אלפי אתרי וורדפרס בסכנה בגלל באג אבטחה חמור
פגיעות שנחשפה לאחרונה המשפיעה על התוסף 'גיבוי גיבוי' וורדפרס קיבלה ציון חומרה של 9.8 מתוך 10, אך ייתכן שהדברים אינם גרועים כמו שזה נראה כי יש תיקון זמין כעת.
באג האבטחה, במעקב כ-CVE-2023-6553, משפיע על כל הגרסאות עד (כולל) 1.3.7 של התוסף.
תוקפים מצליחים יכולים להשיג ביצוע קוד מרחוק המאפשר להם לסכן באופן מלא אתרי וורדפרס פגיעים באמצעות הזרקת קוד PHP.
עדכון תוסף וורדפרס חשוב זמין כעת
תוסף האבטחה של WordPress Wordfence פרסם על הפגיעות, וטוען כי חסם 39 התקפות במהלך 24 השעות לפני הופעת מאמר זה כתוב.
בchangelog של הפלאגין, גרסה 1.3.8 מטפלת בבאג: "CVE מדווח מעודכן – אנא שדרג". הגרסה מוסיפה גם תמיכה בדוקה עבור WordPress 6.4.2, אשר שוחררה ב-6 בדצמבר.
לא ברור כמה משתמשים מריצים גרסאות פגיעות של התוסף, אולם המפתחים טוענים שיש להם יותר מ-90,000 הורדות ומתגאים בשיעור של 94% של חמישה כוכבים, על פני יותר מ-900 ביקורות.
חוקרים מ-Nex Team זוכים למציאת הבאג לראשונה כחלק מתוכנית הבאג של Wordfence, אשר מפעילה כעת תמריץ עד ה-20 בדצמבר שיראה לכתבים מצליחים להרוויח פי 6.25 מהתגמול הרגיל. Nex Team זכה ב-$2,751 עבור התראה על נקודת התורפה של Wordfence.
לאחר הודעה, Wordfence הוציאה כלל חומת אש כדי להגן על לקוחות Wordfence Premium ($119 לשנה), Wordfence Care ($490 לשנה) ו-Wordfence Response (950$ לשנה). Wordfence גם תרחיב את כלל חומת האש ללקוחות שאינם משלמים לאחר תקופה של 30 יום, מה שאומר שלקוחות בחינם יהיו זכאים מ-5 בינואר 2024.
עם זאת, Wordfence גם הודיעה למפתחים של Backup Migration, BackupBliss, על הפגיעות, אשר לאחר מכן הוציאה תיקון תוך שעות. בפוסט בבלוג נכתב: "כל הכבוד לצוות BackupBliss על תגובה ותיקון מהירים להפליא."
בעוד שגם תיקון וגם חומת אש הפכו זמינים כעת, משתמשי וורדפרס עדיין מתבקשים להחיל עדכונים על כל התוספים בהקדם האפשרי על מנת לשמור על הגנה מיטבית על האתרים שלהם.