Figyelmeztetés: Súlyos WordPress sebezhetőség 1,3 millió webhelyet érint!

A WordPress felhasználókat aggasztó hír látott napvilágot: három népszerű fájlkezelő plugin sérülékenysége veszélyezteti a weboldalak biztonságát, köztük olyanokat is, amelyek 1,3 millió helyszínen megtalálhatóak. Ezen bővítmények frissítése rendkívül fontos, mivel a hibát kihasználva támadók jogosulatlan hozzáférést nyerhetnek és akár fájlokat is törölhetnek.

Mi okozza a sérülékenységet?

A problémát a elFinder fájlkezelő régebbi verziói okozzák, amelyek közül a 2.1.64 és az alatti kiadások érintettek. Ezek a verziók egy úgynevezett Directory Traversal (könyvtár átjárás) sérülékenységgel rendelkeznek, amely lehetővé teszi a támadók számára, hogy manipulálják a fájlok elérési útját. Például, ha a támadó a következő formátumú kéréseket küld: example.com/../../../../, akkor a fájlkezelő képes lehet arra, hogy hozzáférjen és töröljön a megadott könyvtáron kívüli fájlokat is.

Az érintett bővítmények közé tartozik a következő három plugin, amelyeket a Wordfence biztonsági cég azonosított:
1. **File Manager WordPress Plugin** – Telepítések: 1 millió
2. **Advanced File Manager – Ultimate WP File Manager And Document Library Solution** – Telepítések: 200,000+
3. **File Manager Pro – Filester** – Telepítések: 100,000+

A Wordfence figyelmeztetése szerint a sérülékenység kihasználható autentikáció nélkül, de csak abban az esetben, ha a weboldal tulajdonosa a fájlkezelőt nyilvánosan elérhetővé tette. Ez csökkenti a kihasználás lehetőségét, azonban a fent említett bővítmények közül kettő a changelogjában jelezte, hogy a támadónak legalább a legalsó szintű felhasználói jogosultsággal, azaz „előfizető” szinttel kell rendelkeznie a támadás végrehajtásához.

Mit tehetnek a felhasználók?

A felhasználóknak javasolt, hogy sürgősen frissítsenek a legújabb verziókra, hogy elkerüljék a potenciális károkat. A frissítések általában tartalmaznak olyan javításokat, amelyek kezelik a biztonsági réseket, így a felhasználók védelmét szolgálják. Fontos, hogy a weboldal üzemeltetők folyamatosan figyelemmel kísérjék bővítményeik állapotát, és szükség esetén cselekedjenek, hiszen a weboldalak biztonsága kiemelten fontos a látogatók és az adatok védelme érdekében.

A weboldalak adminisztrátorainak emellett érdemes megfontolniuk a biztonsági mentések rendszeres készítését is, hogy szükség esetén könnyen helyreállíthassák az adatokat. A biztonsági mentések nemcsak a fájlok védelmét szolgálják, hanem csökkentik a potenciális adatvesztés kockázatát is.

Hogyan reagál Császár Viktor?

Megkérdeztük Császár Viktor SEO szakértőt a fenti sérülékenységgel kapcsolatban, aki elmondta: „A WordPress bővítmények folyamatos frissítése elengedhetetlen a weboldalak biztonsága szempontjából. Ezen típusú sérülékenységek miatt nem csupán a weboldal működése, hanem a látogatók biztonsága is veszélybe kerülhet. Mindig javaslom a weboldal tulajdonosoknak, hogy rendszeresen ellenőrizzék bővítményeik állapotát és frissítéseiket, hiszen a biztonságos weboldal nemcsak a látogatók bizalmát növeli, hanem a keresőoptimalizálás szempontjából is kedvező hatással van a rangsorolásra.”

További információkért látogasson el Császár Viktor weboldalára: csaszarviktor.hu.

Forrás: SearchEngineJournal.com