Farhågor om WordPress ” nya “White Screen Of Death’ funktionen skydd

0
178
WordPress

Säkerhetsforskare varnar för att en ny funktion som kommer att levereras med nästa version av WordPress CMS kan missbrukas för att inaktivera säkerhet plugins och lägga WordPress webbplatser och bloggar på risk.

Funktionen, som har ett mycket coolt namn i “WSOD (vit-tv-i-döden) Skydd” och anses motsvara en WordPress Felsäkert Läge, är planerad att göra sin debut med lanseringen av WordPress 5.1, har väntat på den här våren.

Också: Ett botnet av över 20 000 platser i WordPress är att attackera andra platser i WordPress

Som beskrivs av WordPress core-utvecklare Felix Arntz, funktionen gör det möjligt för WordPress att känna igen när en dödlig PHP-fel uppstår och vad plugin eller tema är som orsakar det.

Den WSOD Skydd funktionen kommer att pausa plugin eller tema kod och låta sajtens administratör för att få tillgång till backend-panel, där de kan undersöka och inaktivera den skyldige(s) orsakar fel.

WordPress WSOD Protection

Bild: Felix Arntz

WordPress-teamet började jobba på WSOD funktionen Skydd månader sedan. Funktionen är en del av en grand master plan för att hjälpa webbplatsägare uppdatering från att använda föråldrade PHP 5.x-servrar för att du använder nyare 7.x grenar.

Den WSOD Skydd funktionen skapades först för att webbplatsägare att återhämta sig från sajten kraschar efter PHP-7.x migration, men WordPress utvecklare insåg att detta också skulle kunna användas för att fånga fel efter uppdateringar till WordPress plugins eller teman, som ibland också krascha platser på liknande sätt.

Men eftersom funktionen tog form och på väg att slutföras, flera säkerhetsforskare har insett att det också skulle kunna missbrukas.

I ett blogginlägg som publicerades tidigare i veckan, bugg hunter Slavco Mihajloski påpekade att en angripare kan använda low-end och ibland ofarliga bedrifter i WordPress plugins för att utlösa en dödlig PHP fel som kommer att fångas upp av WSOD funktionen skydd.

Eftersom WSOD skydd funktionen är utformad för att pausa den felaktiga plugin utförande, Mihajloski hävdar att en angripare kan missbruka den för att avaktivera brandväggar, två-faktor autentisering, brute-force protection, och andra säkerhets-fokuserad plugins installerade på WordPress webbplatser.

Måste läsa

Bästa Webbhotell för 2019 (CNET)
De bästa WordPress plugins: En guide för företag (TechRepublic)

Mihajloski bekymmer var också delas av Matt Rusnak, QA Lead på WordFence. I rapporten diskuterar funktionen, Rusnak påpekade också flera andra angrepp scenarier där WSOD funktionen Skydd skulle sluta att hjälpa angripare.

    Ett plugin kan vara pausad eftersom en annan plugin som används en hel del minne. När en webbplats memory_limit är nått plugin som råkade vara igång i tid kan pausas, även om det inte använder alltför stort minne. Som kan orsaka säkerhetsproblem, eller bara kan vara förvirrande för admin, eftersom den pausade plugin(s) inte nödvändigtvis är orsaken till problemet. Lokal Fil Integration sårbarheter i någon plugin/tema kommer att ge en angripare möjlighet att pausa och för många plugins. När någon plugin eller tema är utsatta för “Lokal Fil Integration (LFI)”, en angripare ofta inte kan använda det för att göra ändringar på webbplatsen, men om plugins kan pausas genom att WP 5.1 för att återdeklarera en befintlig klass, en angripare kan välja vilka plugins du vill pausa, även om dessa plugins är inte sårbara. Jag har tagit exempel för Jetpack, WPS Dölja Logga in, och Akismet, med ett demo-plugin-program med en enkel LFI sårbarhet. (Det finns över 1100 inlägg på Utnyttja DB vid www.exploit-db.com när man söker på “lokal fil integration” utan citat-en del är gamla eller inte WP plugins, men det är tillräckligt vanligt för att vara ett bekymmer.) Kan det vara möjligt att max_execution_time har samma fråga som memory_limit. Jag har inte gjort ett test ännu. På en delad värd som kör långsamt, eller någon server under tung belastning (även under den avsiktliga DoS eller brute force-attacker), många av de förfrågningar som kan orsaka tidsgränser, vilket kan ske i slumpmässig plugins”, kod eller tema kod.

WordPress laget svarade att Rusnak återkoppling med planer på att lägga till ett nytt alternativ i wp-config.php inställningar i filen som skulle tillåta en webbplats ägare för att inaktivera WSOD Skydd. Det nya alternativet är uppkallad WP_DISABLE_FATAL_ERROR_HANDLER.

Det är oklart om WSOD skydd kommer att levereras som standard aktiverad eller inte när WordPress 5.1 är släppt, men funktionen är fortfarande farligt ändå, oavsett tillägg av nya wp-config.php alternativet.

Säkerhetsexperter rekommenderar att för den tid som ägare av webbplatsen som endast gör det möjligt att tillfälligt när man uppdaterar PHP-server, WordPress core, eller dess teman och plugins. Annars hålla den funktionshindrade.

Relaterade artiklar:

Populära WordPress plugin hackad av arga tidigare anställd
WordPress för att visa varningar på servrar som kör gamla PHP-versioner
WordPress 5.0 är ute. Här är en rundtur av de nya funktionerna!

Mer trygghet:

DHS frågor säkerhetsvarning om aktuella DNS-kapning attacksNew ransomware stam är att låsa upp Bitcoin mining riggar i ChinaMystery fortfarande omger hack av PHP PÄRON websiteMalvertising kampanj är inriktad på Apple-användare med skadlig kod gömd i bilder
Chrome API uppdatering kommer att döda en massa andra tillägg, inte bara ad blockersSecurity brister som finns i 26 low-end cryptocurrenciesBrave webbläsare kan nu visa annonser, och snart kommer du få 70% av de pengar som CNET
Varför cryptojacking kommer att bli ett ännu större problem i och med 2019 TechRepublic

Relaterade Ämnen:

Öppen Källkod

Säkerhet-TV

Hantering Av Data

CXO

Datacenter