Έξι ευπάθειες ασφαλείας που διόρθωσε η έκδοση 4.7.5 του WordPress

To WordPress αποτελεί πλέον μια από τις πιο διαδεδομένες πλατφόρμες για να δημιουργήσει κανείς το blog ή το site του, με εκατομμύρια εγκατάστεις σε όλο τον κόσμο. Η έκδοση 4.7 του WordPress, εμφανίστηκε το Δεκέμβριο του 2016 και έγινε download περίπου 88.000.000 φορές. Όπως όλες οι εφαρμογές ανοιχτού κώδικα έτσι και το WordPress παρουσιάζει κενά ασφαλείας και ευπάθειες, με αποτέλεσμα συχνά τα WordPress sites να γίνονται στόχος επιθέσεων. Για να προστατεύσετε το site σας θα πρέπει να το διατηρείτε πάντα ενημερωμένο στην τελευταία έκδοση της εφαρμογής.

Η πλέον πρόσφατη έκδοση, 4.7.5, διορθώνει έξι διαφορετικά ζητήματα ασφαλείας. Ας τα δούμε αναλυτικά στην συνέχεια:

1. Σφάλματα cross-site scripting (XSS) τα οποία σχετίζονται με την επιλογή προσαρμογής και επεξεργασίας του website σας (wordpress customizer).

2. Ακόμα ένα σφάλμα XSS εντοπίστηκε στο ανέβασμα πολύ μεγάλων αρχεία στην εφαρμογή.

3. Επιδιορθώθηκε η ευπάθεια που αφορούσε το Cross Site Request Forgery (CSRF) στη λειτουργία form FTP / SSH του WordPress, η οποία είναι γνωστή από τον Ιούλιο του 2016. Η συγκεκριμένη ευπάθεια μπορεί να χρησιμοποιηθεί κακόβουλα για την υπερκάλυψη των ρυθμίσεων σύνδεσης FTP ή SSH σε ένα μη αναβαθμισμένο WordPress site. Συγκεκριμένα ο επιτιθέμενος έχει τη δυνατότητα να παραπλανήσει τον διαχειριστή του site, κατευθύνοντάς τον να εισάγει τα στοιχεία της FTP / SSH σύνδεσης που επιθυμεί να υλοποιήσει, σε host ιδοκτησίας του πρώτου, χωρίς αυτό να γίνει εύκολα αντιληπτό. Έπειτα η υποκλοπή των κωδικών είναι εύκολη, αφού ο διαχειριστής του ιστοτόπου τους στέλνει ο ίδιος εν αγνοία του.

Τα 3 επόμενα προβλήματα που διορθώθηκαν σχετίζοντα με τον μηχανισμό XML-RPC (Remote Procedure Calls) του WordPress - Το XML-RPC υπό κανονικές συνθήκες χρησιμοποιείται μέσα στο WordPress ως μηχανισμός για τους διαχειριστές περιεχομένου, προκειμένου να κάνουν pingback στις αναρτήσεις τους. Μέσω του pingback μπορούν να παρακολουθούν με ποια links συνδέεται το περιεχόμενο τους. Τα προβλήματα που αφορούν το XML-RPC, συγκαταλέγονται στις πιο επικίνδυνες ευπάθειες μιας που μπορούν να επιτρέψουν σε ένα πιθανό εισβολέα να χρησιμοποιήσει το WordPress ως πλατφόρμα επιθέσεων σε άλλους διαδικτυακούς στόχους. Για παράδειγμα, τον Μάρτιο του 2014, λόγω μιας παρόμοιας ευπάθειας πραγματοποιήθηκε μαζική επίθεση DDoS, χρησιμοποιώντας σαν βάση περισσότερα από 162.000 WordPress sites.

Εάν δεν έχετε προχωρήσει ακόμη σε αναβάθμιση της έκδοσης του WordPress site σας, καλό θα ήταν να το κάνετε το συντομότερο δυνατό. Οι ειδικοί της IP.GR είναι πάντα στη διάθεσή σας για να σας κατευθύνουν και να σας παρέχουν χρήσιμες συμβουλές για την ασφάλεια του site σας!