2.14.1.1.11. Вразливості популярних плагінів

У лютому-березні 2020 року було знайдено вразливості в дуже популярних плагінах:

  • Duplicator. Знайдена вразливість дозволяє отримати конфігураційний файл або будь-який інший файл сайту, що в свою чергу практично повністю може відкрити доступ до керування сайтом і його зміні.
  • Popup Builder. Знайдена вразливість дає змогу неавторизованому користувачеві виконати будь-який JavaScript-код на будь-якій сторінці, а авторизованим користувачам із будь-якими правами доступу — виконати експорт важливих даних сайту, а також отримати доступ до керування самим плагіном.

Також існує безліч інших плагінів, у яких було знайдено вразливості. Рекомендуємо перевірити безпеку вашого сайту шляхом перевірки наявності вразливостей для використовуваних тем і плагінів. Також наполегливо рекомендуємо не використовувати сторонні розробки або копії платних розширень.

Інформацію про знайдені вразливості в плагінах можна знайти, наприклад, на таких сайтах:

  • WordPress Vulnerabilities — знайдені вразливості плагінів і тем WordPress.
  • WordFence — знайдені вразливості CMS WordPress та пов’язаних з ним продуктів.
  • CVE — знайдені вразливості CMS WordPress та пов’язаних з ним продуктів.

На даний момент найбільш частим наслідком злому є встановлення редиректу на сторонні сайти. Якщо у вас є зазначені плагіни або ви підозрюєте, що ваш сайт міг бути зламаний — рекомендуємо виконати дії з усунення вразливостей.

Увага!

У даній статті вказані лише загальні рекомендації щодо усунення проблем. Настійно рекомендуємо звернутися до фахівців у сфері розробки сайтів для відновлення працездатності і забезпечення безпеки сайту.

Для усунення проблем, що виникли, наполегливо рекомендуємо виконати такі кроки:

  1. Тимчасово заблокуйте доступ до сайту для проведення дій з усунення проблем:
    • Якщо у вас немає додаткових налаштувань в розділі «Обмеження доступу», то налаштуйте доступ тільки з ваших або потрібних IP-адрес, увімкнувши опцію «Заборонити доступ до сайту всім, відкрити доступ тільки для зазначених нижче IP» і вказавши вашу IP-адресу в полі «Список IP-адрес».
    • Якщо у вас раніше були встановлені налаштування доступу в розділі «Обмеження доступу», то слід встановити обмеження доступу в .htaccess, вказавши вашу IP-адресу, щоб доступ був тільки з неї.
  2. Створіть резервну копію сайту і бази даних з поточним станом на випадок виникнення проблем у відновленні працездатності сайту.
  3. Проведіть перевстановлення ядра WordPress.
  4. Змініть адресу сайту, якщо вона була зачеплена і відбувається редирект на сторонні сайти.
  5. Оновіть плагіни на сайті до останньої версії.
  6. Змініть пароль адміністратора. Рекомендуємо також змінити паролі всіх користувачів або порекомендувати зробити їм це самостійно.
  7. Змініть паролі підключеної бази даних та користувачів FTP:
    • Змініть пароль користувача бази даних і оновіть налаштування конфігураційного файлу WordPress.
    • Змініть пароль користувачів FTP та оновіть їх, якщо вони використовувались де-небудь у сайті.
  8. Вимкніть обмеження доступу до сайту, в залежності від обраного способу з пункту 1.
  9. Проаналізуйте логи доступу на наявність підозрілих запитів. У полі пошуку вкажіть URL action=duplicator_download або wp-config.php і перевірте логи за останні кілька тижнів/місяців. Якщо будуть знайдені подібні запити, то слід розглянути можливість обмеження доступу для IP-адрес, з яких вони виконувалися.
Зміст