Ostatnio na jednej ze stron która znajduje się w moich RSSach pojawiają się jakby „nieautoryzowane wpisy”, pisane w innym języku niż wszystkie inne, a i ich „jakoś merytoryczna” jest odwrotnie proporcjonalna do ilości linków jakie się w nich znajdują.

Kolejnym argumentem za ich „nieautoryzowanym pochodzeniem” jest fakt, że są one co jakiś czas kasowane – czyli jednak ktoś nad stroną czuwa, pewnie przy okazji publikacji kolejnych postów (ostatni 17 listopada) kasuje SPAM i – niestety – na tym się sprawa kończy.

Co w WordPressie Piszczy

Nie będę podawał celowo szczegółów które mogą jednoznacznie wskazywać na stronę (ale nie będę też jakoś specjalnie maskował „mniej dosłownych podpowiedzi”), bo celem tego wpisu nie jest konkretnie ta strona, a przypomnienie wszystkim posiadaczom stron (nie tylko na WordPressie) jak ważne są regularne aktualizacje elementów wykorzystanych do przygotowania strony (głównie skrypty ale nie tylko).

Pamiętaj o aktualizacjach

Szybka analiza strony wykazała, że cały czas działa na WordPressie w wersji 3.0.1, gdy aktualne stabilne wydanie to 4.3.1, co może oznaczać, że WordPress nie był na tej stronie aktualizowany przez ponad 5 lat – a to w świecie IT prawdziwa przepaść, i w międzyczasie znaleziono wiele błędów, które były aktualizowane w kolejnych wersjach, o których osoby odpowiedzialne za stronę zapomniały (lub nikt im tego nie powiedział).

Jakby tego było mało – a wierzcie mi, że nie jest – to również wtyczka wykorzystywana do ochrony przed SPAMem aktualizacji dawno nie widziała (na serwerze 3.1.3, a ostatnia wersja to 4.1).

Dlatego powtórzę to, co zawsze pisze na tej stronie, i powtarzam wszystkim moim klientom – pamiętajcie o aktualizacjach, nie tylko systemu operacyjnego i programu antywirusowego, ale również serwera czy właśnie strony internetowej (choć akurat większość moich/naszych klientów ma to z głowy, bo taką „obsługę serwisową” powierza nam).

User Enumeration

Właściwie na deser – bo przy tak starej wersji WordPressa i tak by raczej nie pomogło – jest to, że na stronie nie zablokowano możliwości odczytania nazw użytkowników, co znacznie ułatwia ew. atak na stronę (próba siłowego odgadnięcia hasła).

Wystarczy wpisać adresy:

http://[—]/?author=17

by poznać nazwy wszystkich 17 (16 własnych + admin, którego również nie powinno tam być) użytkowników.

PS. Wysłałem informacje na znaleziony na stronie adres kontaktowy, może coś się w tym temacie zmieni…

(!) Zgłoś błąd na stronie