Luka w popularnej wtyczce WordPress.

Data dodania: 28 lutego 2020

Autor: Tomek Mikiciuk

 

W ostatnim czasie dostajemy zapytania od klientów, którzy otrzymują od swoich hostingodawców ostrzeżenia przed popularną wtyczką Duplicator, w której wykryto krytyczną lukę umożliwiającą zaatakowanie strony. Sprawa dotyczy zarówno wersji podstawowej pluginu, jak i PRO. Wszystkich zaniepokojonych pragniemy uspokoić: WP-Opieka trzyma rękę na pulsie. Robimy wszystko, aby zapewnić Waszym stronom ciągłość działania i bezpieczeństwo

Duplicator – WordPress Migration Plugin. W czym problem?

Duplicator to bardzo popularna wśród użytkowników wtyczka do wykonywania kopii zapasowych strony, migracji WordPressa na inny serwer, czy do duplikowania środowiska do prac testowych. Twórcy pluginu – Snap Creek, szczycą się ponad piętnastoma milionami pobrań, ponad milionem aktywnych użytkowników i zdecydowanie dobrymi rekomendacjami. Jednak, jak wiadomo popularność oprogramowania typu open source, ma swoją cenę – wraz z ilością użytkowników rośnie proporcjonalnie zagrożenie atakami złośliwego oprogramowania.
To nie pierwszy raz, kiedy malware dostaje sie na strony oparte o WP za pośrednictwem Duplicatora. Ostatni problem pojawił się w połowie 2018 roku i nie tyczył sie on bezpośrednio samego pluginu, tylko plików, które zostały przez niego wygenerowane automatycznie po przeniesieniu strony na inny serwer.
Tym razem po wykorzystaniu luki – atakujący ma możliwość dojścia do krytycznych plików, zawierających np. dane dostępowe do bazy danych MySQL.
Jak czytamy w sprawozdaniu – specjaliści od bezpieczeństwa WordPress z Wordfence zablokowali ponad 60000 prób pobierania pliku wp-config.php. Okazuje się, że niemal wszystkie  ataki odbywały się z jednego adresu IP: 77.71.115.52 . Adres ten wskazuje na serwer należący do Varna Data Center EOOD i zlokalizowany jest w Bułgarii. Sprawa jest w toku, niemniej jednak sami możemy ustalić, czy nasza strona padła ofiarą malware. Wystarczy, że przeszukamy logi naszego serwera i ustalimy, czy został zarejestrowany ruch z feralnego adresu IP. Wiemy również, że ataki następowały z pośrednictwem żądań GET z ciągami zapytań:

action=duplicator_download

file=/../wp-config.php

W przesyłanych przez hostingodawców alertach, zaleca się pilną aktualizację darmowej wtyczki Duplicator do wersji  1.3.28 lub do 3.8.7.1 w przypadku Duplicator Pro, gdyż w najnowszych wersjach feralna luka została „załatana”.

Jak bronić się przed atakami złośliwego oprogramowania?

Jednym z najważniejszych aspektów bezpieczeństwa są aktualizacje, a zaistniała sytuacja jest kolejnym dowodem na to, o czym mówimy swoim Klientom od zawsze. Obszerniej pisaliśmy o tym w innym artykule. Aktualizacje to absolutna podstawa i zaniedbując je, otwierasz złośliwemu oprogramowaniu drzwi do Twojego WordPressa. Jeśli więc jesteś naszym klientem – możesz spać spokojnie – wszystkie aktualizacje robimy na bieżąco, natomiast jeśli jeszcze z nami nie współpracujesz i padłeś ofiarą ataku – skontaktuj się z nami, a na pewno znajdziemy sposób aby Ci pomóc.

 


Dodaj komentarz

Twój adres email nie będzie widoczny.

*