5 млн инсталляций WordPress содержат критическую уязвимость — как защититься

Игорь Грегорченко

15.04.2022 16:59

Критическая уязвимость, обнаруженная недавно в популярном плагине Elementor для WordPress, позволяла пользователям загружать произвольные файлы на уязвимые сайты, а затем проводить удаленное выполнение этого кода (RCE). Называются разные цифры потенциально уязвимых WordPress-систем, но счет идет на миллионы сайтов.

По данным независимых исследователей из команды Plugin Vulnerabilities, проблема впервые появилась в коде Elementor 3.6.0, выпущенном 22 марта 2022 года. Официальная статистика WordPress гласит, что этот плагин инсталлирован на более чем 5 млн копиях WordPress. По данным исследователей, только около 30% пользователей Elementor обновились до версии 3.6.x. Последняя, безопасная версия плагина, по данным авторов самого плагина, имеет номер версии 3.6.3.

Тем не менее независимые исследователи, первыми обнаружившие уязвимость, советуют пока отключить плагин:

Основываясь только на том, что мы увидели в ходе нашей очень ограниченной проверки, мы бы рекомендовали не использовать этот плагин, пока он не пройдет более тщательную проверку безопасности и не будут точно решены все проблемы.

То, что он имеет 5+ миллионов установок и не был должным образом защищен, должно вызывать беспокойство. Это, конечно, не из-за недостатка денег у разработчика, ведь они собрали $15 миллионов в 2020 году. Все произошедшее внушает повод для беспокойства, поскольку два года назад было обнаружено, что уязвимость нулевого дня также использовалась в платной версии этого плагина.

Ситуацию ухудшают два фактора:

Команда Plugin Vulnerabilities приложила к своему отчету PoC-эксплойт для обнаруженной уязвимости, что дополнительно увеличивает риск взлома уязвимых сайтов, делая готовый атакующий код доступным массам.
Ругань между Plugin Vulnerabilities и авторами плагина, в ходе которой они взаимно обвиняли друг друга, привела к замедлению рассмотрения сути дела, давая дополнительное время злоумышленникам. В частности, авторы плагина утверждали, что не получали уведомлений о проблеме. В ответ независимые исследователи были вынуждены опубликовать скриншот оригинального problem report:

Наша справка

Elementor — это популярная платформа для создания сайтов на базе WordPress, позволяющая создателям сайтов самостоятельно делать профессиональные сайты с помощью интуитивно понятного визуального конструктора (не написав при этом ни строчки кода). У этого плагина обширное комьюнити и развитая документация, которая позволяет легко реализовывать концепцию NoCode на базе WordPress.