W ostatnim czasie dostajemy zapytania od klientów, którzy otrzymują od swoich hostingodawców ostrzeżenia przed popularną wtyczką Duplicator, w której wykryto krytyczną lukę umożliwiającą zaatakowanie strony. Sprawa dotyczy zarówno wersji podstawowej pluginu, jak i PRO. Wszystkich zaniepokojonych pragniemy uspokoić: WP Opieka trzyma rękę na pulsie. Robimy wszystko, aby zapewnić Waszym stronom ciągłość działania i bezpieczeństwo.

Krytyczna luka w zabezpieczeniach wtyczki Duplikator. Co się stało?

Duplicator – WordPress Migration Plugin. W czym problem?

Duplicator to bardzo popularna wśród użytkowników wtyczka do wykonywania kopii zapasowych strony, migracji WordPressa na inny serwer, czy do duplikowania środowiska do prac testowych. Twórcy pluginu – Snap Creek, szczycą się ponad piętnastoma milionami pobrań, ponad milionem aktywnych użytkowników i zdecydowanie dobrymi rekomendacjami. Jednak, jak wiadomo popularność oprogramowania typu open source, ma swoją cenę. Wraz z ilością użytkowników rośnie proporcjonalnie zagrożenie atakami złośliwego oprogramowania.

To nie pierwszy raz, kiedy malware dostaje się na strony oparte o WP za pośrednictwem Duplicatora. Ostatni problem pojawił się w połowie 2018 roku i nie tyczył się on bezpośrednio samego pluginu, tylko plików, które zostały przez niego wygenerowane automatycznie po przeniesieniu strony na inny serwer.

Tym razem po wykorzystaniu luki atakujący ma możliwość dojścia do krytycznych plików, zawierających np. dane dostępowe do bazy danych MySQL. Jak czytamy w sprawozdaniu specjaliści od bezpieczeństwa WordPress z Wordfence zablokowali ponad 60000 prób pobierania pliku wp-config.php. Okazuje się, że niemal wszystkie  ataki odbywały się z jednego adresu IP: 77.71.115.52 . Adres ten wskazuje na serwer należący do Varna Data Center EOOD i zlokalizowany jest w Bułgarii. Sprawa jest w toku, niemniej jednak sami możemy ustalić, czy nasza strona padła ofiarą malware. Wystarczy, że przeszukamy logi naszego serwera i ustalimy, czy został zarejestrowany ruch z feralnego adresu IP. Wiemy również, że ataki następowały z pośrednictwem żądań GET z ciągami zapytań:

W przesyłanych przez hostingodawców alertach zaleca się pilną aktualizację darmowej wtyczki Duplicator do wersji  1.3.28 lub do 3.8.7.1 w przypadku Duplicator Pro, gdyż w najnowszych wersjach feralna luka została „załatana”.

Jak bronić się przed atakami złośliwego oprogramowania?

Jednym z najważniejszych aspektów bezpieczeństwa są aktualizacje, a zaistniała sytuacja jest kolejnym dowodem na to, o czym mówimy swoim Klientom od zawsze. Obszerniej pisaliśmy o tym w innym artykule. Aktualizacje to absolutna podstawa i zaniedbując je, otwierasz złośliwemu oprogramowaniu drzwi do Twojego WordPressa. Jeśli więc jesteś naszym klientem, możesz spać spokojnie. Wszystkie aktualizacje robimy na bieżąco. Natomiast jeśli jeszcze z nami nie współpracujesz i padłeś ofiarą ataku – skontaktuj się z nami, a na pewno znajdziemy sposób, aby Ci pomóc.

Udostępnij dalej: