Beveiligingsonderzoekers waarschuwen dat een nieuwe functie die wordt geleverd met de volgende versie van het WordPress CMS kan worden misbruikt voor het uitschakelen van de beveiliging plugins en zet WordPress sites en blogs in gevaar.
De functie, die heeft een heel coole naam in “WSOD (wit-scherm-van-de-dood) Bescherming” en wordt beschouwd als het equivalent van een WordPress Veilige Modus, is gepland te zijn debuut maken met de release van WordPress 5.1, verwacht dit voorjaar.
Zoals beschreven in de core van WordPress developer Felix Arntz, de functie kunt WordPress te herkennen als een fatale PHP error optreedt en welke plugin of thema wordt veroorzaakt.
De WSOD Bescherming functie zal in de pauze van de plugin of thema ‘ s code en laat de beheerder van de site voor toegang tot de backend paneel, waar ze dit kunnen onderzoeken en uitschakelen van de dader(s) waardoor de fouten.
Afbeelding: Felix Arntz
Het WordPress team begon te werken op de WSOD Bescherming voorzien maanden geleden. De functie is een onderdeel van een grand master plan te helpen de site-eigenaren de update van het gebruik van verouderde PHP 5.x-servers voor het gebruik van de nieuwere 7.x takken.
De WSOD Protection-functie is gemaakt om nog te kunnen site-eigenaren om te herstellen van de site loopt vast na de PHP-7.x migratie, maar WordPress ontwikkelaars gerealiseerd, zou dit ook kunnen worden gebruikt voor het vangen van fouten na de updates van WordPress, plugins of thema ‘ s, die soms ook is neergestort op een vergelijkbare manier.
Maar als de functie kreeg vorm en naderde de voltooiing, verschillende beveiligingsonderzoekers hebben gerealiseerd dat het kan ook misbruikt worden.
In een blog post publiceerde eerder deze week, bug hunter Slavco Mihajloski gewezen dat de aanvallers konden gebruik maken van low-end en soms onschadelijk exploits in WordPress plugins om te leiden tot een fatale PHP fout die wordt gevangen door de WSOD bescherming voorzien.
Sinds de WSOD protection-functie is ontwikkeld om te pauzeren het defecte plug-in uitvoering, Mihajloski betoogt dat aanvallers kunnen misbruiken om het te schakelen firewalls, twee-factor authenticatie, brute-force protection, en andere die gericht zijn op beveiliging plugins geïnstalleerd op WordPress sites.
Mihajloski s zorgen werden ook gedeeld door Matt Rusnak, QA Leiden op WordFence. In een bug-rapport met het bespreken van de functie, Rusnak ook gewezen op een aantal andere aanval scenario ‘ s waar de WSOD Bescherming functie zou helpen aanvallers.
- Een plugin mag worden onderbroken omdat een andere plugin gebruikt veel geheugen. Wanneer een site memory_limit is bereikt, wordt de plugin dat is gebeurd om te worden uitgevoerd op het moment kan worden onderbroken, zelfs als ze niet aan het gebruik van buitensporig geheugen. Dat kan leiden tot problemen met de beveiliging, of kan slechts worden verwarrend voor de admin, omdat de onderbroken plugin(s) zijn niet noodzakelijk de oorzaak van het probleem. Lokale Opname van kwetsbaarheden in een plugin/thema geeft de aanvaller de mogelijkheid om te pauzeren vele plugins. Wanneer een plugin of thema is kwetsbaar voor “Local File Inclusion (LFI)”, een aanvaller vaak geen veranderingen aanbrengen aan de site, maar als plug-ins kunnen worden onderbroken door WP 5.1 voor redeclaring een bestaande klasse, kan een aanvaller kiest specifieke plugins om te pauzeren, zelfs als deze plugins zijn niet kwetsbaar. Ik heb begrepen voorbeelden voor Jetpack, WPS Verbergen Login, en Akismet, met een demo plugin met een eenvoudige LFI kwetsbaarheid. (Er zijn meer dan 1100 vermeldingen op het Exploiteren DB bij www.exploit-db.com bij het zoeken naar “local file inclusion’ (zonder quotes) — sommige zijn oud of niet WP plugins, maar het is vaak een bron van zorg.) Het is mogelijk dat max_execution_time heeft hetzelfde probleem als memory_limit. Ik heb nog niet een test case nog. Op een shared host die is traag, of een andere server, die onder zware belasting (ook tijdens het opzettelijk DoS of brute-force-aanvallen), veel van de aanvragen zou leiden tot time-outs, die zich zouden kunnen voordoen in willekeurige plugins’ code of de thema ‘ s code.
Het WordPress team beantwoord te Rusnak feedback met de plannen voor het toevoegen van een nieuwe optie in de wp-config.php instellingen bestand dat zou kunnen site-eigenaren uit te schakelen WSOD Bescherming. De nieuwe optie is de naam WP_DISABLE_FATAL_ERROR_HANDLER.
Het is onduidelijk of WSOD bescherming zal het schip is standaard ingeschakeld of niet bij WordPress 5.1 is uitgebracht, maar de functie blijft gevaarlijk nog steeds, ongeacht de toevoeging van de nieuwe wp-config.php optie.
Security-experts raden aan dat voor het moment, site-eigenaren slechts inschakelen tijdelijk bij het updaten van de PHP-server, de core van WordPress, of de thema ‘ s en plugins. Anders houden uitgeschakeld.
Meer zekerheid:
DHS problemen beveiligingswaarschuwing over recente DNS-kaping attacksNew ransomware stam is het blokkeren van Bitcoin mining rigs in ChinaMystery nog steeds omgeeft hack van PHP-PEAR websiteMalvertising campagne is bedoeld voor Apple-gebruikers met kwaadaardige code verborgen in de beelden
Chrome API update zal doden een hoop andere extensies, niet alleen ad blockersSecurity gebreken gevonden in 26 low-end cryptocurrenciesBrave browser kan nu het weergeven van advertenties, en al snel krijg je 70% van het geld CNET
Waarom cryptojacking zal een nog groter probleem in 2019 TechRepublic
Verwante Onderwerpen:
Open Source
Beveiliging TV
Data Management
CXO
Datacenters