η πιθανότητα να προκαλέσουν μεγάλη ζημιά μέχρις ότου ανακαλυφθούν και καλυφθούν από τους προγραμματιστές.

Ένα κρίσιμο κενό ασφαλείας που εντοπίστηκε τελευταία προκαλεί μεγάλο πρόβλημα στις ιστοσελίδες που χρησιμοποιούν το WordPress ως εφαρμογή. Αδειάζει εντελώς τις βάσεις δεδομένων επαναφέροντας την default τους κατάσταση.

Πρόκειται για το ιδιαίτερα δημοφιλές plugin ThemeGrill Demo Importer. Μετρά πάνω από 200.000 ενεργές εγκαταστάσεις και παρέχεται δωρεάν με τα Premium Themes του WordPress από την εταιρία ThemeGrill. Στο συγκεκριμένο plugin εντοπίστηκε ένα σημαντικό κενό ασφαλείας. Εάν δεν καλυφθεί δίνει στους hackers τη δυνατότητα να παραβιάσουν πλήθος websites και blogs!

 

Πώς δημιουργείται το κενό ασφαλείας

Όταν εγκαθίσταται και ενεργοποιείται ένα ThemeGrill theme , ενεργοποιείται και το ThemeGrill Demo Importer plugin. Σχεδιάστηκε για να διευκολύνει τους admins να ανεβάζουν (import) demo content, widgets και έτοιμες ρυθμίσεις από την ThemeGrill. Με αυτόν τον τρόπο μπορούν να παραμετροποιούν πιο εύκολα το theme. Το συγκεκριμένο plugin εκτελεί κάποιες διεργασίες με δικαιώματα administrator. Δεν ελέγχει όμως εάν ο χρήστης (user) που τις εκτελεί είναι authenticated και admin. Αυτή η παράλειψη επιτρέπει σε unauthenticated users να αδειάσουν εντελώς τη βάση δεδομένων ενός website. Την φέρνουν στην αρχική κατάσταση στην οποία βρίσκεται όταν γίνεται μια αρχική εγκατάσταση WordPress, χάνοντας όλα τα δεδομένα. Επιπλέον, έπειτα από αυτό, μπορούν να συνδεθούν αυτόματα στην εφαρμογή ως admin users παίρνοντας υπό τον έλεγχό τους ολόκληρο το site!

Πρόκειται για εξαιρετικά επικίνδυνο κενό ασφαλείας που μπορεί να προκαλέσει τεράστια ζημιά. Καθώς οι διεργασίες που τρέχει δεν φαίνονται ύποπτες, δεν μπορούν να εντοπιστούν και να μπλοκαριστούν από κανένα firewall.

 

Ποιες εκδόσεις επηρεάζονται

Οι εκδόσεις του ThemeGrill Demo Importer plugin που διαθέτουν το παραπάνω κενό ασφαλείας είναι όλες όσες έχουν εκδοθεί τα τελευταία 3 έτη. Αυτές είναι από την 1.3.4 μέχρι και την 1.6.1. Στις 16/02/2020 η ομάδα development της ThemeGrill εξέδωσε νέα έκδοση, την 1.6.2. Έχει καλυφθεί το συγκεκριμένο κενό και θεωρείται ασφαλής.

 

Αναβάθμιση τώρα!

Στο Dashboard του WordPress εμφανίζονται αυτόματες ειδοποιήσεις προς τους admin για όλες τις εκδόσεις που απαιτούν αναβάθμιση. Είτε πρόκειται για το wordpress, είτε για τα third-party στοιχεία του, όπως είναι τα plugins. Δυστυχώς, όπως έχει παρατηρηθεί από τις δεκάδες περιπτώσεις που αντιμετωπίζει καθημερινά το τεχνικό τμήμα της IpHost, οι αναβαθμίσεις δεν γίνονται ανά τακτά διαστήματα όπως απαιτείται. Αυτό έχει σαν αποτέλεσμα να σημειώνονται πολυάριθμες παραβιάσεις με απώλεια περιεχομένου στα websites. Μόνο την τρέχουσα εβδομάδα οι τεχνικοί της IpHost αντιμετώπισαν περιστατικά στα οποία Wordress sites είχαν βάσεις δεδομένων στην αρχική τους κατάσταση. Δεν είχαν κανένα δεδομένο από όσα προϋπήρχαν. Χρειάστηκε να γίνει επαναφορά (restore) από τα διαθέσιμα αντίγραφα ασφαλείας (backups). Αναζητώντας την πηγή του προβλήματος αλλά και συνομιλώντας με τους πελάτες, εντοπίστηκε η συγκεκριμένη αδυναμία του wordpress plugin η οποία έχει καταγραφεί τις τελευταίες ημέρες.

Για άλλη μια φορά, φαίνεται πόσο κρίσιμο και σημαντικό είναι να διατηρούνται οι εφαρμογές αλλά και τα plugins τους αναβαθμισμένα και ενημερωμένα στις τελευταίες διαθέσιμες εκδόσεις. Δεν πρέπει να «ξεχνιούνται» και να παραμένουν στις παλιές.

Εάν, λοιπόν, έχετε WordPress website ή blog και χρησιμοποιείτε το ThemeGrill theme, είναι επιτακτική ανάγκη να κάνετε τώρα αναβάθμιση του ThemeGrill Demo Importer plugin στην έκδοση 1.6.2. Και φροντίστε πάντοτε να διατηρείτε την εφαρμογή σας αλλά και τα plugins που χρησιμοποιεί πλήρως ενημερωμένα.

Εάν, πάλι, δεν έχετε WordPress site ή blog και θα θέλατε να ξεκινήσετε, δείτε το WordPress Shared Hosting της IpHost για να ενεργοποιήσετε την απαραίτητη φιλοξενία και να ξεκινήσετε να δουλεύετε.

Βρείτε επίσης πως να μεταφέρετε ή να κατοχυρώστε το domains σας στην IpHost και να ενεργοποιήστε ένα μικρό Hosting Δωρεάν με μόλις λίγα clicks!

Και, φυσικά, η ομάδα της IpHost θα είναι κοντά σας για τεχνική βοήθεια.

 

Please wait loading