Всё для сайтов

Важная информация для сайтов, использующих WordPress и сторонние плагины.

Будьте в курсе событий

XSS-уязвимость в сотнях плагинов для WordPress

Как сообщает хостинг-провайдер ТутХост, несколько дней назад была опубликована информация о множественных уязвимостях в большинстве популярных плагинов для WordPress – Security Advisory: XSS Vulnerability Affecting Multiple WordPress Plugins.

Подробности blog.sucuri.net/2015/04/security-advisory-xss-vulnerability-affecting-multiple-wordpress-plugins.html

Причина уязвимости – некорректное использование нескольких функций WordPress API, что даёт возможность применить атаки типа XSS (так называемый межсайтовый скриптинг) в отношении множества веб сайтов, использующих эту популярную CMS.

Как показало исследование компании Sucuri, специализирующейся на поиске "дыр" в программном обеспечении систем управления сайтами, уязвимость содержится во многих популярных плагинах WordPress:

  • Jetpack
  • WordPress SEO
  • Google Analytics by Yoast
  • All In one SEO
  • Gravity Forms
  • Multiple Plugins from Easy Digital Downloads
  • UpdraftPlus
  • WP-E-Commerce
  • WPTouch
  • Download Monitor
  • Related Posts for WordPress
  • My Calendar
  • P3 Profiler
  • Give
  • Broken-Link-Checker
  • Ninja Forms

Обратите внимание – это далеко не полный список. Количество плагинов, которые требуют исправления и обновления, исчисляется сотнями.

Что необходимо сделать?


  • Обновите WordPress и плагины. Проверяйте наличие обновлений ежедневно – по крайней мере, в течение ближайших 1-2 недель, когда разработчики будут выпускать исправленные версии.
  • Обновите темы WordpPress. Не забывайте, темы для WP также могут использовать конструкции в коде, которые могут быть использованы для XSS-атак.
  • Ограничьте доступ к директории wp-admin только для определённых IP, с которых обеспечиваетcя администрирование сайта.
  • Удалите неиспользуемые плагины и темы. Если какой-либо плагин или тема не обновляется длительное время разработчиком, то следует рассмотреть вопрос об использовании альтернативы.

Для тем WordPress, портированных в Impera CMS, данная уязвимость неактуальна, поскольку система шаблонизации основана на других принципах.

Что такое XSS?

Приведём описание из Википедии:

XSS (англ. Cross Site Scripting - "межсайтовый скриптинг") - тип атаки на веб-системы, заключающийся во внедрении в выдаваемую веб-системой страницу вредоносного кода (который будет выполнен на компьютере пользователя при открытии им этой страницы) и взаимодействии этого кода с веб-сервером злоумышленника. Является разновидностью атаки "внедрение кода".

Специфика подобных атак заключается в том, что вредоносный код может использовать авторизацию пользователя в веб-системе для получения к ней расширенного доступа или для получения авторизационных данных пользователя. Вредоносный код может быть вставлен в страницу как через уязвимость в веб-сервере, так и через уязвимость на компьютере пользователя.

Кража рейтинга сайта С развитием интернет торговли, возник ещё один вид эксплуатации XSS уязвимости. Он состоит во внедрении такого кода, чтобы содержал лишь полноценную ссылку на сайт-"кровосос" и скармливании уязвимого адреса поисковому роботу. Например, если некий сайт имеет высокую ранжируемость и содержит уязвимый адрес вида http://example.com?q=<a href="http://assaulter.com">название товара</a>, в результате которой в разметке страницы жертвы появляется внедрённая ссылка, остаётся сообщить этот адрес поисковику, часть ранга жертвы достанется сайту-кровососу (имеется ввиду ранжируемость атакуемой страницы, чем она выше, тем выгоднее эксплуатировать уязвимость).

Обсуждение
«Санча | 10 авг 16:05
В том вся беда cms-ок. Сначала расползаются по сайтам, становятся популярными. Чем больше известность cms, тем больше под нее пишутся плагины. Хорошо бы опытными программистами, так слетаются как на мед всякие бездари. И кодят кодят. Потом в один день БАХ, вот вам уязвимость, да множественная. Теперь пробуй накатить патч, когда у тебя там десятка 2 модов, чтобы ничего потом не отвалилось и твои настройки, которые давно и нудно выстраивал, чтобы прахом не посыпались.
Ответить

Другие обсуждения »

Теги: уязвимость, vulnerability, xss, wordpress

Хотите чтобы мы рассказали ещё о чём-то - предлагайте тему.

Предложить

Следите за нашими публикациями в социальных сетях и новостных каналах.