Chociaż WordPress został zaprojektowany głównie do obsługi blogów, od lat jest wykorzystywany do zarządzania treścią pełnowymiarowych stron internetowych i może pochwalić się 23-proc. udziałem w globalnym rynku CMS-ów.

Drupageddon, groźną lukę w mniej rozpowszechnionym CMS-ie, media pominęły milczeniem. Myślicie, że z usterką w WordPressie było inaczej? Poniekąd. Z polskich serwisów branżowych skrótowo ją opisała m.in. Zaufana Trzecia Strona.

Fot. Gil C / Shutterstock.com

Co wiemy? Na atak, którego szczegółowe wyjaśnienie można znaleźć na stronie jego odkrywcy, Jouko Pynnonena, podatna jest wersja 3.9.2 i wcześniejsze - deweloperzy zalecają zaktualizowanie wszystkich do świeżo wydanej 4.0.1, gdyż nie planują ich więcej wspierać.

Krótko mówiąc, mamy do czynienia z atakiem XSS (ang. cross-site scripting), czyli z wstrzyknięciem kodu napisanego w JavaScripcie do komentarza, co umożliwia przejęcie kontroli nad stroną w momencie, gdy administrator zaloguje się do swojej konsoli. Usunięcie zmodyfikowanego komentarza spowoduje, że atak pozostanie niewidoczny dla administratora.

Usterki pozwalające na atak XSS zasadniczo nie należą do rzadkości, a im większy zasięg ma dana usługa, tym większych należy spodziewać się szkód. Zwlekanie z instalacją udostępnionej poprawki nie jest dobrym pomysłem. Usuwa ona zresztą także sporo luk o mniejszym znaczeniu.