8 népszerű WordPress Plugin, amit előszeretettel törnek fel a hackerek

Egy új jelentés rávilágít arra, hogy egyre növekszik a WordPress pluginok ellen elkövetett támadások száma, és főleg a népszerűbb kiegészítőkben rejlő hibákat használják ki a támadók.

A múlt hónapban a WordPress oldalak ellen elkövetett támadások során megpróbálták átvenni az irányítást az oldal felett. A támadók részben a most befoltozott bugokat használták ki, részben zero-day sebezhetőségeket kerestek a friss plugin verziókban.

Ha az alábbi felsoroltak közül bármelyik plugint használják, érdemes megnézni, hogy érkezett-e hozzá frissítés, és feltelepíteni azt.

Duplicator (több, mint 1 millió telepítéssel)

A Duplicator egy olyan plugin, melynek segítségével az oldal tulajdonosai exportálni tudják a tartalmukat. Egy hiba miatt azonban a támadók is letudták menteni az oldal tartalmát, az adatbázis hozzáférési adatokkal együtt. A hiba az 1.3.28 verzióban javításra került.

ThemeGrill Demo Importer (200 ezer telepítés)

Erről már korábban is volt szó. A pluginban rejlő hiba miatt a támadók át tudták venni az irányítást az adminisztrátori fiók felett, vagy akár a teljes oldalt le tudták törölni. Az 1.6.3 verzióban javításra került a hiba.

Profile Builder Plugin (65 ezer telepítés)

A hiba érintette az ingyenes és a fizetős változatot is. Ennek során a támadók adminisztrátori fiókot tudtak regisztrálni az oldalra. A hiba február 10-én javítva lett.

Flexible Checkout Fields for WooCommerce (20 ezer telepítés)

Egy zero-day sebezhetőség miatt, olyan XSS támadást tudtak végre hajtani, melynek során az oldal beengedte a támadókat az adminisztrátori vezérlőpultra. A sebezhetőséget kihasználó támadások február 26-án indultak, a hibát azóta patchelték.

ThemeREX Addons

Szintén egy zero-day sebezhetőség miatt, a támadók jogosultatlanul tudtak adminisztrátori fiókot regisztrálni. A sebezhetőséget kihasználó támadások február 18-án indultak, a hibát azóta se javították, így az ezt használó oldalaknak azt javasolják, hogy töröljék a plugint.

Async Javascript (100 ezer telepítés), 10Web Map Builder for Google Maps (20 ezer telepítés), Modern Events Calendar Lite (40 ezer telepítés)

Három egymáshoz hasonló zero-day sebezhetőség van a pluginokban. A fejlesztők dolgoznak a hiba javításán.

Forrás