2.13.1.1.11. Уязвимости популярных плагинов

В феврале-марте 2020 года были найдены уязвимости в очень популярных плагинах:

• Duplicator. Найденная уязвимость позволяет получить конфигурационный файл или любой другой файл сайта, что в свою очередь практически полностью может открыть доступ к управлению сайтом и его изменению.
• Popup Builder. Найденная уязвимость позволяет неавторизованному пользователю выполнить любой JavaScript-код на любой странице, а авторизованным пользователям с любыми правами доступа — выполнить экспорт важных данных сайта, а также получить доступ к управлению самим плагином.

Также существует множество других плагинов, в которых были найдены уязвимости. Рекомендуем проверить безопасность вашего сайта путём проверки наличия уязвимостей для используемых тем и плагинов. Также настоятельно рекомендуем не использовать сторонние разработки или копии платных расширений.

Информацию о найденных уязвимостях в плагинах можно найти, к примеру, на следующих сайтах:

• WordPress Vulnerabilities — найденные уязвимости плагинов и тем WordPress.
• WordFence — найденные уязвимости CMS WordPress и связанных с ним продуктов.
• CVE — найденные уязвимости CMS WordPress и связанных с ним продуктов.

На данный момент наиболее частым следствием взлома является установка редиректа на сторонние сайты. Если у вас есть указанные плагины или вы подозреваете, что ваш сайт мог быть взломан — рекомендуем выполнить действия по устранению уязвимостей.

Для устранения возникших проблем крайне рекомендуем выполнить следующие шаги:

1. Временно заблокируйте доступ к сайту для проведения действий по устранению проблем:
   • Если у вас нет дополнительных настроек в разделе «Ограничение доступа», то настройте доступ только с ваших или нужных IP-адресов, включив опцию «Запретить доступ к сайту всем, открыть доступ только для указанных ниже IP» и указав ваш IP-адрес в поле «Список IP адресов».
   • Если у вас ранее были установлены настройки доступа в разделе «Ограничение доступа», то следует установить ограничение доступа в .htaccess, указав ваш IP-адрес, чтобы доступ был только с него.
2. Создайте резервную копию сайта и базы данных с текущим состоянием на случай возникновения проблем в восстановлении работоспособности сайта.
3. Произведите переустановку ядра WordPress.
4. Измените адрес сайта, если он был затронут и происходит редирект на сторонние сайты.
5. Обновите плагины на сайте до последней версии.
6. Измените пароль администратора. Рекомендуем также изменить пароли всех пользователей или порекомендовать сделать им это самостоятельно.
7. Измените пароли подключённой базы данных и FTP-пользователей:
   • Измените пароль пользователя базы данных и обновите настройки конфигурационного файла WordPress.
   • Измените пароль пользователей FTP и обновите их, если они использовались где-либо в сайте.
8. Отключите ограничение доступа к сайту, в зависимости от выбранного способа из пункта 1.
9. Проанализируйте логи доступа на наличие подозрительных запросов. В поле поиска укажите URL action=duplicator_download или wp-config.php и проверьте логи за последние несколько недель/месяцев. Если будут найдены подобные запросы, то следует рассмотреть возможность ограничения доступа для IP-адресов, с которых они выполнялись.