Nedavno je otkriven XSS (Cross Site Scripting) propust u dve funkcije koje se često koriste u razvoju za WordPress: add_query_arg() i remove_query_arg(). Funkcije se koriste za dodavanje i modifikovanje zahteva u URL-ovima.

Propust je pronašao Joost iz Yoast u njihovom WordPress SEO pluginu, koji je nakon toga zakrpio i obavestio o detaljima propusta.

Razlog za propust je WordPress dokumentacija koja je pogrešno objašnjavala kako se funkcije koriste i to je imalo za rezultat da autori plugina koriste funkcije na nesiguran način.

Ko je na udaru?

Svi koji koriste neki od navedenih WordPress dodataka su ugroženi:

• Jetpack
• WordPress SEO
• Google Analytics by Yoast
• All In one SEO
• Gravity Forms
• Dodaci od Easy Digital Downloads
• UpdraftPlus
• WP-E-Commerce
• WPTouch
• Download Monitor
• Related Posts for WordPress
• My Calendar
• P3 Profiler
• Give
• Broken-Link-Checker
• Ninja Forms

Ugroženih dodataka sigurno ima još, tako da ako koristite WordPress, ulogujte se u vaš WP admin panel i ažurirajte sve dodatke koji imaju dostupan update. Takodje, ažurirajte i sam WordPress. Kao i uvek, pre ažuriranja savetujemo da napravite backup vašeg WordPress-a. Ako koristite automatska ažuriranja samog WordPress-a, do sada ste verovatno već zaštićeni, što se tiče samog WordPressa. Ako ne koristite automatska ažuriranja, trebalo bi da koristite, upravo zbog situacija kao što je ova. WordPress je popularan i svi traže propuste. Kao nekada za Joomla CMS. Tako da, čuvajte se i uradite sve što možete sa vaše strane da se zaštitite.

Niste sigurni da li vaši dodaci koriste ove funkcije?

Ako niste sigurni da li neki plugin koristi navedene funkcije, ono što možete uraditi je sledeće:

• Arhivirajte vaš /wp-content/plugins folder u .zip arhivu
• Skinite ga kod sebe na računar i raspakujte ga
• Kroz Total Commander (ili bilo šta sa naprednijom pretragom) pretražite sve fajlove unutar foldera za:
• add_query_arg ili remove_query_arg
• U Total Commanderu prečica za ovu pretragu je ALT+F7.
• Rezultat će prikazati sve pluginove koji koriste ove funkcije. Ako ste ih ažurirali, sve je ok. Ako niste i ne postoji update za njih, sklonite ih za sada.

Saveti za zaštitu:

• Zakrpite. Budite uvek ažurirani na poslednju verziju.
• Ograničite. Ograničite pristup WP admin panelu samo sa vaših IP adresa. Koristite samo neophodne pluginove.
• Pratite. Pratite logove i upoznajte se sa zahtevima koji dolaze do vašeg sajta.
• Tražite. Ako se propust iskoristi, napravite sistem koji će vas obavestiti o tome kako biste što pre pronašli problem.
• Čistite. Kada se problem desi, detaljno očistite vaš WordPress, kako se situacija ne bi ponovila.
• Zakomplikujte. Kompleksne lozinke, 2-factor autentikacija, skrivanje WP-logina.

Javite se ako treba pomoć.