Недавно је откривен XSS (Cross Site Scripting) пропуст у две функције које се често користе у развоју за Вордпрес: add_query_arg() и remove_query_arg(). Функције се користе за додавање и модификовање захтева у URL-овима.

Пропуст је пронашао Joost из Yoast у њиховом Вордпрес SEO плагину, који је након тога закрпио и обавестио о детаљима пропуста.

Разлог за пропуст је Вордпрес документација која је погрешно објашњавала како се функције користе и то је имало за резултат да аутори плагина користе функције на несигуран начин.

Ко је на удару?

Сви који користе неки од наведених Вордпрес додатака су угрожени:

• Jetpack
• WordPress SEO
• Google Analytics by Yoast
• All In one SEO
• Gravity Forms
• Додаци од Easy Digital Downloads
• UpdraftPlus
• WP-E-Commerce
• WPTouch
• Download Monitor
• Related Posts for WordPress
• My Calendar
• P3 Profiler
• Give
• Broken-Link-Checker
• Ninja Forms

Угрожених додатака сигурно има још, тако да ако користите Вордпрес, улогујте се у ваш Вордпрес админ панел и ажурирајте све додатке који имају доступан update. Такође, ажурирајте и сам Вордпрес. Као и увек, пре ажурирања саветујемо да направите бекап вашег Вордпреса. Ако користите аутоматска ажурирања самог Вордпреса, до сада сте вероватно већ заштићени, што се тиче самог Вордпреса. Ако не користите аутоматска ажурирања, требало би да користите, управо због ситуација као што је ова. Вордпрес је популаран и сви траже пропусте. Као некада за Joomla CMS. Тако да, чувајте се и урадите све што можете са ваше стране да се заштитите.

Нисте сигурни да ли ваши додаци користе ове функције?

Ако нисте сигурни да ли неки плагин користи наведене функције, оно што можете урадити је следеће:

• Архивирајте ваш /wp-content/plugins фолдер у .zip архиву
• Скините га код себе на рачунар и распакујте га
• Кроз Total Commander (или било шта са напреднијом претрагом) претражите све фајлове унутар фолдера за:
• add_query_arg или remove_query_arg
• У Total Commander-у пречица за ову претрагу је ALT+F7.
• Резултат ће приказати све плагинове који користе ове функције. Ако сте их ажурирали, све је ок. Ако нисте и не постоји update за њих, склоните их за сада.

Савети за заштиту:

• Закрпите. Будите увек ажурирани на последњу верзију.
• Ограничите. Ограничите приступ WP админ панелу само са ваших ИП адреса. Користите само неопходне плaгинове.
• Пратите. Пратите логове и упознајте се са захтевима који долазе до вашег сајта.
• Тражите. Ако се пропуст искористи, направите систем који ће вас обавестити о томе како бисте што пре пронашли проблем.
• Чистите. Када се проблем деси, детаљно очистите ваш Вордпрес, како се ситуација не би поновила.
• Закомпликујте. Комплексне лозинке, 2-factor аутентикација, скривање WP-login-а.

Јавите се ако треба помоћ.