חולשת אבטחה חמורה בתוסף הגיבוי UpdraftPlus לאתרי וורדפרס
נכתב ב-20 בפברואר 2022
פרצת אבטחה חמורה שהתגלתה לפני מספר ימים בתוסף הגיבוי הפופולרי לאתרי וורדפרס, UpdraftPlus, איפשרה לתוקפים להוריד גיבויים רגישים.
תוסף הגיבוי לאתרי וורדפרס, UpdraftPlus, הוא פופולרי במיוחד, והוא מותקן בכ-3 מיליון אתרי וורדפרס. ב-17 בפברואר 2022, בוצע עדכון אבטחה בתוסף, שנועד לסגור חולשה חמורה, שהתגלתה על ידי חוקר האבטחה מארק מונטפס. החולשה איפשרה לכל משתמש המחובר לוורדפרס (כולל משתמשים בהרשאה נמוכה כמו "מנוי"), להוריד גיבויים שנוצרו על ידי התוסף.
גיבויים של וורדפרס יכולים לכלול את כל המידע השמור במסד הנתונים, וגם קבצים שונים, כמו קבצי התבנית, קבצי תוספים ואפילו קבצים השמורים בשרת ולא קשורים ישירות לוורדפרס. מדובר במידע רגיש שיכול לאפשר להאקרים לגנוב מידע ולהעתיק אתרים שלמים, כולל הקוד שלהם.
לפי נתוני חברת וורדפנס, התקיפה החלה באמצעות ניצול פונקציית ה-heartbeat של וורדפרס. התוקפים שלחו בקשת heartbeat מיוחדת, שבאמצעותה הצליחו להוריד את הגיבויים.
גירסה 1.22.3 של UpdraftPlus כבר כוללת את תיקון החולשה. אם אתם משתמשים בתוסף הזה לגבות את אתר הוורדפרס שלכם, עדכנו אותו מיידית. בנוסף, כדאי ללמוד איך עושים גיבוי ידני לאתר וורדפרס, על מנת לעקוף את התוסף במידת הצורך.
