Sikkerhed forskere advarer om, at en ny funktion, der vil skibet med den næste version af WordPress CMS kan misbruges til at deaktivere sikkerhed plugins og sætte WordPress hjemmesider og blogs i fare.
Den funktion, som har en meget cool navn i “WSOD (hvid-screen-of-death) Beskyttelse“, og som betragtes som ækvivalente af en WordPress Fejlsikret Tilstand, er planlagt til at gøre sin debut med udgivelsen af WordPress 5.1, forventes dette forår.
Også: Et botnet over 20.000 WordPress sites er at angribe andre WordPress-sites
Som beskrevet af WordPress core udvikler Felix Arntz, funktion giver mulighed for WordPress til at erkende, når en PHP fatal fejl opstår, og hvilken plugin eller tema, der er årsag til det.
Den WSOD Beskyttelse funktion, vil afspilningen plugin eller tema ‘ s kode og give webstedets administrator for at få adgang til backend-panel, hvor de kan undersøge og deaktivere den skyldige(s), der forårsager fejl.
Billede: Felix Arntz
WordPress teamet begyndte at arbejde på den WSOD Beskyttelse funktion måneder siden. Funktionen er en del af en grand master plan for at hjælpe webstedsejere opdatering fra at bruge forældede PHP 5.x servere til at bruge de nyere 7.x grene.
Den WSOD Beskyttelse funktion, der blev skabt i første omgang at give ejerne til at inddrive fra site går ned, efter PHP-7.x migration, men WordPress udviklere indset dette kunne også bruges til at fange fejl efter opdateringer til WordPress plugins eller temaer, som i nogle tilfælde også af flystyrt på lignende måder.
Men som det har taget form og nærmede sig deres afslutning, flere sikkerhedseksperter har indset, at det også kunne blive misbrugt.
I et blog-indlæg, der blev offentliggjort tidligere i denne uge, bug hunter Slavco Mihajloski påpegede, at hackere kan bruge low-end og undertiden harmløse udnytter i WordPress plugins til at udløse en dødelig PHP fejl, der vil blive fanget af de WSOD beskyttelse funktion.
Da WSOD beskyttelse funktion er designet til at pause den defekte plugin ‘ s udførelse, Mihajloski argumenterer for, at hackere kan misbruge den til at deaktivere firewall -, to-faktor-autentificering, brute-force protection, og andre security-fokuseret plugins installeret på WordPress sites.
Skal læse
De Bedste Web-Hosting-Udbydere til 2019 (CNET)
De bedste WordPress plugins: En guide for virksomheder (TechRepublic)
Mihajloski ‘ s bekymringer blev også delt af Matt Rusnak, QA Føre til WordFence. I en fejlrapport, diskuterer den funktion, Rusnak også påpeget flere andre angreb scenarier, hvor WSOD Beskyttelse funktion, ville ende med at hjælpe angribere.
- Et plugin kan være standset, fordi en anden plugin, brugte en masse hukommelse. Når en hjemmeside er memory_limit er nået, plugin, der skete til at køre på det tidspunkt kan sættes på pause, selvom det ikke er brug for store hukommelse. Der kan forårsage sikkerhedsproblemer, eller måske bare være forvirrende for admin, da den standsede plugin(s) er ikke nødvendigvis årsag til problemet. Lokal Fil Optagelse sårbarheder i nogen plugin/tema, vil give hackeren mulighed for at afbryde mange plugins. Når nogen plugin/tema er sårbare over for “Local File Inclusion (LFI)”, kan en hacker ikke kan bruge det til at foretage ændringer på sitet, men hvis plugins kan sættes på pause, ved at WP 5.1 for redeclaring en eksisterende klasse, en angriber kan vælge specifikke plugins til at holde pause, selv om de plugins, er ikke sårbare. Jeg har medtaget eksempler for Jetpack, WPS Skjule Login, og Akismet, med en demo-plugin med en simpel LFI sårbarhed. (Der er over 1100 poster på Exploit-DB på www.exploit-db.com når du søger på “local file inclusion” uden citationstegn-nogle er gamle eller ikke er WP plugins, men det er fælles nok at være et problem.) Det kan være muligt, at max_execution_time har samme problem som memory_limit. Jeg har ikke lavet en test endnu. På en delt vært, der kører langsomt, eller enhver server under tung belastning (herunder under den forsætlige DoS eller brute force-angreb), kan mange af de anmodninger, der kunne forårsage timeout, som kan opstå i tilfældig plugins’ kode eller tema ‘ s kode.
WordPress teamet svarede til Rusnak tilbagemeldinger med planer om at tilføje en ny option i wp-config.php indstillinger-fil, der ville tillade webstedsejere for at deaktivere WSOD Beskyttelse. Den nye mulighed er opkaldt WP_DISABLE_FATAL_ERROR_HANDLER.
Det er uklart, om WSOD beskyttelse leveres som standard aktiveret eller ikke, når WordPress 5.1 er udgivet, men den har fortsat er farlig stadig, uanset tilføjelsen af de nye wp-config.php mulighed.
Sikkerhedseksperter anbefaler, at der for tiden er, at ejerne kun gør det muligt midlertidigt, når du opdaterer PHP server, WordPress core, eller dens temaer og plugins. Ellers holde det handicappede.
Relaterede historier:
Populært WordPress plugin, der er blevet hacket af vrede tidligere ansat
WordPress til at vise advarsler på servere, der kører forældet PHP-versioner
WordPress 5.0 er ude. Her er en rundvisning i de nye funktioner!
Mere sikkerhed dækning:
DHS spørgsmål sikkerhedsadvarsel om de seneste DNS kapring attacksNew ransomware stamme er at låse op Bitcoin mining rigge i ChinaMystery stadig omgiver hack af PHP PEAR-websiteMalvertising kampagne er målrettet Apple-brugere med ondsindede kode skjult i billeder
Chrome API opdatering vil dræbe en masse andre udvidelser, ikke bare annonce blockersSecurity fejl fundet i 26 low-end cryptocurrenciesBrave browser nu kan vise annoncer, og snart vil du få 70% af de penge, CNET
Hvorfor cryptojacking vil blive et endnu større problem i 2019 TechRepublic
Relaterede Emner:
Open Source
Sikkerhed-TV
Data Management
CXO
Datacentre