Otkriven sigurnosni propust u popularnom pluginu za WordPress kojeg koristi 40 tisuća stranica

Vlasnici WordPress stranica koji koriste Simple Social Buttons plugin za podršku dijeljenja sadržaja putem društvenih mreža trebali bi preuzeti najnoviju nadopunu kako bi anulirali mogući sigurnosni propust. Ukoliko to ne naprave, u opasnosti su da im netko neželjen upravlja stranicama, a tko zna i čime sve još...

Propust je otkrio hrvatski stručnjak Luka Šikić, koji radi za WordPress kompaniju za sigurnost WebARX. Naravno, čim je razotkrio propust prijavio ga je i počelo se raditi na nadopuni sa zakrpom. Problem je nazvao dizajnerskom greškom, pri kojoj izostaje provjera dopuštenja.

"Napadač koji može kreirati novi korisnički račun na WordPress stranici može iskoristiti ranjivost kako bi napravio modifikacije u postavkama glavne WordPress stranice. Sve to izvelo bi se preko plugina kojem prvotna namjena nije išla u tom smjeru, naglasio je Luka Šikić.

Sporni plugin postavljen je na oko 40 tisuća WordPress stranica i problem koji može izazvati ne treba promatrati kao bezazlen. Zato je bitno preuzeti nadopunu postavljenu 8. veljače, a koja se može pronaći pod nazivom Simple Social Buttons 2.0.22.

Ovime se samo nastavlja WordPressova boljka otprije, a predstavljaju je plugini. Primjerice, u rujnu prošle godine hakeri su iskoristili teme i pluginove koji nisu nadopunjeni ili za njih više ni ne postoji podrška kako bi se "infiltrirali" u željene WordPress stranice.

Dakle, greška je ponovno na strani developera, ali od njih pate tisuće i tisuće vlasnika WordPress stranica, zbog čega i sami WordPress mora u konačnici reagirati. U najvećem broju slučajeva modificiraju se PHP i JavaScript datoteke, ali u nekim su slučajevima zabilježene i modifikacije unutar tablica baze podataka.

Srećom, postoje stručnjaci kao Luka Šikić, koji na vrijeme prepoznaju probleme ili ih pravovremeno riješe u trenucima kad se pojave.