Bezpečnost | WordPress | Plugin

Chyba v pluginu pro WordPress mohla návštěvníky přesměrovat na škodlivé weby

Osmadvacátého září objevila bezpečnostní expertka Chloe Chamberland z týmu Wordfence Threat Intelligence velmi závažnou chybu v pluginu OptinMonster pro redakční Systém WordPress. Problém se týkal více než milionu webových stránek, které toto řešení aktivně používají.

Plugin OptinMonster umožňuje tvorbu vyskakovacích oken s cílem získat Chamberlaine odběratele e-mailových zpráv, zvýšit prodeje a rozvíjet podnikání. Pomocí vyskakovacích oken, formulářů a sady konverzních nástrojů pomáhá z návštěvníků opouštějících web udělat odběratele a zákazníky.

Bezpečnostní chyba v pluginu

Chloe Chamberland svá zjištění neprodleně nahlásila autorům pluginu a chyba byla zaevidována pod číslem CVE-2021-39341. Dle zjištění se týkala pluginu ve verzi 2.6.1 a nižší. Vývojáři neváhali a hned následující den vydali opravu.

Jenže práce kvapná, málo platná. Odborníci z Wordfence Threat Intelligence záhy zjistili, že záplata nezalepila všechny nedostatky, což nahlásili vývojářům. Ti 7. října vydali další opravu, jež by měla vyřešit veškeré problémy. Všem uživatelům pluginu OptinMonster je důrazně doporučeno aktualizovat na verzi 2.6.5 nebo novější.

Chamberland později vysvětlila, že síla nástroje OptinMonster spočívá v aplikačních rozhraních (API), která umožňují bezproblémovou integraci a zjednodušený proces návrhu formulářů. Bohužel mohlo dojít k odhalení údajů, jako je úplná cesta k webu na serveru, klíče API používaného pro požadavky a dalších informací.

Útočník vlastnící klíč API pak mohl provádět změny na účtech OptinMonster nebo dokonce na web umístit škodlivé fragmenty napsané v JavaScriptu. Takto podvržený kód se pak na webu spustí pokaždé, když návštěvník aktivuje prvek OptinMonster. Mohl tak být například přesměrován na škodlivé stránky.

Přijdou ještě další opravy

Aby toho nebylo málo, potenciální útočník by se ani nemusel na cílovém webu ověřovat, aby získal přístup, protože HTTP požadavek mohl za určitých a relativně snadno splnitelných podmínek obejít bezpečnostní kontroly.

Poté, co se zpráva bezpečnostní expertky dostala k vývojářům populárního pluginu, si autoři uvědomili, že je nutné celé API přehodnotit a upravit. Proto by uživatelé měli instalovat i všechny aktualizace OptinMonster, které přijdou v následujících týdnech, protože budou pravděpodobně řešit další chyby.

Mezitím byly všechny klíče API, které mohly být odcizeny, okamžitě zneplatněny a majitelé stránek byli nuceni vygenerovat nové. Tento případ ukazuje, že i široce používané a populární pluginy pro WordPress mohou dlouhou dobu obsahovat celou řadu neodhalených chyb.

Pokud provozujete web na redakčním systému WordPress, snažte se používat co nejméně pluginů potřebných k tomu, abyste pokryli potřebnou funkčnost a použitelnost. Samozřejmě vždy co nejdříve instalujte jejich aktualizace.

Diskuze (1) Další článek: Americké firmy proti covidu-19: Apple bude denně testovat neočkované, Adobe hrozí neplaceným volnem

Témata článku: , , , , , , , , , , , ,