Серьёзная угроза для WordPress-сайтов. Опасность для всех пользователей

Тысячи сайтов на WordPress остаются уязвимыми из-за критической ошибки в популярном плагине Hunk Companion. Уязвимость, получившая идентификатор CVE-2024-11972, имеет рейтинг 9.8 из 10 по шкале опасности. Ошибка позволяет злоумышленникам выполнять неавторизованный запуск вредоносного кода, что ставит под угрозу целостность сайтов.

Что произошло?

1. Hunk Companion — плагин с более чем 10,000 активными установками на WordPress-сайтах.
2. Исследователи из WP Scan обнаружили уязвимость после анализа взлома одного из клиентских сайтов.
3. Злоумышленники использовали уязвимость для:Обхода проверок безопасности.
   Установки устаревшего плагина WP Query Console через обход блокировок на wordpress.org.
   
4. Через WP Query Console они выполнили вредоносный код, получив полный доступ к сайту.

Технические детали уязвимости

• Ошибка в коде Hunk Companion позволяла отправлять неавторизованные запросы, что обходило внутренние проверки безопасности.
• Это приводило к установке и активации произвольных плагинов, включая устаревшие и уязвимые.
• Проблема стала возможной из-за механизма специального URL на wordpress.org, который позволяет обойти блокировку устаревших плагинов.

Важно:

• Уязвимость устранена в версии 1.9.0, выпущенной две недели назад.
• Однако лишь 12% сайтов обновили плагин. Это означает, что более 8,000 сайтов остаются под угрозой взлома.

Опасности для сайтов

Эксплуатация CVE-2024-11972 может привести к:

1. Полной компрометации сайта: взломщики могут внедрить вредоносный код.
2. Установке вредоносных плагинов: запуск троянов и скрытого ПО.
3. Удалению или модификации контента: потеря важных данных или нарушение работы сайта.
4. Фишинговым атакам: перенаправление пользователей на мошеннические страницы.
5. Распространению вирусов: использование сайта для атак на посетителей и их устройства.

Кто в зоне риска?

1. Сайты, использующие плагин Hunk Companion с версией ниже 1.9.0.
2. Сайты, на которых установлены устаревшие и необновляемые плагины (например, WP Query Console).
3. Владельцы сайтов, не имеющие стратегии регулярного обновления плагинов и ядра WordPress.

Как защитить сайт?

1. Немедленное обновление плагиновУстановите последнюю версию Hunk Companion (1.9.0).
   Убедитесь, что все плагины на сайте обновлены.
   
2. Проверка безопасностиИспользуйте плагины для сканирования безопасности, такие как Wordfence или Sucuri.
   Проверьте наличие подозрительных файлов и плагинов в директориях WordPress.
   
3. Удалите уязвимые плагиныЕсли установлен плагин WP Query Console, немедленно удалите его.
   
4. Ограничьте установку плагиновЗапретите установку плагинов без одобрения администратора.
   Используйте функции WordPress для ограничения прав доступа.
   
5. Настройте резервное копированиеРегулярно создавайте резервные копии сайта. Это поможет восстановить данные в случае взлома.
   
6. Мониторинг активностиВедите логирование всех действий пользователей и системных процессов.
   Настройте уведомления о подозрительных действиях.
   

Заключение

Критическая уязвимость в плагине Hunk Companion и связанных с ним устаревших плагинах подчёркивает важность своевременных обновлений и постоянного мониторинга безопасности сайтов. Владельцам WordPress-сайтов необходимо немедленно установить актуальные обновления и пересмотреть политику безопасности. Игнорирование проблемы может привести к компрометации сайта, утечке данных и финансовым потерям.