XSS-уязвимость в сотнях плагинов для WordPress
Несколько дней назад была опубликована информация о множественных уязвимостях во многих популярных плагинах для WordPress — Security Advisory: XSS Vulnerability Affecting Multiple WordPress Plugins. Причина уязвимости — некорректное использование нескольких функций WordPress API, что дает возможность использовать атаки типа XSS в отношении множества вэбсайтов, использующих эту популярную CMS.
Как показало исследование Sucuri, уязвимость содержится во многих популярных плагинах:
- Jetpack
- WordPress SEO
- Google Analytics by Yoast
- All In one SEO
- Gravity Forms
- Multiple Plugins from Easy Digital Downloads
- UpdraftPlus
- WP-E-Commerce
- WPTouch
- Download Monitor
- Related Posts for WordPress
- My Calendar
- P3 Profiler
- Give
- Broken-Link-Checker
- Ninja Forms
Обратите внимание — это далеко не полный список. Количество плагинов, которые требуют исправления и обновления, исчисляется сотнями.
Что необходимо сделать?
- Убедитесь, что у Вас настроено и корректно работает резервное копирование. Вы можете использовать как наш сервис, так и любой другой вариант (например, мы писали раньше о хранении бэкапов в dropbox). Регулярно проверяйте целостность резервных копий!
- Обновите WordPress и плагины. Проверяйте наличие обновлений ежедневно — по крайней мере, в течение ближайших 1-2 недель, когда разработчики будут выпускать исправленные версии
- Обновите темы WordpPress. Темы для WP также могут использовать конструкции в коде, которые могут быть использованы для XSS-атак
- Затрудните взломщикам жизнь — используйте WAF (mod_security для Apache, naxsi для nginx и подобные решениея
- Ограничьте доступ к директории wp-admin только для определенных IP, с которых обеспечиваетя администрирование сайта
- Удалите неиспользуемые плагины и темы. Если какой-либо плагин или тема не обновляется длительное время разработчиком, то следует рассмотреть вопрос об использовании альтернативы
Дополнительная информация об уязвимости доступна на множестве профильных ресурсов: