Pasenusių „WordPress“ įskiepių pavojus E-verslo svetainėms

pasenusiu-wordpress-iskiepiu-pavojus-e-verslo-svetainems

Turinio valdymo sistemos „WordPress“ saugumo padalinio ekspertai -„Threatpress“ tvirtina, jog elektroninio verslo svetainės, naudojančios pasenusius įskiepius yra labiau pažeidžiamos potencialiam svetainės „nulaužimui“.

Įmonė išjungė net 10 įskiepių, skirtų komercinėms svetainėms, dėl saugumo reikalavimų neatitikimo.

Toks sprendimas buvo priimtas poto, kai įskiepių kūrėjai nesugebėjo pateikti “Wordpress” savo papildinių pataisymų.

Dauguma įskiepių – MULTIDOTS Inc. darbas

„Threatpress“ pastebėjo įdomią tendenciją – daugumą pavojų keliančių papildinių  – vienos kompanijos darbas.  Pasak tyrėjų, MULTIDOTS Inc. kurti „WordPress“ elementai kėlė didžiulę grėsmę elektroninio verslo svetainėms, ypač toms, kurios remiasi „WooCommerce“ verslo platforma.

Pagrindinės saugumo spragos buvo rastos: kryžminių svetainės prašymų klastojime (angl. Cross Site Request Forgery), XSS skriptų saugojimo bei SQL įrašymo srityse.

Potencialūs svetainės „nulaužėjai“ be didesnių sunkumų galėtų į svetaines įrašyti:

  • Klaviatūros paspaudimus registruojančias programas (angl. Keylogger),
  • Kriptovaliutas kasančias programas (angl. crypto-miners),
  • Kenkėjiškas programas (angl. Malware).

Svarbu paminėti ir tai, jog dauguma šių papildinių buvo pritaikyti„WooCommerce“ platforma besinaudonjančių internetinių verslų parduotuvių darbui gerinti. Tai reiškia, jog išnaudojus šias spragas ir„nulaužus“ svetainę, būtų gauta tiesioginė prieiga prie itin jautrios klientų informacijos: kreditinių kortelių numerių, asmeninės informacijos ir t.t. Taigi, ši problema galėjo tapti itin didelio mąsto.

„WordPress“ išjungė visus rizikingus papildinius

Nors kompanijai MULTIDOTS Inc. buvo iš anksto pranešta apie saugumo spragas jų programinėje įrangoje, jie per 3 savaičių laikotarpį nesiemė jokių veiksmų potencialiems pokyčiams. Taigi, visi įskiepiai buvo paprasčiausiai ištrinti iš katalogo.

Pasak „Threatpress“ atstovų – džiugu, jog buvo imtąsi greitų veiksmų, tačiau reikia rodyti rūpestį dėl panašių pavojų ateityje:

„Džiugu, jog „WordPress“ reaguoja greitai. Anaiptol, turime didelę problemą. Nėra jokio būdo informuoti visus įskiepį naudojančius žmones apie potencialią grėsmę. Keista, jog „WordPress“ pateikia tiek daug informacijos apie galimus atnaujinimus, tačiau nesaugo savo vartotojų informuodami apie išjungtus įskiepius.“

Minėti 10 įskiepių buvo įrašyti į daugiau nei 20 000 prietaisų. Tai reiškia, jog aktyvus vartotojų informavimas apsaugotų daugiau nei 20 000 internetinių parduotuvių nuo potencialių atakų.