פרצות אבטחה נחשפו בתוסף וורדפרס All in one SEO
נכתב ב-15 בדצמבר 2021
תוספי וורדפרס מהווים חוליה חלשה למדי בכל הקשור לאבטחת אתרים. קיימים עשרות אלפי תוספים חינמיים, והם זמינים להורדה לכל דורש. חלקם מתעדכנים לעתים קרובות, אולם תוספים רבים לא מקבלים עדכונים במשך חודשים ואפילו שנים. בנוסף, משתמשים רבים לא מעדכנים את המערכת והתוספים באופן קבוע (חלק חשוב של ניהול אתרים). תוסף לא מעודכן עלול לגרום לתקלות באתר הוורדפרס שלכם, ויותר גרוע – לחשוף אותו לפריצות וקוד זדוני. בהרבה מאוד מקרי פריצה לאתרי וורדפרס, נקודת הכניסה של התוקפים היא תוסף לא מעודכן.
התוסף הנוכחי שמככב בכותרות בהקשר הלא-מחמיא של פרצות אבטחה, הוא תוסף קידום אתרים פופולרי בשם All in one SEO. לתוסף יש כ-3 מיליון התקנות פעילות באתרי וורדפרס ברחבי העולם ודירוג של 4.5 כוכבים במערכת התוספים של וורדפרס.
פרצות האבטחה הנוכחיות קיימות בגירסאות 4.0.0 עד 4.1.5.2 (הגירסה העדכנית ביותר היא 4.1.5.3). הפרצות נתגלו על ידי חברת ג'טפאק, ומאפשרות לתוקפים לגשת לשמות משתמש וסיסמאות במערכת, ולהריץ קוד מרחוק. החולשה הראשונה נקראת Privilege Escalation Attack ומאפשרת למשתמשים בדרגת ניהול נמוכה (כמו מנוי או כותב) לבצע פעולות שאמורות להיות מוגבלות למשתמשים ברמה גבוהה כמו מנהל (administrator).
פרצה נוספת מנצלת את מנגון ה-REST API של וורדפרס, ומאפשרת להאקרים גישה לשמות משתמש וסיסמאות שמורות במערכת.
פרצות אלה גם מאפשרות הזרקת SQL (באנגלית: Authenticated SQL Injection), שלמעשה מאפשרת לתוקפים לעשות מניפולציות על מסד הנתונים של המערכת.
אם אתם משתמשים בתוסף זה, בדקו שהוא מעודכן לגירסה האחרונה, בה תוקנו הפרצות.