Figyelmeztetés: Három WordPress bővítmény veszélyezteti 1,3 millió weboldalt!
A legutóbbi hírek szerint három népszerű WordPress fájlkezelő bővítmény sebezhetősége miatt mintegy 1,3 millió weboldalt érinthet a probléma. A sebezhetőség lehetővé teszi, hogy jogosulatlan támadók tetszőleges fájlokat töröljenek az érintett weboldalakról. A veszélyt az elavult elFinder fájlkezelő verziók okozzák, amelyek közül a 2.1.64-es és az annál korábbi kiadások tartalmaznak egy Directory Traversal sebezhetőséget. Ez a hiba lehetővé teszi a támadók számára, hogy manipulálják a fájlok elérési útját, így elérhetik a kívánt könyvtáron kívüli fájlokat is.
Az érintett bővítmények között szerepel a következő három:
1. File Manager WordPress Plugin, amelyet körülbelül 1 millió weboldalon használnak.
2. Advanced File Manager – Ultimate WP File Manager And Document Library Solution, melynek telepítése meghaladja a 200 000-t.
3. File Manager Pro – Filester, amelyet körülbelül 100 000 weboldalon használnak.
A Wordfence biztonsági szakértői figyelmeztettek, hogy ez a sebezhetőség anélkül kihasználható, hogy a támadónak bármiféle hitelesítést kellene bemutatnia, de csak abban az esetben, ha a weboldal tulajdonosa a fájlkezelőt nyilvánosan elérhetővé tette. Ugyanakkor a megnevezett két bővítmény frissítési naplója szerint a támadónak legalább egy „előfizetői” szintű hitelesítéssel kell rendelkeznie, ami a legalacsonyabb weboldali jogosultság. Amennyiben sikerül kihasználni a sebezhetőséget, a támadó tetszőleges fájlokat törölhet az érintett weboldalról.
Miért fontos a bővítmények frissítése?
A WordPress bővítmények rendszeres frissítése kulcsfontosságú a weboldalak biztonsága szempontjából. Az elavult bővítmények nemcsak a weboldal működését befolyásolják, hanem komoly biztonsági kockázatokat is hordoznak. A fejlesztők folyamatosan dolgoznak a hibák javításán és a biztonsági résekkel kapcsolatos frissítéseken. Ezért a weboldal üzemeltetőinek rendszeresen ellenőrizniük kell bővítményeik állapotát és frissítéseket telepíteni, amikor csak lehetséges.
Ha valaki nem frissíti a bővítményeket, azzal nemcsak a saját weboldala, hanem a látogatóik adatai is veszélybe kerülhetnek. A kiberbűnözők folyamatosan új módszereket keresnek a rendszerek kihasználására, így a legjobb védekezés a megelőzés. A felhasználóknak érdemes biztonsági mentéseket is készíteniük, így a támadás esetén megőrizhetik adataikat.
Mit mond a szakértő a helyzetről?
Megkérdeztük Császár Viktor SEO szakértőt, hogy mit gondol a friss hírről. Viktor elmondta: „A WordPress bővítmények sebezhetőségei mindig is komoly figyelmet igényeltek a weboldal tulajdonosaitól. A mostani eset is rávilágít arra, hogy mennyire fontos a bővítmények folyamatos frissítése és karbantartása. Ha a weboldalunkat nem védjük meg időben, az komoly következményekkel járhat. Éppen ezért javaslom minden weboldal üzemeltetőnek, hogy ne habozzon frissíteni a bővítményeit, és rendszeresen ellenőrizze azok biztonsági állapotát.” További információkért és szakértői tanácsokért látogasson el a weboldalamra: Császár Viktor weboldala.
Forrás: SearchEngineJournal.com
