Wg serwisu Cyber Security News ktoś na hakerskim forum ma do sprzedania 0-day na WordPressa za 10 tysięcy USD. Jak dalej pisze redaktor, exploitu można wykorzystać z dowolnym plikiem PHP (prawdopodobnie od wtyczki) i jest opisywany jako „autoshell” (czyli – w wielkim skrócie – skrypt, który wykonuje się automatycznie w systemie). Z artykułu dowiemy się również, że exploit dotyczy (wg sprzedającego) 110 tysięcy stron, a ich lista jest dodatkiem do sprzedawanej „dziury”. Społeczność cybersecurity od WordPressa monitoruje sytuację. Całość w artykule poniżej.
Co robić? Jak żyć?
- Włącz automatyczne aktualizacje dla CMS-a, szablonu i wtyczek
Jeśli developer wtyczki wypuści pilną łatkę na 0-day’ową podatność, to możliwe, że ją pominiesz, jeśli manualnie robisz update’a od czasu do czasu. Tu warto przetestować wp-cron i robić regularnie backupy. - Używaj niestandardowej struktury katalogów
Nieszablonowe podejście do CMS-a w obszarze folderów może wiele pomóc, ponieważ ataki na taką skalę są prowadzone z reguły przez bezmyślne boty, które korzystają ze wzorców i raczej nie mają kombinacji innych nazw folderów niż te domyślne. Dlatego w takim przypadku dostaną kod 404 i pójdą dalej. Nie musisz używać do tego wtyczek, możesz to zrobić manualnie. - Zablokuj dostęp do plików PHP
Możesz to zrobić w pliku .htaccess, ale instrukcja może się różnić w zależności od serwera, z którego korzystasz. Inna będzie na Apache, a inna na LiteSpeed. Poszukaj w internecie, bo jest ogrom porad z tym związanych. Pamiętaj przetestować, czy siebie nie zablokowałeś. - Używaj dobrego firewalla
Dobry firewall powinien wyłapać takie „kombinowane” żądania jako podejrzane i zablokować atakującego. Najlepsze jest to, że nie musisz się ograniczać do jednego, bo możesz użyć kilku, które będą się uzupełniać. Możesz użyć kombinacji Cloudflare’a, ModSecurity, 8G Firewall i wtyczki zabezpieczającej. Przy tym ostatnim unikaj wersji, które wprowadzają pilne reguły po miesiącu, tylko dlatego, że masz bezpłatną wersję pluginu. - Śledź kanały cybersecurity
Śledź kanały cybersecurity. Nie będę robił listy co warto śledzić, bo w tym pomoże Google lub Copilot, ale samo czytanie newsów z cybersecurity pozwoli ci być do przodu i zabezpieczyć podatną wtyczkę, np. deaktywując i blokując dostęp do jej folderu z zewnątrz. Wtedy masz wtyczkę zabezpieczoną i możesz spokojnie czekać na łatkę.
Wszystkie te rzeczy ograniczą 0-day’owy wektor ataku o 99%, a u nas to standard w każdym projekcie. Zobacz nasz pakiet SEO Firewall i oferte opieki techniczej.