wordpress 589121 1920

Wydano ostrzeżenie dotyczące poważnej luki w zabezpieczeniach WordPressa, która umożliwia atakującym wstrzykiwanie dowolnych shortcodów na strony korzystające z wtyczki WordPress Popular Posts. Co istotne, przeprowadzenie takiego ataku nie wymaga posiadania konta użytkownika.

Wtyczka WordPress Popular Posts, zainstalowana na ponad 100 000 stron internetowych, umożliwia wyświetlanie najpopularniejszych wpisów w wybranym przedziale czasowym. Została przetłumaczona na szesnaście języków, co znacząco rozszerza jej zasięg na całym świecie. Wtyczka oferuje funkcje buforowania poprawiające wydajność oraz panel administracyjny, który pozwala administratorom stron przeglądać statystyki popularności wpisów.


Luka w mechanizmie shortcodów WordPressa

Shortcody to funkcjonalność, która umożliwia użytkownikom dodawanie różnych elementów i funkcji na stronach internetowych za pomocą prostych komend w nawiasach, np. [add_contact_form], która automatycznie generuje formularz kontaktowy.

WordPress stopniowo odchodzi od stosowania shortcodów na rzecz tzw. bloków, które oferują dedykowane funkcje. Oficjalna strona dla deweloperów WordPressa zaleca, by twórcy wtyczek i motywów rezygnowali z shortcodów na rzecz bloków, argumentując, że bloki są prostsze w obsłudze dla użytkowników.

WordPress podkreśla:

„Zalecamy, aby użytkownicy z czasem migrowali z shortcodów na bloki.”

Luka w zabezpieczeniach wtyczki WordPress Popular Posts jest związana z wykorzystaniem funkcji shortcode, a konkretnie z implementacją funkcji do_shortcode(). Funkcja ta przetwarza i wykonuje shortcody, jednak wymaga odpowiedniego zabezpieczenia, w tym walidacji wejścia oraz stosowania standardowych praktyk bezpieczeństwa wtyczek WordPressa.


Szczegóły luki bezpieczeństwa

Jak wynika z ostrzeżenia opublikowanego przez Wordfence:

„Wtyczka WordPress Popular Posts dla WordPressa jest podatna na wykonanie dowolnych shortcodów we wszystkich wersjach do 7.1.0 włącznie. Jest to spowodowane brakiem odpowiedniej walidacji wartości przed wykonaniem funkcji do_shortcode. Umożliwia to nieautoryzowanym atakującym wykonanie dowolnych shortcodów.”

Brak walidacji oznacza, że dane wprowadzone przez użytkownika (np. treść shortcodu) nie są odpowiednio sprawdzane pod kątem bezpieczeństwa i zgodności z oczekiwanymi parametrami, zanim zostaną wykorzystane przez stronę internetową.


Oficjalne informacje o poprawkach

Dokumentacja zmian (tzw. changelog) wtyczki WordPress Popular Posts w sposób transparentny informuje o wprowadzonych aktualizacjach, co pozwala użytkownikom podjąć decyzję o konieczności aktualizacji.

W changelogu czytamy:

„Naprawiono lukę w zabezpieczeniach, która pozwalała na niezamierzone wykonanie dowolnych shortcodów (podziękowania dla mikemyers i zespołu Wordfence!).”


Zalecane działania

Wszystkie wersje wtyczki WordPress Popular Posts do wersji 7.1.0 są podatne na ataki. Zespół Wordfence zaleca natychmiastowe zaktualizowanie wtyczki do najnowszej wersji, czyli 7.2.0.

Zadbaj o bezpieczeństwo swojej strony, aktualizując wtyczkę już teraz!

Dodaj komentarz

Twój adres e-mail nie zostanie opublikowany. Wymagane pola są oznaczone *