Messze százmillió fölött van azoknak az oldalaknak a száma, amelynek alapját a WordPress tartalomkezelő rendszer adja. A népszerűség átka persze az, hogy emiatt az ilyen oldalak a kiberbűnözők kiemelt célpontjává váltak.
A WordPress esetében is legtöbbször olyan sérülékenységeket használnak ki a támadók, amiket automatizált módon is ki lehet használni, még ha olykor brute force módszereket is kell alkalmazniuk – írta a Biztonságportál.
Az elmúlt évben két jelentősebb hibát is kiszűrtek a rendszerben. Tavaly augusztusban a Zscaler kutatói figyeltek fel arra, a WordPress egyik biztonsági hibáját kihasználva az ilyen weboldalakon keresztül terjesztették tömegesen a Neutrino exploit kitet. Ez a kiberbűnözők egyik legfelkapottabb exploitja, amelybe nagyon gyorsan belekerül minden új lehetőség, amivel akár a nulladik napi sérülékenységek is kihasználhatók.
Néhány hónappal később a Sucuri webbiztonsági vállalat fedezett fel egy támadássorozatot. A kiberbűnözők egy XML-RPC (remote procedure call) sérülékenységen keresztül brute force technikákkal támadtak WordPress-alapú weboldalakat. Az XML-RPC, amit egyébként több tartalomkezelő is támogat, a HTTP protokollon keresztül biztosít távoli eljáráshívásokra lehetőséget.
Most nem csak a biztonság javult
A mostani frissítés, a 4.4.1-es kiadás mindössze egy komolyabb sérülékenységet szüntet meg. A biztonsági résről egyelőre kevés információt közöltek a WordPress oldalán. Mindössze annyi információ került nyilvánosságra, hogy egy XSS (Cross Site Scripting) típusú hibáról van szó, amely jogosulatlan műveletvégrehajtásra vagy adatlopásra adhat módot. A sebezhetőséget az egyik Fülöp-szigeteki biztonsági cég jelezte a HackerOne platformon keresztül.
Az új verzió azonban nem csak a biztonsági rés befoltozása miatt fontos. A fejlesztők közlése szerint javítottak 52 olyan hibát is, amely ugyan biztonsági szempontból kevésbé kockázatos, de a rendszer működésében okozhatott fennakadásokat.
A 4.4.1-es kiadásban többek között bővül a támogatott emoji hangulatjelek köre, javítottak az OpenSSL-kezelésen és az URL-kezelésen is. A változások teljes listája a WordPress oldalán található.
Kell frissíteni, de ésszel!
Mivel a WordPress-alapú oldalak jellemzően nem csak az alapcsomagot, hanem hozzáfejlesztett elemeket is tartalmaznak, a frissítés – amit egyébként érdemes mihamarabb elvégezni – komoly odafigyelést igényel. Fennáll ugyanis annak a kockázata, hogy egyes hozzéfejlesztett elemek elvesznek vagy működésképtelenné válnak. Az új WordPress-változatot egy kattintásnyira lehet letölteni.
Adathelyreállítás pillanatok alatt
A vírus- és végpontvédelmet hatékonyan kiegészítő Zerto, a Hewlett Packard Enterprise Company platformfüggetlen, könnyen használható adatmentési és katasztrófaelhárítási megoldása.
CIO KUTATÁS
TECHNOLÓGIÁK ÉS/VAGY KOMPETENCIÁK?
Az Ön véleményére is számítunk a Corvinus Egyetem Adatelemzés és Informatika Intézetével közös kutatásunkban »
Kérjük, segítse munkánkat egy 10-15 perces kérdőív megválaszolásával!
Nyílt forráskód: valóban ingyenes, de használatának szigorú szabályai vannak