Pokud provozujete webové stránky postavené na redakčním systému WordPress, určitě byste měli zkontrolovat dostupnost aktualizací. Hackeři totiž začali ve velké míře zneužívat bezpečnostní díru v jednom z pluginů, která jim dovoluje vymazat všechny databáze a v některých případech i získat úplnou kontrolu nad postiženými weby.
Hned na začátek je určitě vhodné zdůraznit, že nebezpečí netkví přímo ve WordPressu jako takovém, ale v pluginu, tedy volitelně instalovaném doplňku. Konkrétně se jedná o ThemeGrill Demo Importer, jež je dle statistik nainstalován na více než 200 000 webech.
Díra jako vrata
O bezpečnostním nedostatku informovala jako první bezpečnostní firma WebARX, zabývající se zabezpečením webových aplikací. Následně se začali na sociálních sítích ozývat nešťastní uživatelé, kteří kvůli vymazání databází našli svůj web ve stavu, v jakém byl po první instalaci – tedy s titulní stránkou s nápisem „Hello World“.
Varování rozeslala svým zákazníkům i česká webhostingová firma WEDOS, která v e-mailu uvedla: „Vážení zákazníci, během posledních několika hodin jsme zaznamenali velké množství útoků na WordPress zneužívajících kritickou chybu v pluginu ThemeGrill Demo Importer. Tato chyba se nachází ve verzích 1.3.4 až 1.6.1. Autoři pluginu dnes vydali bezpečnostní aktualizaci 1.6.2. Pokud plugin ThemeGrill Demo Importer využíváte, prosím proveďte okamžitě aktualizaci.“
V případě zneužití bezpečnostní díry ke smazání všech dat z databází je v podstatě jen jedna cesta k nápravě: obnova ze zálohy (pokud je k dispozici). Následně je nutné zajistit co nejrychlejší aktualizaci pluginu na poslední dostupnou verzi, aby se situace neopakovala.
Děravý plugin
Plugin ThemeGrill Demo Importer slouží k importu demo obsahu, widgetů a nastavení grafické šablony ThemeGrill jediným kliknutím. Je určen pro webové stránky s redakčním systémem WordPress ve verzi 4.7 nebo novější.
WebARX uvádí: „Ve verzích 1.3.4 a novějších a verzích 1.6.1 a nižších existuje chyba, která umožňuje jakémukoli neautentizovanému uživateli vymazat celou databázi do výchozího stavu, ve kterém se může přihlásit jako správce.“ S ohledem na dotčené verze lze soudit, že zmíněná chyba existuje již déle než tři roky.
Odborníci konstatují, že ke zneužití chyby dochází způsobem, který firewally poskytovatelů hostingu nemají šanci zachytit a zablokovat. „Je to vážná zranitelnost, která může způsobit značné škody,“ varují a jedním dechem vyzývají k neprodlené aktualizaci.
