Vo veľkom ju používajú aj Slováci. Známa služba hlási vážnu bezpečnostnú chybu, toto musíš urobiť
Pre používateľov WordPressu prišla ďalšia výstraha: plugin Really Simple Security (predtým známy ako Really Simple SSL) obsahuje kritickú bezpečnostnú chybu, ktorá môže útočníkom umožniť získať plný administrátorský prístup k postihnutým webom.
Táto zraniteľnosť sa týka tak bezplatnej, ako aj platenej verzie pluginu, pričom podľa odhadov je nainštalovaný na viac ako 4 miliónoch webstránok. Na tému upozornili bezpečnostní experti z Wordfence.
Čo presne sa stalo?
Zraniteľnosť umožňuje obísť autentifikáciu a získať prístup k akémukoľvek používateľskému účtu, vrátane administrátorského. Tento problém sa týka funkcie dvojfaktorovej autentifikácie (2FA), ktorá je však v plugine predvolene vypnutá.
Chyba spočíva v nesprávnom spracovaní užívateľských dát, konkrétne funkciou „check_login_and_get_user“. Aj keď je parameter prístupového tokenu (nonce) neplatný, proces autentifikácie pokračuje a neoverený útočník môže získať prístup na základe jednoduchého požiadavku cez REST API.
Wordfence vyhodnotil túto zraniteľnosť ako kritickú s hodnotením CVSS 9.8, čo predstavuje najvyššiu úroveň rizika.
Rýchla reakcia vývojárov
Keď tím Wordfence odhalil tento problém 6. novembra 2024, okamžite kontaktoval vývojárov pluginu. Tí vydali opravy pre prémiové verzie 12. novembra a pre bezplatnú verziu 14. novembra. Aby sa minimalizovalo riziko, WordPress.org tím nasadil nútenú aktualizáciu na verziu 9.1.2 pre všetky weby používajúce zraniteľnú verziu (9.0.0 až 9.1.1.1).
Napriek tomu sa odporúča manuálne skontrolovať, či je plugin aktualizovaný. Weby bez platnej licencie môžu mať vypnuté automatické aktualizácie, čo ich vystavuje zvýšenému riziku.
Aké kroky treba podniknúť?
Ak používaš Really Simple Security, je nevyhnutné:
- Aktualizovať plugin na verziu 9.1.2 alebo vyššiu.
- Skontrolovať, či je dvojfaktorová autentifikácia správne nastavená. Ak ju nepotrebuješ, zváž jej vypnutie.
- Vykonať bezpečnostný audit webu. Zameraj sa na neautorizované prístupy a zmeny v konfigurácii.
Ak si správcom viacerých stránok, pouvažuj nad implementáciou firewallu, akým je Wordfence, ktorý poskytuje ochranu pred podobnými útokmi. Prémioví používatelia Wordfence boli chránení už od 6. novembra, zatiaľ čo používatelia bezplatnej verzie získajú túto ochranu až 6. decembra 2024.
Nebezpečenstvá číhajú všade
Táto situácia ukazuje, aké riziká so sebou prináša rýchla integrácia nových funkcií do bezpečnostných pluginov bez dostatočného testovania. Hoci dvojfaktorová autentifikácia patrí medzi najlepšie praktiky ochrany, jej nesprávna implementácia môže predstavovať ešte väčšie nebezpečenstvo.
Preto by si mal pri výbere bezpečnostných riešení dôkladne preveriť reputáciu vývojárov a frekvenciu vydávania opráv. Okrem toho by WordPress komunita mala tlačiť na zodpovedné a dôsledné testovanie nových funkcií ešte pred ich nasadením.
Ak chceš zabezpečiť svoje weby, neváhaj investovať čas aj do manuálneho overovania používaných pluginov, lebo aj najsilnejšia reťaz je len taká silná, ako jej najslabší článok.
Ďakujeme, že čítaš Fontech. V prípade, že máš postreh alebo si našiel v článku chybu, napíš nám na redakcia@fontech.sk.
Teraz čítajú
Ľudia zúria a Microsoft ich ignoruje. Windows dostal najviac nenávidenú vec (+ako sa jej zbaviť)
POZOR: Pripraví ťa úplne o všetko a šíri sa „rýchlosťou svetla“. Jeden z najhorších vírusov vo veľkom terorizuje aj Slovákov (+na čo si dať pozor)
„Hračkárstvo hackerov“. Tieto (ne)legálne gadgety si objednáš z internetu aj na Slovensko
Slovák kričí, že mu ubližujú cez Wi-Fi router. Štát mu má zaplatiť odškodné 300 000 €
Hackeri majú nový trik, ako ti ukradnú heslo. Ak toto spraví tvoj prehliadač, okamžite konaj
- 24 hod
- 48 hod
- 7 dní
-
- Výnimočný motor spasí elektromobily. Mercedes ukázal unikátny pohon, ktorý rozdrví trh
- Európske automobilky sa topia v kríze. Obviňujú EÚ z „absurdného“ zákazu, pritom za tým stojí niečo úplne iné
- Obchodná vojna zažehnaná. Dohoda EÚ s Čínou je na spadnutie, ceny elektromobilov dostanú nové pravidlá
- Nikto ich nechce. Najväčšia autopožičovňa predáva 30-tisíc elektromobilov, dostali ju do miliardového mínusu
- Koloseum sa trasie smiechom. „Gladiátor z Wishu“ vyzerá otrasne, slúži len na jedinú vec
-
- Výnimočný motor spasí elektromobily. Mercedes ukázal unikátny pohon, ktorý rozdrví trh
- Slováci o nich vôbec netušia. Expert prezradil tajné triky, ktorými ušetríš stovky eur na energiách
- Elektromobil od Xiaomi popiera fyziku. Prekonal rýchlostný rekord a dostane technológiu ako zo sci-fi
- Koloseum sa trasie smiechom. „Gladiátor z Wishu“ vyzerá otrasne, slúži len na jedinú vec
- Nemá jedinú chybu. Slávny výrobca motoriek ukázal elektrický stroj so slušným dojazdom
-
- Vyrobili ich automobilky, ktoré už neexistujú. Toto je TOP 8 áut, ktoré sa navždy zapísali do histórie
- Výnimočný motor spasí elektromobily. Mercedes ukázal unikátny pohon, ktorý rozdrví trh
- Nový sci-fi seriál je unikát. Keanu Reeves a iné herecké hviezdy odhalili novinku, aká tu ešte nebola (+trailer)
- Vypúšťa roj zbraní. Čína ukázala 10 tonovú „matku dronov“, ktorá vydesila celý Západ
- Konečne plug-in hybrid, ktorý dáva zmysel. Novú Škodu sme si totálne zamilovali (RECENZIA)
Popredný výrobca batérií v kríze. Plánuje ochranu pred veriteľmi, ale pomoc neprichádza
Boeing 747 neodletel. Toto je príbeh prvej veľkej havárie kráľovnej nebies
Záhada v Baltskom mori: Výpadky podmorských káblov vyvolali otázky a zvedavosť
Slovensko reaguje na tragický incident. Polícia sa púšta do zásadných zmien
Drahé metódy nefungujú. Slovensko skúma biodegradáciu večných chemikálií
Copyright© 2024 by Startitup, s. r. o. Všetky práva vyhradené
