2.14.1.1.11. Вразливості популярних плагінів
У лютому-березні 2020 року було знайдено вразливості в дуже популярних плагінах:
- Duplicator. Знайдена вразливість дозволяє отримати конфігураційний файл або будь-який інший файл сайту, що в свою чергу практично повністю може відкрити доступ до керування сайтом і його зміні.
- Popup Builder. Знайдена вразливість дає змогу неавторизованому користувачеві виконати будь-який JavaScript-код на будь-якій сторінці, а авторизованим користувачам із будь-якими правами доступу — виконати експорт важливих даних сайту, а також отримати доступ до керування самим плагіном.
Також існує безліч інших плагінів, у яких було знайдено вразливості. Рекомендуємо перевірити безпеку вашого сайту шляхом перевірки наявності вразливостей для використовуваних тем і плагінів. Також наполегливо рекомендуємо не використовувати сторонні розробки або копії платних розширень.
Інформацію про знайдені вразливості в плагінах можна знайти, наприклад, на таких сайтах:
- WordPress Vulnerabilities — знайдені вразливості плагінів і тем WordPress.
- WordFence — знайдені вразливості CMS WordPress та пов’язаних з ним продуктів.
- CVE — знайдені вразливості CMS WordPress та пов’язаних з ним продуктів.
На даний момент найбільш частим наслідком злому є встановлення редиректу на сторонні сайти. Якщо у вас є зазначені плагіни або ви підозрюєте, що ваш сайт міг бути зламаний — рекомендуємо виконати дії з усунення вразливостей.
Усунення вразливостей
Увага!
У даній статті вказані лише загальні рекомендації щодо усунення проблем. Настійно рекомендуємо звернутися до фахівців у сфері розробки сайтів для відновлення працездатності і забезпечення безпеки сайту.Для усунення проблем, що виникли, наполегливо рекомендуємо виконати такі кроки:
- Тимчасово заблокуйте доступ до сайту для проведення дій з усунення проблем:
- Якщо у вас немає додаткових налаштувань в розділі «Обмеження доступу», то налаштуйте доступ тільки з ваших або потрібних IP-адрес, увімкнувши опцію «Заборонити доступ до сайту всім, відкрити доступ тільки для зазначених нижче IP» і вказавши вашу IP-адресу в полі «Список IP-адрес».
- Якщо у вас раніше були встановлені налаштування доступу в розділі «Обмеження доступу», то слід встановити обмеження доступу в .htaccess, вказавши вашу IP-адресу, щоб доступ був тільки з неї.
- Створіть резервну копію сайту і бази даних з поточним станом на випадок виникнення проблем у відновленні працездатності сайту.
- Проведіть перевстановлення ядра WordPress.
- Змініть адресу сайту, якщо вона була зачеплена і відбувається редирект на сторонні сайти.
- Оновіть плагіни на сайті до останньої версії.
- Змініть паролі підключеної бази даних та користувачів FTP:
- Змініть пароль користувачів FTP та оновіть їх, якщо вони використовувались де-небудь у сайті.
- Вимкніть обмеження доступу до сайту, в залежності від обраного способу з пункту 1.
- Проаналізуйте логи доступу на наявність підозрілих запитів. У полі пошуку вкажіть URL
action=duplicator_download
абоwp-config.php
і перевірте логи за останні кілька тижнів/місяців. Якщо будуть знайдені подібні запити, то слід розглянути можливість обмеження доступу для IP-адрес, з яких вони виконувалися.