Сайты WordPress принудительно обновлены из-за серьёзнейшей ошибки безопасности

Фото: Pixabay

Сайты WordPress, на которых работает плагин Loginizer, были принудительно обновлены до версии Loginizer 1.6.4.

С помощью обновления была исправлена опасная ошибка, которая могла позволить хакерам захватить сайты WordPress с более старыми версиями плагина Loginizer. Loginizer  - один из самых популярных на сегодняшний день плагинов WordPress, с базой установки более миллиона сайтов.

Плагин обеспечивает улучшения безопасности для страницы входа в WordPress. Согласно официальному описанию, Loginizer может занести в чёрный или белый список IP-адрес для доступа к странице входа в WordPress, может добавить поддержку двухфакторной аутентификации или простые CAPTCHA для блокировки автоматических попыток входа в систему.

Ошибку безопасности обнаружил исследователь Славко Михайлоски. Согласно  описанию,  предоставленному в базе данных уязвимостей WordPress WPScan, ошибка безопасности находится в механизме защиты от перебора Loginizer, который включён по умолчанию для всех сайтов, на которых установлен этот плагин.

Чтобы воспользоваться этой ошибкой, злоумышленник может попытаться войти на сайт WordPress, используя неверное имя пользователя WordPress, в которое он может включать операторы SQL.

Когда аутентификация не удалась, плагин Loginizer запишет эту неудачную попытку в базу данных сайта WordPress вместе с неудачным именем пользователя.

Но, как объясняют Михайлоски, плагин не дезинфицирует имя пользователя и оставляет операторы SQL нетронутыми, позволяя удалённым злоумышленникам запускать код в базе данных WordPress — то, что исследователи безопасности называют атакой с использованием SQL-инъекции без аутентификации.

«Это позволяет любому злоумышленнику, не прошедшему проверку подлинности, полностью взломать веб-сайт WordPress», — сообщил ZDNet Райан Дьюхерст, основатель и генеральный директор WPScan — «Это позволяет любому, у кого есть базовые навыки работы с командной строкой, полностью взломать сайт WordPress».

Ошибка является одной из самых серьёзных проблем безопасности, обнаруженных в плагинах WordPress за последние годы, и именно поэтому команда безопасности WordPress, похоже, решила принудительно распространить патч Loginizer 1.6.4 на все затронутые сайты.

Дьюхерст сообщил ZDNet,  что эта функция «принудительного обновления плагинов» присутствует в кодовой базе WordPress с версии v3.7, выпущенной в 2013 году; однако она используется очень редко.

«Уязвимость, которую я сам обнаружил в популярном плагине Yoast SEO WordPress ещё в 2015 году, была принудительно обновлена. Хотя обнаруженная мною была не так опасна, как обнаруженная в плагине Loginizer WordPress», — сказал Дьюхерст. — «Я не знаю других [случаев принудительного обновления плагинов], но очень вероятно, что были и другие».

Владельцы  сайтов начали выражать недоумение по поводу принудительно обновлённого плагина. Неназванный разработчик WordPress заявил ZDNet, что функция принудительного обновления плагина использовалась  только пять раз  с момента ее запуска в 2013 году, подтвердив, что эта функция используется только для критических ошибок, затрагивающих миллионы сайтов, а не только для любой уязвимости плагина.

Как сообщал Startpack, ранее сайты на WordPress подверглись массовым атакам  после того, как хакеры обнаружили и начали использовать уязвимость в другом плагине — популярном «Файловом менеджере».