Wiele dodatków do Wordpressa wymaga natychmiastowej aktualizacji

O autorze

Łukasz Tkacz

Nieścisłość w oficjalnej dokumentacji Wordpressa dla deweloperów doprowadziła do tego, że wiele z wtyczek dla niego jest podatnych na atak. Na liście znajduje się przynajmniej 17 bardzo popularnych dodatków, jeżeli więc korzystacie z tego systemu zarządzania treścią, jak najszybciej zaktualizujcie je do najnowszych wersji.

Odkrycia dokonali pracownicy firmy Scrutinizer zajmujący się badaniem i testowaniem oprogramowania. O problemach została następnie powiadomiona firma Yoast zajmująca się tworzeniem wielu dodatków do Wordpressa – to m.in. wśród nich znaleziono podatność. Problem jest związany z funkcjami add_query_arg, a także remove_query_arg, z których mogą korzystać deweloperzy tworzący rozszerzenia dla popularnego CMSsa. Odpowiadają one za modyfikację ciągów zapytań w adresach, niestety nie były dostatecznie opisane w oficjalnej dokumentacji i w efekcie deweloperzy nie zastosowali odpowiednich zabezpieczeń.

Parametry przekazywane do wspomnianych funkcji nie są automatycznie filtrowane (a tak się wielu osobom wydawało), w efekcie możliwe jest wykonanie ataku XSS. Jak się okazało, w podobny, także niebezpieczny sposób funkcje wykorzystano i w innych popularnych dodatkach. Na liście zagrożonych znajdziemy m.in. pakiet Jetpack do kompleksowej modyfikacji Wordpressa, WPTouch oferujący wersję mobilną, Broken-Link-Checker, często stosowany All In One SEO, a także Related Posts for Wordpress. Lista zagrożonych dodatków jak na razie zawiera 17 pozycji, ale może być znacznie dłuższa – tak naprawdę każdy z dodatków używających tych funkcji może stanowić zagrożenie. Wszystko zależy od tego, jak zachowali się ich autorzy i czy samodzielnie testowali efekty działania funkcji udostępnianych w Wordpressie.

Ciekawostką jest to, że problem został zauważony dawno temu i był już sygnalizowany wcześniej: niektórzy z deweloperów natknęli się na niego już w 2013 roku. Mike Jolley z zespołu WooThemes opisał wtedy dobre praktyki stosowania wspomnianych funkcji nie zapominając o konieczności filtrowania danych. Niestety, nie każdy z programistów wiedział, że należy zrobić to samodzielnie. Najwyraźniej gotowe rozwiązania w niektórych przypadkach rozleniwiają deweloperów i wyłączają u nich konieczność pamiętania o niektórych aspektach.

Co możemy zrobić w tej sytuacji? Przede wszystkim powinniśmy wykonać aktualizację witryny, oraz wszystkich zainstalowanych na niej dodatków. Wtyczki zbędne i nieużywane wyłączmy i skasujmy. Jeżeli jakieś z nich nie są od dawna aktualizowane, warto poszukać darmowych zamienników. Możemy także ręcznie przeszukać pliki na serwerze w poszukiwaniu wspomnianych funkcji i sprawdzić, czy są zabezpieczone. Dokumentacja Wordpressa została już poprawiona i informuje programistów, że powinni dodatkowo korzystać z funkcji esc_url, która zabezpiecza adresy i usuwa z nich niebezpieczne ciągi znaków.