Na první pohled jde o nenápadnou technickou informaci. Bezpečnostní chyba v jednom z mnoha pluginů pro WordPress. Ve skutečnosti ale nejde o drobnost, kterou by bylo možné přejít mávnutím ruky. Ohrožených webů je podle odhadů výrazně víc, než se může zdát, a problém se týká i běžných projektů, které nemají ambice být cílem cíleného útoku.

Co se vlastně stalo a proč je to problém

Plugin Quiz and Survey Master patří mezi oblíbené nástroje pro tvorbu kvízů, anket a formulářů bez nutnosti programování. Používají ho malé blogy, firemní weby i komunitní projekty. Právě jeho rozšířenost je klíčovým faktorem celého problému.

Bezpečnostní experti upozornili na zranitelnost typu SQL injection, která se týká verzí 10.3.1 a starších. Chyba umožňuje vkládat databázové příkazy uživatelům, kteří jsou na webu přihlášení, a to dokonce i s rolí běžného odběratele. Nejde tedy o scénář, kdy by útočník musel prolomit administrátorský účet. Stačí jakýkoli účet s minimálními právy.

V praxi to znamená možnost číst data z databáze, měnit je nebo je z webu postupně odnášet pryč. U některých webů to může znamenat únik osobních údajů, u jiných manipulaci s obsahem nebo přípravu půdy pro další útoky.

Podle oficiálních statistik běží zhruba polovina instalací na verzi 10.3, což znamená, že minimálně 19 tisíc webů je prokazatelně zranitelných. U dalších instalací není možné s jistotou říct, zda uživatelé aktualizovali, nebo zůstali u problematické verze 10.3.1. Přesné číslo tak nikdo nezná, ale riziko je reálné.

Zdroj: Shutterstock

Proč by to měli řešit i menší provozovatelé webů

Dobrou zprávou je, že zatím nejsou hlášeny útoky, které by tuto konkrétní chybu aktivně zneužívaly. To ale neznamená, že je bezpečno. Jakmile se informace o zranitelnosti dostane mezi útočníky, často následuje automatické skenování internetu a hledání webů, které update neprovedly.

Historie WordPressu ukazuje, že právě podobné chyby v rozšířených pluginech bývají zneužívány plošně. Ne proto, že by šlo o zajímavé cíle, ale proto, že jsou snadné. Útočníkovi je v zásadě jedno, zda napadne firemní prezentaci, hobby blog nebo regionální magazín. Důležité je, že se tam dostane.

Bezpečnostní odborníci proto dlouhodobě opakují jednoduché pravidlo. Aktualizovat nejen samotný WordPress, ale i všechny pluginy a šablony. A ty, které se nepoužívají, raději úplně odstranit. Ne deaktivovat, ale smazat. Každý zbytečný kus kódu na serveru totiž zvyšuje riziko.

V tomto případě je řešení přímočaré. Aktualizovat plugin na verzi 10.3.2 nebo novější. Oprava už existuje a její instalace je otázkou několika minut. Přesto se podle čísel ukazuje, že značná část webů zůstává neaktualizovaná. Často kvůli obavám, že se něco rozbije, nebo prostě proto, že se na údržbu zapomnělo.