Tri miliona WordPress sajtova primorano na automatski update

U prethodnih nekoliko dana milioni WordPress sajtova su automatski upgrade-ovani na najnoviju verziju UpdraftPlus plugina, kako bi se prevazišla kritična greška koja je u njemu pronađena. Problem koji se pojavio omogućava svim registrovanim korisnicima sajta da preuzmu bazu podataka. Time su milioni sajtova podložni krađi podataka (korisničkih imena, lozinki, IP adresa, eventualno brojeva kreditnih kartica…).

UpdraftPlus je inače plugin koji omogućava automatizovano bekapovanje i oporavak baza podataka WordPress sajtova i jedan je od najpopularnijih alata za tu namenu. Instaliran je na više od tri miliona sajtova koji postaju ugroženi ovim sigurnosnim propustom. Greška je veoma laka za eksploataciju, jer čak i registrovani korisnici sa najnižim nivoom privilegija, kao što su pretplatnici, ili kupci, dobijaju mogućnost da bekapuju bazu sa sajta.

Problem je pronašla kompanija Jetpack koja se bavi bezbednošću sajtova. On je otkriven tokom provere plugin-a, a detalji su odmah (u četvrtak) prosleđeni UpdraftPlus developerima. Već u petak pojavila se zakrpa, a od tada je krenuo i forsirani update.

Statistika pokazuje da je do sada update izvršen na više od 1.7 miliona sajtova, a očekuje se da će svi sajtovi sa ovim plugin-om biti update-ovani u narednih nekoliko dana.

Izvor: ArsTechnica