ZONER Cookies

Vážený návštěvníku, potvrzením pomocí tlačítka OK udělujete souhlas nám a našim partnerům s použitím cookies pro nezbytné, analytické a marketingové účely na tomto zařízení. Volbou Nastavení můžete sami určit, jaké skupiny cookies je možné zpracovávat, popřípadě jejich zpracování úplně zakázat. Ukládání nezbytných cookies probíhá vždy, a to v zájmu zachování funkčnosti webové prezentace.

V tomto okně můžete zvolit kategorie cookies v souladu s vlastními preferencemi.

Nezbytné

Tyto cookies zajišťují bezchybný provoz našich webových stránek. Umožňují například vložení služby do objednávky, ukládání dat s ohledem na bezpečnost webu, přihlašování k webu a podobně. Nezbytné cookies nelze deaktivovat, jelikož by došlo k narušení správného fungování webu.

Preferenční

Preferenční cookies umožňují, aby si webová stránka zapamatovala informace, které mění, jak se webová stránka chová nebo jak vypadá. Je to například preferovaný jazyk nebo region, kde se nacházíte.

Analytické

Díky nástrojům jakými jsou například Google analytics můžeme sledovat, jak stránky používáte, z jakých zdrojů a technologií. Na základě těchto dat můžeme web neustále vylepšovat, aby byl pro vás co nejpřívětivější. Veškerá data jsou anonymizována, konkrétní uživatele tedy identifikovat nemůžeme.

Marketingové

Společně s nástroji třetích stran můžeme zobrazovat vámi preferované reklamy v partnerských sítích přesně dle vašich zájmů. V případě nesouhlasu je vysoce pravděpodobné, že vaše zájmy a preference nebudou zohledněny a bude se vám reklama zobrazovat plošně. Veškeré profily vašich zájmů jsou pseudonymizované, díky tomu není možná bezprostřední identifikace vaší osoby.

IT Security

Kritická chyba ve WordPress rozšíření pro Elementor

1. února 2022
Daniel Šenkyřík

Obsah

  1. Technický popis chyby
  2. Dvě neúspěšné opravy chyby
  3. Doporučení
  4. Mějte WordPress v bezpečí u CZECHIA.com

Související

Pro nejrozšířenější redakční systém WordPress byl opět dostupný plugin s velmi závažnou zranitelností RCE (remote code execution). Tento plugin používá přes jeden milion uživatelů, přibližně 600.000 z nich ještě neprovedlo aktualizaci na poslední bezpečnou verzi.

Závažná bezpečnostní chyba se týká pluginu Essentials Addons for Elementor, který je rozšířením pro nejpoužívanější pagebuilder Elementor. Postižené jsou všechny verze starší než 5.0.5. Pokud jste tak ještě neudělali, aktualizujte tento plugin ihned.

Technický popis chyby

Na chybu přišla technologická společnost Patchstack. Predispozicí pro tento útok jsou povolené widgety „dynamická galerie“ a „galerie produktů“.

Následně je útočník schopen jednoduchým zavoláním GET nebo POST požadavku na server načíst lokálně uložený soubor (i PHP) na serveru.

Zdroj: Patchstack

Dvě neúspěšné opravy chyby

Zajímavostí na této objevené zranitelnosti je to, že autoři pluginu vydali dvě opravné verze, které přesto stejnou chybu nadále obsahovaly. Finální oprava se povedla až 28. ledna ve verzi 5.0.5.

Doporučení

Běžné doporučení o neinstalování neznámých pluginů by vám tentokrát nepomohlo, neboť tento plugin měl přes milion instalací. To by člověk očekával, že takovou kritickou chybu obsahovat nebude.

Přesto vám doporučuji k přečtení můj článek o základních tipech pro zabezpečení WordPressu, které většinu běžných útoků minimálně znatelně ztíží.

https://www.interval.cz/clanky/zakladni-tipy-pro-zabezpeceni-wordpressu/

Mějte WordPress v bezpečí u CZECHIA.com

Profesionální poskytovatel webhostingových služeb CZECHIA.com vám zřídí webhosting WordPressu na serveru s operačním systémem Linux, podporou nejnovější verze PHP a automaticky předinstalovaným redakčním systémem WordPress.

Navíc získáte předinstalovaný SSL certifikát  od SSLmarket.cz, pravidelné zálohy webhostingu a možnost návratu k předchozí verzi a automatickou aktualizaci jádra WordPress. Samozřejmostí je nápomoc při nastavení přesměrování požadavků na https a také základní zabezpečení administrace – GeoIP modul.

Předchozí článek Sociální sítě jako pozvánka pro zloděje
Další článek Hraj fér a vyhraj: Příběh zakladatele jedné z největších technologických společností
Štítky: chyba, hack, WordPress, zabezpečení
Daniel Šenkyřík

Jsem PHP programátor se zaměřením na Nette a Wordpress. Mám za sebou dokončené vyšší desítky Wordpress projektů o různé složitosti - počínaje jednoduchými prezentacemi, přes eshopy až po velmi rozsáhlé projekty. Preferuji tvorbu vlastních šablon na míru.

Mohlo by vás také zajímat

Nejnovější

2 komentářů

  1. Luboš Klindera

    Bře 13, 2023 v 20:19

    Jen bych chtěl autora upozornit, že se nejedná o „Elementator“ ale o „Elementor“…

    Odpovědět

    • Daniel Šenkyřík

      Bře 13, 2023 v 20:38

      Moc děkuji za upozornění, to jsem si nějak přejmenoval v hlavě :). Díky.

      Odpovědět

Napsat komentář

Vaše e-mailová adresa nebude zveřejněna. Vyžadované informace jsou označeny *