LH.pl · Dział pomocy
Duplicator to popularna wtyczka w WordPressie. Za jej pomocą możesz wykonać backup strony, sklonować witrynę tworząc środowisko do testów lub zmigrować WordPressa na inny serwer. Niestety okazało się, że jest ona także powodem ataków na WordPressa.
Z twojego WordPressa znikają pliki? Brakuje wp-config.php lub index.php, a zamiast strony wyświetla się instalacja WordPressa lub błąd połączenia z bazą danych? Jeśli w przeszłości korzystałeś lub nadal korzystasz z wtyczki Duplicator, mogłeś paść ofiarą ataku, do którego doszło przez lukę bezpieczeństwa.
Co ważne, luka nie występuje w samym katalogu wtyczki Duplicator. Do ataku dochodziło przez pliki pozostawione po migracji lub wykonywanym backupie WWW za pomocą tej wtyczki.
Luka pozwala atakującemu na dostęp do treści strony i zmodyfikowanie jej za pomocą zdalnego wykonania kodu, czyli Remote Code Execution. Kod może zostać zmieniony w taki sposób by atakujący uzyskał dostęp do administracji stroną.
Spis treści
pokaż
Jak do tego dochodzi?
Przy użyciu Duplicatora generowane są dwa pliki – .zip i plik installer.php, używany do przywracania witryny na nowym serwerze. Gdy kopia zapasowa zostanie utworzona, plik installer.php i installer-backup.php generuje lukę w nowo wygenerowanym pliku wp-config.php, który zawiera dostęp do obszaru administracyjnego.
Sam atak nie jest skomplikowany. Wystarczy ominąć zabezpieczenia w skrypcie instalatora, podając w parametrze POST wartość: action_ajax=3 i odwiedzić atakowaną stronę.
Duplicator informuje użytkowników o konieczności usunięcia pozostałych po migracji plików i wskazuje jak to zrobić. Jest to istotne ze względu na bezpieczeństwo – pozostawione skrypty instalacyjne są podatne na wstrzyknięcie kodu bezpośrednio do pliku wp-config.php.
Aktualizacja Duplicatora
Luka została wyeliminowana w najnowszej aktualizacji Duplicatora – skrypt installer.php używa teraz funkcji addslashes (), która wyrzuca niepożądane znaki ze stringa przekazywanego do tej funkcji, co uniemożliwia wstrzyknięcie złośliwego kodu. Dodatkowo dodano nowe ustawienie w panelu Duplicatora.
Użytkownicy mogą teraz chronić swoje skrypty instalacji hasłem, co blokuje dostęp do skryptu osobom trzecim. Niestety opcja ta nie jest domyślnie włączona, a samo jej ustawienie ukryte w menu. Nie wszyscy mogą zatem o nim wiedzieć i zastosować.
Co ważne – zaktualizowanie Duplicatora nie spowoduje, że stare pliki pozostawione po migracji lub backupie znikną z serwera – musimy je usunąć samodzielnie.
Mimo wypuszczonej łatki, skala problemu może być jednak duża – wtyczka ma obecnie ponad milion aktywnych instalacji.
Co zrobić jeśli korzystałeś lub korzystasz z Duplicatora?
Przede wszystkim wykonaj skan wirusowy swojego WordPressa. Jeśli wykryjesz infekcje – przywróć kopię zapasową strony i zajmij się jej odwirusowaniem i dopiero później przejdź do pozostałych kroków, rozpoczynając od zmiany haseł. W usuwaniu wirusów przydatny będzie nasz poradnik.
W przypadku braku podejrzanych plików na serwerze, zmień wszystkie hasła dostępowe związane ze stroną. W kolejnym kroku usuń wszystkie pozostałe po migracjach i backupach pliki. Możesz to zrobić z poziomu kokpitu WordPressa i ustawień wtyczki.
Na swoim WordPressie poszukaj także plików installer.php i installer-backup.php i usuń je. W plikach sprawdź także, czy wszystkie pozostałości po migracjach zniknęły z serwera.
Zadbaj o aktualizację Duplicatora, jeśli chcesz nadal z niego korzystać. Skorzystaj także z nowej funkcji, którą daje wtyczka – zabezpiecz skrypty instalacji hasłem.
Wszyscy klienci LH.pl, którzy posiadają WordPressa z wtyczką Duplicator zostali mailowo poinformowani o koniecznych do podjęcia krokach, a także możliwych skutkach infekcji.
Podobał Ci się artykuł? Zostaw opinię!
