Miliony stránek běžících na WordPressu byly nuceně updatovány

V polovině února proběhl nucený update spousty stránek postavených na WordPressu, protože v důsledku zranitelnosti pluginu UpdraftPlus hrozilo, že si nezvaní hosté budou moci stáhnout kompletní zálohu databází uživatelů.

Povinná záplata byla vytvořena na žádost vývojářů UpdraftPlus – zranitelnost totiž umožňovala stáhnout soukromé databáze z WordPressu všem, kdo měli účet na příslušné stránce. V databázích se často nacházejí citlivé informace zákazníků nebo dokonce bezpečnostní nastavení stránky, takže milionům stránek hrozilo riziko, že jejich informace někdo stáhne.

UpdraftPlus j eplugin, který zjednodušuje celý proces záloh databází stránek a je nejrozšířenejším systémem využívaným pro pravidelné zálohování stránek z WordPressu. Data ukládá do cloudu v Dropboxu, na Google Drive, Amazon S3 a do ostatních cloudových služeb. Programátoři UpdraftPlus říkají, že uživatelé mohou snadno nastavovat pravidelné zálohy i jejich načasování a tvrdí, že jejich software zatěžuje servery méně než ostatní pluginy.

Zranitelnost vznikla už v průběhu vývoje a výsledkem bylo, že UpdraftPlus nedostatečně ověřoval uživatele, kteří měli práva ke správě. Společnost však na svou chybu upozornila včas a požádala o vytvoření záplaty – takže pokud pracujete s WordPressem a používáte plugin UpdraftPlus, nejspíš už máte update za sebou. Konkrétně jde o release 1.22.4 nebo novější (pro verzi zdarma) naebo 2.22.4 a novější pro verzi premium.

Zdroj: arstechnica.com