Potrzebujesz profesjonalnej pomocy? Skontaktuj się z nami!

O tym jak ważne jest aktualizowanie każdego oprogramowania pisałem już nieraz. O tym, jak ważne jest aktualizowanie oprogramowania wystawionego na zewnątrz, gdzie – np. przez internet – dostępne jest dla każdego zapewne pisałem jeszcze więcej. Dlatego zakładam, że 2 relatywnie nowe błędy znalezione w WordPressie nie są dla Waszych stron żadnym zagrożenie, a przytaczam je tu tylko jako ciekawostkę… ;-)

Zdalne wykonanie kodu w WordPressie

Jakiś czas temu pisałem o błędzie w skrypcie PHPMailer, który znajduje się również w WordPressie. Błąd w skrypcie został załatany (4.7), i można by o sprawie zapomnieć, zwłaszcza, że jego wykorzystanie nie było takie proste i wymagało kilku „zbiegów okoliczności”.

Niestety dla tych, co z jakichś powodów aktualizacji nie wykonują okazało się, że Dawid Golunski znalazł sposób na zdalne wykonanie kodu wykorzystując niezałataną bibliotekę PHPMailer, bez potrzeby liczenia na splot niefortunnych przypadków (CVE-2016-10033).

Nie znaczy to, że od razu każdy niezaktualizowany WordPress (w wersji 4.6 lub starszej) jest podatny, ale na pewno znacznie wzrosły szanse na to, że ktoś takiego WordPressa przejmie do swoich – zapewne niecnych – celów.


Próba resetu hasła dowolnego użytkownika w WordPressie

Za odkryciem drugiego błędu ponownie stoi Dawid Golunski, który opublikował teoretyczny sposób na zresetowania hasła dowolnego użytkownika (CVE-2017-8295) WordPressa (dotyczy również wersji 4.7.4). Brzmi poważnie, ale tym razem atakującemu musi sprzyjać nie tylko szczęście, ale i nierozważny użytkownik, którego konto zostało obrane za cel.

Atak polega na tym, że w pewnych okolicznościach możemy wymusić przesłanie linku z resetem hasła do/dla wybranego użytkownika, podstawiając swój/wybrany adres e-mail w miejsce adresu nadawcy ustawionego w WordPressie. Tak więc atakujący musi znać nazwę użytkownika (dlatego warto mieć inną nazwę do logowania, inną, która wyświetla się przy wpisach/komentarzach) oraz nakłonić ofiarę do przesłania – np. w formie odpowiedzi – otrzymanej wiadomości z linkiem do resetu hasła (zamiast do administratora strony, taka wiadomość trafi do atakującego, który podstawił swój adres e-mail w wiadomości), co niekoniecznie musi być takie proste…

Aktualizacja ma pojawić się niebawem, do tego czasu – o ile konfiguracja Waszego WordPressa i/lub webserwera sama z siebie nie uniemożliwia tego typu ataków – możecie w pliku functions.php dodać kilka linijek, które być może zabezpieczą Waszą stronę przed opisywaną modyfikacją nadawcy wiadomości:

add_filter( 'wp_mail_from', function( $email ) {
 return '[email protected]';
});

Oczywiście zamiast „[email protected]” wstawcie adres e-mail, którego WordPress ma używać jako adres nadawcy wiadomości e-mail.

(!) Zgłoś błąd na stronie
Potrzebujesz profesjonalnej pomocy? Skontaktuj się z nami!
Spodobał Ci się artykuł? Zapisz się do naszego Newslettera - ZERO SPAMu, same konkrety, oraz dostęp do dodatkowych materiałów przeznaczonych dla subskrybentów!
Na podany adres e-mail otrzymasz od nas wiadomość e-mail, w której znajdziesz link do potwierdzenia subskrypcji naszego Newslettera. Dzięki temu mamy pewność, że nikt nie dodał Twojego adresu przez przypadek. Jeśli wiadomość nie przyjdzie w ciągu najbliższej godziny (zazwyczaj jest to maksymalnie kilka minut) sprawdź folder SPAM.
Janusz i Janusz dzięki motywowi Divi od Elegant Themes koszą siano robiąc strony
WebInsider poleca księgowość wFirma
WebInsider korzysta z VPSa w HitMe.pl
WebInsider poleca VPSy DigitalOcean
WebInsider poleca serwis Vindicat
Napisz komentarz
wipl_napisz-komentarz_01Jeśli informacje zawarte na tej stronie okazały się pomocne, możesz nam podziękować zostawiając poniżej swój komentarz.

W tej formie możesz również zadać dodatkowe pytania dotyczące wpisu, na które – w miarę możliwości – spróbujemy Ci odpowiedzieć.
Linki partnerskie
Niektóre z linków na tej stronie to tzw. „linki partnerskie”, co oznacza, że jeśli klikniesz na link i dokonasz wymaganej akcji (np. zakup/rejestracja) możemy otrzymać za to prowizję. Pamiętaj, że polecamy tylko te produkty i usługi, z których sami korzystamy, i uważamy, że są tego na prawdę warte… :-)
Znaki towarowe i nazwy marek
W niektórych wpisach (oraz innych miejscach na stronie) mogą być przedstawione/użyte znaki towarowe i/lub nazwy marek, które stanowią własność intelektualną tych podmiotów, a zostały użyte wyłącznie w celach informacyjnych.
Księgowość internetowa wFirma 80% taniej dla czytelników WebInsider.pl