Korzystasz z WordPressa? Jak najszybciej zaktualizuj wtyczkę FancyBox
Jeżeli korzystacie z jednego z bardzo popularnych dodatków dla platformy Wordpress, powinniście jak najszybciej go zaktualizować – plugin FancyBox for WordPress jest obecnie wykorzystywany do przeprowadzania ataków na witryny z niego korzystające. Wszystko to za sprawą podatności, która pozwala na wstrzyknięcie szkodliwego kodu.
Wspomniany plugin jest wykorzystywany przez ponad pół miliona witryn na całym świecie. Dzięki niemu możemy wykorzystać w Wordpressie skrypt FancyBox zbudowany w oparciu o bardzo popularną, javascriptową bibliotekę jQuery. Pozwala on na wyświetlanie na stronie grafik, zawartości z kodem HTML, a także multimediów w bardzo atrakcyjnej wizualnie formie – zamiast otwierać je w zupełnie osobnej karcie przeglądarki, załączone miniaturki obrazów mogą być ładowane w tle i wyświetlane nad oryginalną zawartością strony. Wykorzystywana jest w tym przypadku technika Lightbox, która powoduje, że tego typu dodatkowe treści przypominają nieco wyświetlanie okien dialogowych, jakie znamy z oprogramowania komputerowego.
Problemy zostały wykryte przez specjalistów bezpieczeństwa z firmy Sucuri. Ze względu na popularność dodatku sprawy nie można było zbagatelizować i wydano oficjalne ostrzeżenie o luce zero-day. W wyniku tej podatności atakujący mogą wstrzyknąć do strony złośliwy kod np. iframe, które będzie przekierowywało użytkowników do zupełnie innych witryn. Do właśnie tego doszło w wielu przypadkach, co dało się zauważyć po lawinowo rosnących statystykach infekcji witryn. Przekierowanie może prowadzić do np. stron próbujących wyłudzić informacje, lub zawierających szkodliwe oprogramowanie. Zaraz po ogłoszeniu ostrzeżenia plugin został tymczasowo usunięty z bazy dodatków dla Wordpressa. Obecnie znajdziemy tam już jego zaktualizowaną wersję, która jest poprawiona i nie pozwala wykorzystywać stron do oszukiwania ich czytelników. Jeżeli strona zawiera już złośliwy kod, to nowa wersja zablokuje jego wykonywanie.
Zalecamy jak najszybszą aktualizację FancyBox for Wordpress. Zrobicie to po zalogowaniu do panelu administracyjnego swojej witryny. Przy odpowiedniej konfiguracji serwera wtyczki są aktualizowane zdalnie, bez konieczności łączenia się z FTP. Przypominamy, że Wordpress to od dawna system zarządzania treścią służacy nie tylko do stworzenia własnego bloga, ale bardzo elastyczna, otwarta platforma pozwalająca na budowę najróżniejszego rodzaju stron internetowych. Korzysta z niego większość Internetu, w tym np. oficjalna strona Białego Domu – znalezienie luki w Wordpressie, lub w jakimś z popularnych dodatków do niego powoduje, że z miejsca narażone są tysiące witryn.
