Hromadné bezpečnostní problémy oblíbených pluginů

Poslední dobou se stále častěji objevují další a další informace o nalezených bezpečnostních problémech v různých pluginech. Ale aby během jednoho dne vyšly aktualizace hned několika známých a oblíbených pluginů? Co se to vlastně děje?

Vysvětlení je tentokrát velmi jednoduché, protože za všechno může jedna nenápadná chyba přímo v manuálu, kterému uživatelé většinou bez obav důvěřují. Konkrétně šlo o problém u funkce add_query_arg(), jejíž výsledek není automaticky escapován (aneb převeden na bezpečné znaky). V manuálu sice poznámka o nutnosti zabezpečení později uvedena byla, ale v ukázce zdrojového kódu (kteří si určitě všichni zkopírovali) už funkce esc_url() chyběla. Autoři pluginů tedy mnoho let postupovali podle špatného příkladu a bohužel to nedopadlo zrovna nejlépe (další podrobnosti naleznete zde).

Codex: Funkce add_query_arg()
Zdroj: WPtavern

 

S chybou přišel jako první Johannes Schmitt, který ji objevil v pluginu WordPress SEO a neveřejně ji nahlásil autorovi pluginu (Yoast), který ji začal hned řešit přímo s bezpečnostním týmem Sucuri, aby ověřil její zneužitelnost. A přišlo se na to, že jde o potenciální Cross-site scripting (XSS), který může být v případě pluginu WordPress SEO zneužit pouze přihlášeným administrátorem. Na první pohled tedy sice nic moc závažného, ale po objevení příčiny (chybný manuál) byli do problému zapojeni i vývojáři WordPressu, kteří začali kontrolovat i další známé pluginy.

Prozkoumáno bylo více než 300 pluginů z oficiálního adresáře a u mnoha z nich byla objevena bezpečnostní chyba. Někde méně nebezpečná, ale jinde třeba mnohem závažnější (podle způsobu použití funkce). Bohužel to však znamená, že u dalších (nekontrolovaných) pluginů se může problém vyskytovat také. Bezpečnostní problém byl včera hromadně oznámen a autoři postižených pluginů začali postupně vydávat opravné aktualizace.

Přehled postižených pluginů:

Výše uvedený přehled neznamená, že jsou zmiňované pluginy špatné nebo nekvalitní a měli byste se jich raději zbavit. Právě naopak. Pro všechny zmiňované pluginy totiž včera vyšla opravná verze a jakmile provedete aktualizaci (což je rozhodně doporučeno), tak bude zase vše v pořádku. A hlavně máte jistotu, že se o pluginy jejich autoři opravdu pečlivě starají. Problémy podobného rozsahu jsou sice již ze své podstaty dost závažné, ale pozitivní je alespoň postupná profesionalizace vývojářů pluginů, kteří problémy sami vyhledávají, identifikují a velmi rychle řeší. Jediné, co s tím můžeme jako uživatelé dělat, je okamžitá aktualizace (pokud k tomu nakonec nepřistoupí přímo vývojáři WordPressu).

A pokud nechcete každý den sledovat, zda se zrovna neobjevila nějaká bezpečnostní aktualizace používaného pluginu? Můžete povolit automaticky spouštěné aktualizace pluginů nebo využít nějaký informační plugin, např. Plugin vulnerabilities, který při zjištění nějakého problému automaticky pošle email s varováním (bohužel ještě neobsahuje aktuální problémy). Možná by ale měla být nějaká podobná informační služba zabudována přímo ve WordPressu. Pokud je totiž nějaký plugin odstraněn z oficiálního adresáře kvůli bezpečnostním problémům, tak se o tom jako uživatelé vlastně ani nedozvíte a bez obav ho dále používáte (nehledě upozornění na závažné bezpečnostní aktualizace).

A aby toho nebylo málo, tak nás patrně již dnes čeká bezpečnostní verze WordPressu 4.1.2 (a starších verzí). Aktualizace by se ale měla v tomto případě nainstalovat sama automaticky a můžete pouze očekávat informační email.

Ideální český hosting pro český WordPress je CZECHIA.CZ

3 komentáře u „Hromadné bezpečnostní problémy oblíbených pluginů“

  1. Bolo mi to podozrivé, že zrazu veľa aktualizácií je. A dnes som si našiel priamo v administrácií nejaké cudzie články na schválenie, ktoré boli spam od robotov a vôbec nemám šajny ako sa tam mohli dostať. Dúfam že sa to už nebude opakovať.

Napsat komentář

Vaše emailová adresa nebude zveřejněna. Vyžadované informace jsou označeny *