Veszélyes WordPress sérülékenység: 1,3 millió weboldalt érint!

A WordPress népszerűségével párhuzamosan sajnos a biztonsági problémák is növekednek. Legutóbb három, széles körben használt fájlkezelő plugin került a figyelem középpontjába, amelyekben felfedezett sebezhetőség miatt akár 1,3 millió weboldal is veszélybe kerülhet. Az érintett bővítmények lehetővé teszik a jogosulatlan támadók számára, hogy bizonyos fájlokat töröljenek, ami súlyos következményekkel járhat a weboldalak üzemeltetői számára.

A sebezhetőség részletei

A probléma gyökere az elFinder fájlkezelő régi, elavult verzióiban rejlik, különösen a 2.1.64-es és az alatti kiadásokban. Ezek a verziók egy úgynevezett Directory Traversal sebezhetőséget tartalmaznak, amely lehetővé teszi a támadók számára, hogy manipulálják a fájlok elérési útját, így elérhetik a megcélzott könyvtáron kívüli fájlokat is. Például, ha a támadó olyan kéréseket küld, mint például example.com/../../../../, akkor a fájlkezelő képes lehet olyan fájlok törlésére, amelyek nem tartoznak a megengedett könyvtárhoz.

Affected Plugins

A Wordfence biztonsági cég három konkrét plugint emelt ki, amelyek érintettek ebben a sebezhetőségben:

1. **File Manager WordPress Plugin** – 1 millió telepítéssel
2. **Advanced File Manager – Ultimate WP File Manager and Document Library Solution** – 200,000+ telepítéssel
3. **File Manager Pro – Filester** – 100,000+ telepítéssel

Az érintett bővítmények közül a Wordfence figyelmeztetése szerint a sebezhetőség kihasználásához nem szükséges hitelesítés, de csak akkor, ha a weboldal üzemeltetője a fájlkezelőt nyilvánosan elérhetővé tette. Ez bizonyos mértékig csökkenti a kihasználás lehetőségét. Azonban két plugin esetében a változásnaplók alapján a támadónak legalább egy „előfizető” szintű hitelesítéssel kell rendelkeznie, ami a legalacsonyabb szintű weboldal jogosultság. Ha a sebezhetőséget kihasználják, akkor tetszőleges fájlok törlésére van lehetőség.

Mit tehetnek a felhasználók?

A WordPress pluginok felhasználóinak javasolt, hogy mielőbb frissítsenek a legújabb verziókra, hogy megvédjék weboldalaikat a potenciális támadásoktól. A frissítések gyakran tartalmaznak biztonsági javításokat, amelyek segíthetnek a sebezhetőségek kiküszöbölésében. Emellett érdemes lehet a fájlkezelők beállításait is átnézni, hogy azok a lehető legbiztonságosabban működjenek.

Vélemények a szakértőtől

Megkérdeztük Császár Viktor SEO szakértőt a legújabb WordPress sebezhetőségről, és az alábbiakat mondta:

„A legújabb felfedezés rámutat arra, hogy a weboldalak biztonsága rendkívül fontos, és a bővítmények frissítése nem csupán egy javasolt lépés, hanem kötelező. A weboldal üzemeltetőknek tudatosítaniuk kell, hogy minden nem frissített plugin potenciális kockázatot jelent. Az elérhető legfrissebb verziók alkalmazásával nemcsak a biztonságot növelhetjük, hanem a weboldal teljesítményét is javíthatjuk. Az ilyen sebezhetőségek folyamatos figyelemmel kísérése és a megfelelő lépések megtétele elengedhetetlen a digitális világban.”

További információkért látogasson el Császár Viktor weboldalára: Császár Viktor SEO szakértő.

Forrás: SearchEngineJournal.com