News 50 000 stron zhakowanych przez dziurawą wtyczkę WordPressa

WordPress to bardzo popularny CMS, na którym opierają się setki tysięcy stron. Niestety, przez jedną wadliwą wtyczkę haker miał ułatwione zadanie i może przejąć kontrolę nad każdą witryną jej używającą.

Wtyczka ta to MailPoet Newsletters, która pozwala w łatwy sposób tworzyć biuletyny dla użytkowników, a także automatyczne odpowiedzi. Jeżeli strona używająca WP ma ją w wersji niższej niż 2.6.7, istnieje duża szansa, że haker dzięki luce w niej zawartej przejmie kontrolę nad stroną. Sprawa jest dość poważna, ponieważ wykryto już 50 tysięcy tego typu przypadków na świecie, zaś sama wtyczka ma na koncie 2 miliony pobrań. Starsza jej wersja umożliwia atak typu "backdoor", a co najgorsze dla właściciela strony - nadpisuje ona istniejące na serwerze pliki, czyli kasuje wszystkie posty, bibliotekę multimediów, itp. Jeśli użytkownik nie zrobił kopii zapasowej danych, cała praca może przepaść.

MailPoet Newsletters można oczywiście zaktualizować, co polecamy tym czytelnikom, którzy używają wtyczki na swoich witrynach. Najświeższa wersja, pozbawiona już feralnej luki, nosi numer 2.6.9 i jest dostępna na oficjalnej stronie dodatku. Oczywiście jest również możliwość pobrania jej bezpośrednio z menadżera wtyczek w samym WordPressie.