Bezpečnost | WordPress | Plugin

Chyba v pluginu pro WordPress mohla návštěvníky přesměrovat na škodlivé weby

Chyba v pluginu pro WordPress mohla návštěvníky přesměrovat na škodlivé weby

Osmadvacátého září objevila bezpečnostní expertka Chloe Chamberland z týmu Wordfence Threat Intelligence velmi závažnou chybu v pluginu OptinMonster pro redakční Systém WordPress. Problém se týkal více než milionu webových stránek, které toto řešení aktivně používají.

Plugin OptinMonster umožňuje tvorbu vyskakovacích oken s cílem získat Chamberlaine odběratele e-mailových zpráv, zvýšit prodeje a rozvíjet podnikání. Pomocí vyskakovacích oken, formulářů a sady konverzních nástrojů pomáhá z návštěvníků opouštějících web udělat odběratele a zákazníky.

Bezpečnostní chyba v pluginu

Chloe Chamberland svá zjištění neprodleně nahlásila autorům pluginu a chyba byla zaevidována pod číslem CVE-2021-39341. Dle zjištění se týkala pluginu ve verzi 2.6.1 a nižší. Vývojáři neváhali a hned následující den vydali opravu.

Jenže práce kvapná, málo platná. Odborníci z Wordfence Threat Intelligence záhy zjistili, že záplata nezalepila všechny nedostatky, což nahlásili vývojářům. Ti 7. října vydali další opravu, jež by měla vyřešit veškeré problémy. Všem uživatelům pluginu OptinMonster je důrazně doporučeno aktualizovat na verzi 2.6.5 nebo novější.

Chamberland později vysvětlila, že síla nástroje OptinMonster spočívá v aplikačních rozhraních (API), která umožňují bezproblémovou integraci a zjednodušený proces návrhu formulářů. Bohužel mohlo dojít k odhalení údajů, jako je úplná cesta k webu na serveru, klíče API používaného pro požadavky a dalších informací.

Útočník vlastnící klíč API pak mohl provádět změny na účtech OptinMonster nebo dokonce na web umístit škodlivé fragmenty napsané v JavaScriptu. Takto podvržený kód se pak na webu spustí pokaždé, když návštěvník aktivuje prvek OptinMonster. Mohl tak být například přesměrován na škodlivé stránky.

Přijdou ještě další opravy

Aby toho nebylo málo, potenciální útočník by se ani nemusel na cílovém webu ověřovat, aby získal přístup, protože HTTP požadavek mohl za určitých a relativně snadno splnitelných podmínek obejít bezpečnostní kontroly.

Poté, co se zpráva bezpečnostní expertky dostala k vývojářům populárního pluginu, si autoři uvědomili, že je nutné celé API přehodnotit a upravit. Proto by uživatelé měli instalovat i všechny aktualizace OptinMonster, které přijdou v následujících týdnech, protože budou pravděpodobně řešit další chyby.

Mezitím byly všechny klíče API, které mohly být odcizeny, okamžitě zneplatněny a majitelé stránek byli nuceni vygenerovat nové. Tento případ ukazuje, že i široce používané a populární pluginy pro WordPress mohou dlouhou dobu obsahovat celou řadu neodhalených chyb.

Pokud provozujete web na redakčním systému WordPress, snažte se používat co nejméně pluginů potřebných k tomu, abyste pokryli potřebnou funkčnost a použitelnost. Samozřejmě vždy co nejdříve instalujte jejich aktualizace.

Váš názor Další článek: Americké firmy proti covidu-19: Apple bude denně testovat neočkované, Adobe hrozí neplaceným volnem

Témata článku: Bezpečnost, Web, Hacking, Aktualizace, WordPress, Javascript, API, Plugin, Chyba, Okno, Oprava, Návštěvníci



Přehled zařízení, která dostanou Android 12. Aktualizace se týká topmodelů i levnějších telefonů

Přehled zařízení, která dostanou Android 12. Aktualizace se týká topmodelů i levnějších telefonů

** Pixely už jej mají, postupně se přidávají další mobilní výrobci ** Android 12 přináší spoustu softwarových novinek a vylepšení ** V našem seznamu se dozvíte, kdy aktualizace dorazí i na váš telefon

Martin Chroust
Android 12Aktualizace softwaruSmartphony
Rusko obviňuje astronautku NASA ze sabotáže Mezinárodní vesmírné stanice
Jiří Černý
Mezinárodní vesmírná staniceNASARusko
Lék proti depresi za stokorunu snižuje riziko těžkého průběhu i úmrtí na onemocnění covid-19

Lék proti depresi za stokorunu snižuje riziko těžkého průběhu i úmrtí na onemocnění covid-19

** Klinická studie zkoumala vliv antidepresiva fluvoxamin na covid-19 ** Počet úmrtí souvisejících s covidem-19 klesl zhruba o 90 % ** Potřeba intenzivní lékařské péče se snížila zhruba o 65 %

Karel Kilián
COVID-19LékyDepreseMedicína
Jak rozmazat dům, aby vás sousedi nemohli šmírovat. Jde to v Mapách Google i na Mapy.cz

Jak rozmazat dům, aby vás sousedi nemohli šmírovat. Jde to v Mapách Google i na Mapy.cz

** Nelibí se vám, když cizí lidé okukují váš dům? ** Všechny mapové aplikace nabízejí možnost rozmazání snímku ** Máme návod pro Apple Maps, Bing Maps, Mapy Google a Mapy.cz

Karel Kilián
SoukromíNávodyMapy
Nejvíc sexy holky ve filmech: 60 nejslavnějších erotických symbolů

Nejvíc sexy holky ve filmech: 60 nejslavnějších erotických symbolů

Krásné ženy jsou pro mnohé erotické a sex symboly. Vybrali jsme ty nejslavnější z několika desetiletí filmové a seriálové tvorby. Najdete zde nejen fotografie, ale také název díla, které herečku proslavilo.

Marek Čech
Filmy a seriály
Jak ovládnout procesy ve Windows 10 a odemknout zablokovaný soubor?

Jak ovládnout procesy ve Windows 10 a odemknout zablokovaný soubor?

V každém operačním systému běží celá řada procesů a služeb. Ukážeme vám, jak plně získat pod kontrolu jejich běh.

Karel Kilián
Windows 10TipySoftware
Nová volitelná aktualizace systému Windows 10 opravuje 38 problémů
Karel Kilián
Windows UpdateAktualizaceWindows 10
Tohle nejsou Jedenáctky, ale Linux. Windowsfx 11 opisuje opravdu důkladně
Lukáš Václavík
Windows 11Operační systémyLinux
Recenze Windows 11. Microsoft nás opíjí rohlíkem a omezuje použitelnost

Recenze Windows 11. Microsoft nás opíjí rohlíkem a omezuje použitelnost

** Oproti Desítkám významně stouply hardwarové požadavky ** Windows 11 mají nový vzhled, ale výrazně narušují workflow. ** Potěší vyhledávání, multitasking i rychlejší aktualizace

Petr Urban
Windows 11Testy