Twitter
Google plus
Facebook
Vimeo
Pinterest

Fluid Edge Themes

Blog

Home  /  #SafellyWordpress   /  Błąd XSS w ponad 200 wersjach WordPressa, dotyczy wersji od 3.7 do 4.9.1
błąd xss wordpress

Błąd XSS w ponad 200 wersjach WordPressa, dotyczy wersji od 3.7 do 4.9.1

W WordPressie w wersji 3.7 do 4.9.1 (dokładnie aż w 204 poszczególnych wersjach) pojawiła się dziura XSS.

W środku artykułu umieszczamy tabelę z podatnymi wersjami – wystarczy sprawdzić czy jest tam Twoja oraz do jakiej wersji trzeba zaktualizować, aby być bezpiecznym.

Na czym polega problem?

W module używanym przez WordPress o nazwie MediaElement znaleziono błąd umożliwiający przeprowadzenie ataku XSS. Więcej o samym ataku można poczytać na dole.

Błąd znajdował się bezpośrednio w samym WordPressie, w module korzystającym z przestarzałego Flasha. Dotyczy więc wszystkich użytkowników stron i e-sklepów opartych o WordPress. Moduł Flasha nie był potrzebny, dzięki czemu ekipa WP szybko go poprawiła i wydała aktualizację, którą należy zainstalować.

Jak zabezpieczyć swojego WordPressa?

Należy zainstalować aktualizację przygotowaną przez ekipę WordPressa. Poniżej przygotowaliśmy dla Was tabelę, w której sprawdzicie czy Wasz WordPress jest podatny na atak.

Instrukcja korzystania z tabeli tej podatności:

  1. Sprawdź wersję swojego WordPressa (tutaj instrukcja jak można to zrobić).
  2. Kliknij tutaj Ctrl+F, wpisz numer wersji i sprawdź czy podświetli Ci się w tabelce w pierwszej kolumnie.
  3. Jeżeli tak – wymagana jest jak najszybsza aktualizacja.
  4. W drugiej kolumnie znajdziesz wersję do której minimalnie zaktualizowanie WordPressa sprawi, że dziura zostanie załatana.

Sugerujemy aktualizację do najnowszej wersji WordPressa – 4.9.2 – jest ona najbezpieczniejsza i zawiera wiele poprawek użyteczności.

Sugerujemy aktualizację do najnowszej wersji WordPressa – 4.9.2 – jest ona najbezpieczniejsza i zawiera wiele poprawek użyteczności.

Szczegóły techniczne – jak działa XSS?

Atak XSS polega na nieautoryzowanym wyświetleniu pewnej treści w serwisie.

Samo wyświetlenie zabawnego tekstu może nie przeszkadzać. Problemem jest możliwość wklejenia dowolnego kodu HTML, CSS lub nawet JavaScript. W konsekwencji atakujący może np.:

  • Zbierać dane o odwiedzających;
  • Przysłonić całą stronę;
  • Przekierować ofiarę na inną stronę internetową;
  • Wymusić przekierowanie np. płatności czy logowania na stronę atakującego;
  • Pobrać dane autoryzacyjne (np. ciasteczka).

Oczywiście nie wszystkie te rzeczy są możliwe zawsze. Natomiast są to potencjalne możliwości ataków przeprowadzane przez XSS. Najpoważniejszym typem jest tzw. przechowywany XSS lub stored XSS. Oznacza on, że kiedy raz atakujący wprowadzi niebezpieczny kod na Twojej stronie to może on zostać wyświetlony ponownie Tobie lub Twoim użytkownikom, aż do jego wykrycia.

Pamiętaj zawsze o kopii bezpieczeństwa, z której łatwo możesz wyciągnąć czystą wersję i przywrócić ją – aby oczyścić stronę z ew. nieautoryzowanego kodu osób trzecich (jeśli posiadasz konto Safelly możesz przywrócić dowolną kopię Twojej strony jednym kliknięciem w swoim panelu).

Post a comment

Najnowsze wpisy