Hackerii ar putea prelua controlul unui blog WordPress printr-un singur comentariu
:format(webp):quality(80)/https://playtech.ro/wp-content/uploads/2015/04/hacker-blog-wordpress-800x451.jpg)
Până ieri, foarte multe bloguri care utilizau WordPress erau vulnerabile în fața atacurilor. Printr-un singur comment, hackerii puteau prelua controlul site-ului.
O nouă vulnerabilitate a blogurilor care se folosesc de WordPress a fost scoasă în evidență de curând. Din câte se pare, cu ajutorul unui comentariu suficient de lung, o persoana rău-intenționată putea prelua controlul unui blog WordPress. Vulnerabilitatea a fost descoperită de către un angajat al unei companii finlandeze de securitate.
WordPress este folosit la acest moment de nu mai puțin de o cincime din totalitatea website-urilor, conform site-ului Motherboard. Comentariul trebuia să aibă aproximativ 65.000 de caractere, ceea ce ar însemna o dimensiune de 64kb. Pentru ca atacul să poată fi efectuat, comentariul trebuia să conțină un anumit cod Java, iar blogul trebuia să utilizeze sistemul de comentarii standard de pe WordPress.
:format(webp):quality(80)/http://static2.playtech.ro/wp-content/uploads/2015/04/bsplayer-bitdefender-hack.jpg)
:format(webp):quality(80)/https://playtech.ro/wp-content/uploads/sfm/2024/11/1561646252/911baeb6af2307a79f3f48a635545131-t.jpg)
:format(webp):quality(80)/https://playtech.ro/wp-content/uploads/sfm/2024/11/1561646252/0ea885783eb5a6771523dee70812aa56-t.jpg)
În cazul în care comentariul era suficient de lung, acesta era truncat, iar codul urma să fie executat. Atacul era inițiat în momentul în care administratorul site-ului vedea comentariul. Atunci, hackerul putea prelua controlul, având chiar posibilitatea de a schimba parola. Vulnerabilitățile de acest tip sunt cunoscute drept ”cross-site scripting” și au afectat majoritatea versiunilor de WordPress, printre care și ultima. Ieri, însă, a fost scoasă o nouă versiune care rezolvă această problemă, iar upgrade-ul este recomandat tuturor celor care folosesc platforma.
Cei care folosesc plugin-ul Aksimet nu au fost însă expuși unor astfel de atacuri, așa cum reiese din comunicatul WordPress către Motherboard. Este de menționat viteza cu care problema a fost rezolvat, având în vedere că în cazul unui alt bug, descoperit în 2014, companiei i-a luat nu mai puțin de 14 luni pentru a lansa un patch.
:format(webp):quality(80)/https://playtech.ro/wp-content/uploads/sfm/2024/11/1646818613/8e05c7a25c8e77f81857e24c5412c24d-o.png)
:format(webp):quality(80)/https://playtech.ro/wp-content/uploads/sfm/2024/09/1610191967/d9806b413fbfb592b9953802ca82375c-o.jpg)
:format(webp):quality(80)/https://playtech.ro/wp-content/uploads/sfm/2024/11/1667480684/c9f20d82e4f5d106c130d935f4eb9831-o.jpg)
:format(webp):quality(80)/https://playtech.ro/wp-content/uploads/sfm/2024/10/1722424269/d1ac51b03f457701e8844549221cd4c4-o.jpg)
:format(webp):quality(80)/https://playtech.ro/wp-content/uploads/sfm/2024/11/1683783849/bd4d087c6fdc0f03a6b55224c5e845dd-o.png)
:format(webp):quality(80)/https://playtech.ro/wp-content/uploads/sfm/2024/10/1646818613/f3353fe7cac1d01744ff7db30f3a24e4-o.jpg)
:format(webp):quality(80)/https://playtech.ro/wp-content/uploads/sfm/2024/10/1716823089/02b62acc28cd933c2b49b44ca24505b2-o.png)
:format(webp):quality(80)/https://playtech.ro/wp-content/uploads/sfm/2024/11/1561646252/911baeb6af2307a79f3f48a635545131-o.jpg)
:format(webp):quality(80)/https://playtech.ro/wp-content/uploads/sfm/2024/11/1561646252/0ea885783eb5a6771523dee70812aa56-o.jpg)
:format(webp):quality(80)/https://playtech.ro/wp-content/uploads/sfm/2024/10/1610191967/3b240d75c1674d78715e15ccdebc237f-o.jpg)
:format(webp):quality(80)/https://playtech.ro/wp-content/uploads/sfm/2024/11/1646818613/d7f4e24258e595673292dd6366ddf1c1-o.jpg)