5 млн інсталяцій WordPress містять критичну вразливість — як захиститися

Критична вразливість, яку виявили ​​нещодавно в популярному плагіні Elementor для WordPress, дозволяла користувачам завантажувати довільні файли на вразливі сайти, а потім проводити віддалене виконання цього коду (RCE). Називають різні цифри потенційно вразливих WordPress-систем, але рахунок іде на мільйони сайтів.

За даними незалежних дослідників з команди Plugin Vulnerabilities, проблема вперше з’явилася в коді Elementor 3.6.0, який випустили 22 березня 2022 року. Офіційна статистика WordPress свідчить, що цей плагін встановлений на більш ніж 5 млн копій WordPress. За даними дослідників, лише приблизно 30% користувачів Elementor поновилися до версії 3.6.x. Остання безпечна версія плагіну, за даними авторів самого плагіну, має номер версії 3.6.3.

Проте незалежні дослідники, які першими виявили вразливість, радять поки що відключити плагін:

Ґрунтуючись лише на тому, що ми побачили в ході нашої дуже обмеженої перевірки, ми рекомендували б не використовувати цей плагін, поки він не пройде ретельнішу перевірку безпеки і не будуть точно вирішені всі проблеми. 

Те, що він має 5+ мільйонів завантажень і не був належним чином захищений, має викликати занепокоєння. Це, звичайно, не через брак грошей у розробника, адже вони зібрали $15 мільйонів у 2020 році. Усе, що сталося, вселяє привід для занепокоєння, оскільки два роки тому  виявили, що вразливість нульового дня також використовувалася в платній версії цього плагіну.

Ситуацію погіршують два фактори:

• Команда Plugin Vulnerabilities доклала до свого звіту PoC-експлойт для виявленої вразливості, що додатково збільшує ризик злому вразливих сайтів, роблячи готовий код атаки доступним масам.
• Гризня між Plugin Vulnerabilities та авторами плагіну, під час якої вони взаємно звинувачували один одного, призвела до уповільнення розгляду суті справи, що дає додатковий час зловмисникам. Зокрема, автори плагіну стверджували, що не отримували повідомлень про проблему. У відповідь незалежні дослідники були змушені опублікувати скриншот оригінального problem report:

Наша довідка

Elementor — це популярна платформа для створення сайтів на базі WordPress, що дозволяє творцям сайтів самостійно робити професійні сайти з допомогою інтуїтивно зрозумілого візуального конструктора (не написавши при цьому жодного рядка коду). Цей плагін має велике ком’юніті та розвинену документацію, яка дозволяє легко реалізовувати концепцію NoCode на базі WordPress.