Niedawno odkryto lukę w zabezpieczeniach umożliwiającą atak typu cross-site scripting (XSS) we wtyczce buforującej WordPress, WP Super Cache.
Do czego służy wtyczka WP Super Cache?
WP Super Cache konwertuje dynamiczne strony WordPress na statyczny HTML. Tworzy to strony, które są szybsze do wyświetlenia odwiedzającym niż strony generowane przez bazę danych. WP Super Cache jest świetny dla witryn o dużym ruchu, popularność przyniosła ponad milion pobrań.
Szczegóły podatności XSS
A luka w zabezpieczeniach XSS oparta na plikach cookie znaleziono za pomocą funkcji wp_cache_get_cookies_values(). Ta funkcja jest wywoływana w celu dołączenia unikalnego identyfikatora lub klucza, którego WP Super Cache używa do określenia, które strony buforowane mają być obsługiwane.
Biorąc to pod uwagę, atakujący może zażądać strony z edytowanym plikiem cookie witryny, aby uwzględnić exploit XSS. Super Cache generuje stronę, dołączając złośliwy ładunek cookie, a strona listy plików w pamięci podręcznej WP Super Cache jest serwowana z exploitem i wszystkim, kradnąc pliki cookie administratora lub wykonując inne zamieszanie.
Wpływ na witryny WordPress
Wersje WP Super Cache poniżej 1.4.4 zawierają lukę w zabezpieczeniach XSS i powinny zostać jak najszybciej załatane do najnowszej wersji. Utwórz kopię zapasową bazy danych i plików swojej witryny, a następnie uruchom aktualizację w panelu administracyjnym lub pobierz najnowszą wersję z Oficjalna strona WP Super CacheWłaściciele witryn z podatną na ataki wersją wtyczki WP Super Cache są również proszeni o zmianę hasła administratora WordPress.
Albo, co jeszcze lepsze, wyeliminuj potrzebę WP Super Cache, wdrażając SiteLock TrueSpeed CDN i TrueShield WAF. Niezrównany zasięg globalnego CDN SiteLock inteligentnie obsługuje najbardziej rozbudowane strony witryny WordPress w najszybszy, najbardziej wydajny sposób dla wszystkich odwiedzających, niezależnie od lokalizacji geograficznej. (Strona w pamięci podręcznej może być nadal wolna, jeśli jest udostępniana odwiedzającemu po drugiej stronie świata.)
Ponadto zintegrowana zapora sieciowa aplikacji internetowych TrueShield całkowicie eliminuje takie ataki, dzięki czemu jesteś chroniony przed kolejnymi, nieuniknionymi lukami w zabezpieczeniach wtyczki WordPress, zanim jeszcze wystąpią.
SiteLock TrueSpeed CDN i zapora aplikacji internetowych TrueShield są zawarte w wielu naszych pakietach ochrony stron internetowych. Odwiedź naszą stronę, aby dowiedzieć się więcej o funkcjach zawartych w każdym planie usługi.
