Pro nejrozšířenější redakční systém WordPress byl opět dostupný plugin s velmi závažnou zranitelností RCE (remote code execution). Tento plugin používá přes jeden milion uživatelů, přibližně 600.000 z nich ještě neprovedlo aktualizaci na poslední bezpečnou verzi.
Závažná bezpečnostní chyba se týká pluginu Essentials Addons for Elementor, který je rozšířením pro nejpoužívanější pagebuilder Elementor. Postižené jsou všechny verze starší než 5.0.5. Pokud jste tak ještě neudělali, aktualizujte tento plugin ihned.
Technický popis chyby
Na chybu přišla technologická společnost Patchstack. Predispozicí pro tento útok jsou povolené widgety „dynamická galerie“ a „galerie produktů“.
Následně je útočník schopen jednoduchým zavoláním GET nebo POST požadavku na server načíst lokálně uložený soubor (i PHP) na serveru.
Dvě neúspěšné opravy chyby
Zajímavostí na této objevené zranitelnosti je to, že autoři pluginu vydali dvě opravné verze, které přesto stejnou chybu nadále obsahovaly. Finální oprava se povedla až 28. ledna ve verzi 5.0.5.
Doporučení
Běžné doporučení o neinstalování neznámých pluginů by vám tentokrát nepomohlo, neboť tento plugin měl přes milion instalací. To by člověk očekával, že takovou kritickou chybu obsahovat nebude.
Přesto vám doporučuji k přečtení můj článek o základních tipech pro zabezpečení WordPressu, které většinu běžných útoků minimálně znatelně ztíží.
https://www.interval.cz/clanky/zakladni-tipy-pro-zabezpeceni-wordpressu/
Mějte WordPress v bezpečí u CZECHIA.com
Profesionální poskytovatel webhostingových služeb CZECHIA.com vám zřídí webhosting WordPressu na serveru s operačním systémem Linux, podporou nejnovější verze PHP a automaticky předinstalovaným redakčním systémem WordPress.
Navíc získáte předinstalovaný SSL certifikát od SSLmarket.cz, pravidelné zálohy webhostingu a možnost návratu k předchozí verzi a automatickou aktualizaci jádra WordPress. Samozřejmostí je nápomoc při nastavení přesměrování požadavků na https a také základní zabezpečení administrace – GeoIP modul.
Mohlo by vás také zajímat
-
Proč je důležité tvořit obsah na váš web?
29. srpna 2024 -
Lék na phishing a apatii ve světě e-mailového marketingu
18. března 2024 -
Vlastní web pomocí AI už může vytvořit opravdu každý
8. srpna 2024
Nejnovější
-
Jak zvýšit CTR vašeho e-mail marketingu
9. září 2024 -
Znovuuvedení domény .AD
5. září 2024 -
Jak vybrat doménu: Co je dobré vědět?
2. září 2024 -
Proč je důležité tvořit obsah na váš web?
29. srpna 2024
Luboš Klindera
Bře 13, 2023 v 20:19Jen bych chtěl autora upozornit, že se nejedná o „Elementator“ ale o „Elementor“…
Daniel Šenkyřík
Bře 13, 2023 v 20:38Moc děkuji za upozornění, to jsem si nějak přejmenoval v hlavě :). Díky.