Na czym polega zagrożenie?
Problem, który został odkryty na początku lipca 2024 roku, dotyczy poważnej luki bezpieczeństwa w dwóch popularnych wtyczkach WordPress: InPost PL oraz InPost for WooCommerce.
Zagrożenie polega na tym, że zagrożenie umożliwia nieautoryzowanym osobom zdalny dostęp do plików na serwerze, co oznacza, że mogą one odczytać oraz usunąć dowolne pliki strony internetowej.
Luka jest krytyczna, została oceniona na 10 punktów w dziesięciostopniowej skali CVSS.
W najgorszym scenariuszu, atakujący może uzyskać dostęp do kluczowego pliku wp-config.php, który zawiera dane do konfiguracji bazy danych strony. Usunięcie lub modyfikacja tego pliku może prowadzić do całkowitego przejęcia kontroli nad stroną przez osobę trzecią.
Mechanizm ataku polega na wykorzystaniu błędu w funkcji parse_request() w klasie EasyPack_Helper, która odpowiada za pobieranie plików w formacie PDF.
Problemem jest brak odpowiedniego sprawdzenia uprawnień użytkownika oraz niewłaściwe zabezpieczenie przed manipulacją ścieżkami plików. Atakujący może w ten sposób określić dowolny plik do odczytu, a następnie usunięcia go z serwera.
Jakich wersji wtyczek dotyczy problem?
Luka bezpieczeństwa dotyczy dwóch wtyczek związanych z integracją WooCommerce i usług InPost, które są powszechnie stosowane na stronach WordPress w Polsce. Wtyczki te to:
- InPost PL (wersja 1.4.4 i wcześniejsze) – służy do integracji usług InPost z WooCommerce, umożliwiając m.in. generowanie etykiet do paczkomatów.
- InPost for WooCommerce (wersja 1.4.0 i wcześniejsze) – starsze wydanie wtyczki, która również integruje WooCommerce z InPost.
Obie wtyczki były szeroko stosowane, co potwierdza ich łączna liczba ponad 10,000 aktywnych instalacji.
Do wtyczki InPost PL wydano już poprawki, aby naprawić lukę w zabezpieczeniach, natomiast InPost for WooCommerce została całkowicie usunięta z repozytorium WordPress, co oznacza, że nie jest już oficjalnie wspierana.
Jeśli potrzebujesz pomocy w bezpiecznej aktualizacji i utrzymaniu witryny, wypełnij formularz kontaktowy lub napisz na kontakt@alekmedia.pl.
Co może się stać przez brak aktualizacji?
Brak aktualizacji wtyczki InPost PL do najnowszej wersji (1.5.0) może mieć poważne konsekwencje dla właścicieli stron internetowych. Luka w zabezpieczeniach umożliwia atakującemu nie tylko odczytanie wrażliwych danych, ale także ich usunięcie. Skasowanie pliku wp-config.php, który zawiera dane do połączenia z bazą danych, może spowodować, że strona przestanie działać, a jednocześnie otworzy to atakującemu możliwość przejęcia kontroli nad całą stroną.
Przejęcie kontroli nad stroną internetową
Poprzez usunięcie lub modyfikację pliku wp-config.php, atakujący może zmusić stronę do ponownej konfiguracji, co umożliwi mu podłączenie strony do własnej bazy danych. W rezultacie atakujący uzyska pełny dostęp do zarządzania stroną oraz do jej danych.
Zainfekowanie złośliwym oprogramowaniem
Po przejęciu kontroli nad stroną, atakujący może wprowadzić złośliwy kod do plików WordPressa, wtyczek i motywów. Taki kod może prowadzić do dalszych ataków na użytkowników strony, w tym do wykradania danych osobowych czy rozsyłania spamu.
Zniszczenie danych na serwerze
Usunięcie dowolnych plików z serwera może prowadzić do nieodwracalnych strat danych, zwłaszcza jeśli właściciel strony nie posiada aktualnych kopii zapasowych. W skrajnych przypadkach może to doprowadzić do utraty całej zawartości strony oraz jej funkcjonalności.
Z tego powodu, niezwykle ważne jest, aby użytkownicy wtyczki InPost PL natychmiast zaktualizowali ją do wersji co najmniej 1.4.5, a użytkownicy wtyczki InPost for WooCommerce całkowicie usunęli ją z serwera i rozważyli przejście na inną, bezpieczną integrację.
Dlaczego warto dbać o aktualizacje i kopie zapasowe WordPressa?
Dbając o aktualizacje i regularne tworzenie kopii zapasowych strony internetowej, można skutecznie chronić się przed wieloma zagrożeniami, takimi jak opisane powyżej. Oto kluczowe powody, dla których warto inwestować w te praktyki:
Ochrona przed nowymi zagrożeniami
Aktualizacje oprogramowania, w tym wtyczek i motywów, często zawierają poprawki zabezpieczeń, które chronią przed nowo odkrytymi lukami. Zainstalowanie najnowszych wersji wtyczek pomaga zabezpieczyć stronę przed atakami wykorzystującymi znane błędy.
Skontaktuj się, aby stworzyć kopię zapasową, wykonać aktualizację lub zabezpieczyć swoją stronę internetową: kontakt@alekmedia.pl.
Zapobieganie awariom i utracie danych
Regularne kopie zapasowe są kluczowe dla minimalizacji ryzyka utraty danych w przypadku ataków, awarii serwera lub błędów użytkownika. Kopie zapasowe pozwalają na szybkie przywrócenie strony do poprzedniego stanu, co może uratować biznes przed długotrwałym przestojem.
Poprawa wydajności strony
Aktualizacje nie tylko poprawiają bezpieczeństwo, ale również mogą wprowadzać usprawnienia wydajnościowe. Nowe wersje wtyczek i motywów często zawierają optymalizacje, które mogą przyspieszyć działanie strony oraz poprawić jej funkcjonalność.
Wsparcie techniczne
Używanie przestarzałych wersji oprogramowania może prowadzić do problemów z kompatybilnością oraz braku wsparcia technicznego. Nowe wersje wtyczek i motywów często zawierają poprawki i wsparcie dla najnowszych wersji WordPressa oraz technologii serwerowych.
Źródło: Wordfence