Web | Bezpečnost | WordPress

Tisíce webů na WordPressu v ohrožení: hackeři zneužívají kritickou bezpečnostní díru

Tisíce webů na WordPressu v ohrožení: hackeři zneužívají kritickou bezpečnostní díru

Pokud provozujete webové stránky postavené na redakčním systému WordPress, určitě byste měli zkontrolovat dostupnost aktualizací. Hackeři totiž začali ve velké míře zneužívat bezpečnostní díru v jednom z pluginů, která jim dovoluje vymazat všechny databáze a v některých případech i získat úplnou kontrolu nad postiženými weby.

Hned na začátek je určitě vhodné zdůraznit, že nebezpečí netkví přímo ve WordPressu jako takovém, ale v pluginu, tedy volitelně instalovaném doplňku. Konkrétně se jedná o ThemeGrill Demo Importer, jež je dle statistik nainstalován na více než 200 000 webech.

Díra jako vrata

O bezpečnostním nedostatku informovala jako první bezpečnostní firma WebARX, zabývající se zabezpečením webových aplikací. Následně se začali na sociálních sítích ozývat nešťastní uživatelé, kteří kvůli vymazání databází našli svůj web ve stavu, v jakém byl po první instalaci – tedy s titulní stránkou s nápisem „Hello World“.

Varování rozeslala svým zákazníkům i česká webhostingová firma WEDOS, která v e-mailu uvedla: „Vážení zákazníci, během posledních několika hodin jsme zaznamenali velké množství útoků na WordPress zneužívajících kritickou chybu v pluginu ThemeGrill Demo Importer. Tato chyba se nachází ve verzích 1.3.4 až 1.6.1. Autoři pluginu dnes vydali bezpečnostní aktualizaci 1.6.2. Pokud plugin ThemeGrill Demo Importer využíváte, prosím proveďte okamžitě aktualizaci.“

V případě zneužití bezpečnostní díry ke smazání všech dat z databází je v podstatě jen jedna cesta k nápravě: obnova ze zálohy (pokud je k dispozici). Následně je nutné zajistit co nejrychlejší aktualizaci pluginu na poslední dostupnou verzi, aby se situace neopakovala.

Děravý plugin

Plugin ThemeGrill Demo Importer slouží k importu demo obsahu, widgetů a nastavení grafické šablony ThemeGrill jediným kliknutím. Je určen pro webové stránky s redakčním systémem WordPress ve verzi 4.7 nebo novější.

WebARX uvádí: „Ve verzích 1.3.4 a novějších a verzích 1.6.1 a nižších existuje chyba, která umožňuje jakémukoli neautentizovanému uživateli vymazat celou databázi do výchozího stavu, ve kterém se může přihlásit jako správce.“ S ohledem na dotčené verze lze soudit, že zmíněná chyba existuje již déle než tři roky.

Odborníci konstatují, že ke zneužití chyby dochází způsobem, který firewally poskytovatelů hostingu nemají šanci zachytit a zablokovat. „Je to vážná zranitelnost, která může způsobit značné škody,“ varují a jedním dechem vyzývají k neprodlené aktualizaci.

Diskuze (7) Další článek: Nové ikony z Windows 10X zamířily i do klasických Windows 10. Podívejte se

Témata článku: Web, Bezpečnost, Aktualizace, WordPress, Plugin, Verze, Hello World, Databáze, Díra, Hacker, Wedos, Bezpečnostní díra


Určitě si přečtěte

37 nejstrašnějších počítačů, které jste kdy viděli

37 nejstrašnějších počítačů, které jste kdy viděli

** Přehled nejhorších počítačů na světě ** Šílené konstrukce a materiály ** Jak to dopadne, když se o počítač nestaráte

Karel Javůrek | 24

Windows 10X už si můžete vyzkoušet. Novému systému Microsoft zjevně věří

Windows 10X už si můžete vyzkoušet. Novému systému Microsoft zjevně věří

** Windows 10X přijdou již ke konci roku ** Microsoft vydal emulátor, kde systém ukázal ** Vývojáři musí upravit své aplikace

Vladislav Kluska | 62

USA rozdávají chudým dotované telefony s Androidem. Jsou z Číny a plné virů

USA rozdávají chudým dotované telefony s Androidem. Jsou z Číny a plné virů

** Chudí Američané mohou dosáhnout na dotovaný mobil ** Jeden takový rozdává třeba tamní Virgin Mobile ** Má to jeden háček. Je prošpikovaný malwarem

Jakub Čížek | 46

ReactOS: Zapomenuté a open-source Windows, které nevyrobil Microsoft

ReactOS: Zapomenuté a open-source Windows, které nevyrobil Microsoft

** Představte si svobodné Windows. Bláznivá vize? ** Vývojáři je přitom začali psát už před více než dvaceti lety ** Jmenují se ReactOS a spustíte na nich i Total Commander

Jakub Čížek | 52



Aktuální číslo časopisu Computer

Velký test autokamer

Test ATX skříní

Jak surfovat pohodlně

Sportovní aplikace

Jak funguje procesor