I ricercatori di sicurezza avvertono che una nuova funzione che sarà disponibile con la prossima versione del CMS WordPress può essere abusato per disattivare la protezione plugin e mettere WordPress blog e siti a rischio.
Il lungometraggio, che ha un nome molto cool in “WSOD (bianco-schermo-di-morte) Protezione” ed è considerato l’equivalente di un WordPress in Modalità Provvisoria, è programmato per fare il suo esordio con la versione di WordPress 5.1, previsto per questa primavera.
Come descritto da WordPress developer Felix Arntz, la funzionalità di WordPress permette di riconoscere quando un fatale errore di PHP si verifica e quali plugin o un tema, è la causa.
Il WSOD funzione di Protezione per interrompere il plugin o un tema, del codice e di consentire all’amministratore del sito per accedere alla parte posteriore del pannello, dove si possono indagare e disattivare il colpevole(s) causando gli errori.
Immagine: Felix Arntz
Il team di WordPress ha iniziato a lavorare sul WSOD funzionalità di Protezione di mesi fa. La funzione è parte di un grand master plan per aiutare i proprietari di siti di aggiornamento dal superati PHP 5.x server utilizzando la più recente 7.x rami.
Il WSOD funzionalità di Protezione è stato creato inizialmente per consentire ai proprietari di siti di recuperare dal sito si blocca dopo che il PHP 7.x la migrazione, ma gli sviluppatori di WordPress realizzato questo potrebbe anche essere utilizzato per rilevare gli errori dopo gli aggiornamenti di WordPress plugin o temi, che a volte anche crash siti in modi simili.
Ma come la caratteristica preso forma e si è quasi completato, alcuni ricercatori di sicurezza hanno capito che potrebbe anche essere oggetto di abusi.
In un post pubblicato all’inizio di questa settimana, cacciatore di bug Ciao Mihajloski sottolineato che gli hacker potrebbero utilizzare di fascia bassa e a volte innocui exploit in WordPress plugin per attivare un fatale errore di PHP che verrà catturato il WSOD funzione di protezione.
Dal momento che il WSOD funzione di protezione è stato progettato per mettere in pausa il guasto del plugin di esecuzione, Mihajloski sostiene che i malintenzionati potrebbero abusarne per disattivare i firewall, l’autenticazione a due fattori, brute-force protection, e altri che sono incentrate sulla sicurezza plugin di WordPress per siti.
Mihajloski preoccupazioni sono state condivise anche da Matt Rusnak, QA Portare a WordFence. In un report di bug discussione la funzionalità, Rusnak, inoltre, ha sottolineato, diversi altri scenari di attacco dove il WSOD funzione di Protezione finirebbe per aiutare gli attaccanti.
- Un plugin può essere sospesa a causa di un altro plugin usato un sacco di memoria. Quando un sito memory_limit è raggiunto, il plugin che è accaduto e di essere in esecuzione può essere interrotta, anche se non utilizzo eccessivo di memoria. Che potrebbe causare problemi di sicurezza, o può solo essere fonte di confusione per gli admin, dato che la pausa plugin(s) non sono necessariamente la causa del problema. Locali di Inclusione di File di vulnerabilità in qualsiasi plugin/tema darà l’attaccante la possibilità di mettere in pausa molti plugin. Quando un qualsiasi plugin/tema è vulnerabile a “Local File Inclusion (LFI)”, un utente malintenzionato spesso non è possibile utilizzare che per apportare modifiche al sito, ma se i plugin possono essere sospese da WP 5.1 per redeclaring una classe esistente, un utente malintenzionato può scegliere plugin specifici per mettere in pausa, anche se questi plugin non sono vulnerabili. Ho incluso alcuni esempi per Jetpack, WPS Nascondere il Login, e Akismet, con una demo con un plugin semplice LFI vulnerabilità. (Ci sono più di 1100 voci di Sfruttare DB a www.exploit-db.com quando la ricerca di “local file inclusion” senza virgolette — alcuni sono vecchi o non sono plugin WP, ma è abbastanza comune per essere una preoccupazione.) Potrebbe essere possibile che max_execution_time ha lo stesso problema memory_limit. Non ho fatto un test di sicurezza. Su un host condiviso, che è in esecuzione lentamente, o a qualsiasi server sotto carico pesante (anche durante intenzionale DoS o attacchi di forza bruta), molte delle richieste potrebbe causare timeout, che potrebbe verificarsi in modo casuale plugin o codice del tema codice.
Il team di WordPress ha risposto a Rusnak feedback con i piani per aggiungere una nuova opzione nel wp-config.php impostazioni del file che potrebbe consentire ai proprietari del sito per disattivare il WSOD Protezione. La nuova opzione è denominata WP_DISABLE_FATAL_ERROR_HANDLER.
Non è chiaro se WSOD protezione nave attivata per impostazione predefinita, quando WordPress 5.1 viene rilasciato, ma la funzione rimane pericoloso ancora, indipendentemente dall’aggiunta del nuovo wp-config.php l’opzione.
Gli esperti di sicurezza raccomandano che, per il momento, i proprietari del sito solo abilitare temporaneamente quando si aggiorna il server PHP, WordPress, o i suoi temi e plugin. In caso contrario, tenerlo disattivato.
Più copertura di sicurezza:
Il DHS problemi di sicurezza di allarme sui recenti DNS hijacking attacksNew ransomware ceppo di blocco Bitcoin mining rig in ChinaMystery ancora circonda hack di PHP PERA websiteMalvertising campagna ha come target gli utenti Apple con malware nascosti nelle immagini
Chrome API aggiornamento uccidere un mucchio di altre estensioni, non solo ad blockersSecurity difetti trovato in 26 di fascia bassa cryptocurrenciesBrave browser può ora mostrare gli annunci, e presto si otterrà il 70% del denaro CNET
Perché cryptojacking diventerà ancora più grande problema nel 2019 TechRepublic
Argomenti Correlati:
Open Source
Di sicurezza, TV
La Gestione Dei Dati
CXO
Centri Dati