WP GDPR este un plugin WordPress foarte popular, utilizat pentru implementarea cerintelor GDPR in WordPress. De curand, WP GDPR a fost identificat ca avand o vulnerabilitate periculoasa de escaladare a privilegiilor pe care atacatorii o exploateaza in mod activ pentru a compromite site-urile WordPress.
WP GDPR va ajuta sa respectati Regulamentul European general privind Protectia Datelor cu caracter personal furnizand instrumente prin care vizitatorii website-ului dvs. pot permite utilizarea datelor lor personale sau sa solicite stergerea lor din baza de date a site-ului web. Aceasta problema a fost descoperita de catre echipa WordPress.org Plugin Directory in data de 6 noiembrie; un update de securitate (patch) a fost emis a doua zi, in versiunea 1.4.3.
Potrivit unui articol Wordfence, peste 100.000 de utilizatori WordPress au instalat pluginul GDPR. Acesti utilizatori sunt in pericol daca nu au actualizat deja plugin-ul respectiv.
Un consultant WPScan afirma ca aceasta eroare exista in mod specific in cadrul fisierului „wp-admin / admin-ajax.php” al plugin-ului. Atunci cand este exploatat, vulnerabilitatea „permite utilizatorilor neautorizati sa execute orice actiune si sa actualizeze orice valoare din baza de date.”
Wordfence raporteaza ca persoanele rau intenționate au folosit aceasta bresa de securitate pentru a schimba valorile in baza de date si pentru a aduga noi conturi de admin pe site-urile afectate. Obtinerea privilegiilor de administrare le permite acestor atacatori sa obtina controlul total al website-urilor web, putand ulterior redirectiona potentialii utilizatori sau pentru a instala programe malware.
In ceea ce pare a fi un atac venit de la un anumit hacker, analistii au observat mai multe conturi de utilizator cu drepturi de admin compromise, utilizand o varianta a numelui de utilizator t2trollherten si folosind un webshell rau intenționat numit wp-cache.php. Intr-o alta postare de pe blogul Sucuri se mentioneaza instante ale numelui de utilizator „t3trollherten”, precum si variatii ale utilizatorului „superuser”.
Sucuri explica ca unele dintre atacuri au modificat setari ale URL ale website-urilor web afectate in „hxxp: // erealitatea [.] Net”. Interogand domeniul erealitatea.net, consultantii de la Sucuri au gasit mai mult de 5.000 de rezultate, majoritatea fiind generate de site-uri infectate.
„Modificarea adresei URL este oarecum o durere de cap, deoarece site-ul se va mai incarca corect”, scrie autorul postului Sucuri, Pedro Peixoto. „Site-ul erealitatea [.] Este in prezent nefunctional, astfel incat site-urile infectate au un timp foarte mare de incarcare si in plus apar ca fiind corupte, deoarece nu sunt incarcate resursele statice. Pe de alta parte, in cazul in care site-ul malware ar fi fost activ, ar fi putut servi orice fel de conținut rau intenționat pentru site-urile infectate. ”
„Aceeasi problema exista daca incercati sa va conectați la back-end-ul website-ului, ceea ce inseamna ca proprietarul site-ului isi pierde accesul la acesta si nu va putea rezolva problema din wp-admin”,
Potrivit Wordfence, functionalitatea admin-ajax.php folosita de plug-in este proiectata in mod obisnuit pentru a permite accesul la date si solicitarea stergeri acestora, conform cerintelor standardelor europene de protecție a datelor GDPR.
Sucuri informeaza proprietarii de site-uri care au fost victime ale atacului cu acest tip de redirectionare ca pot remedia modificarea setarilor adresei URL neautorizate prin editarea manuala a tabelei din baza de date wp_options a site-ului. Sucuri recomanda proprietarilor de site-uri sa dezactiveze inregistrarea utilizatorilor, sa se asigure ca rolul de utilizator implicit nu este setat ca Administrator si sa activeze firewall-uri.
Pentru a preveni infectarea websitului dvs. WordPress, HostX.ro va recomanda:
- sa va asigurati ca ati instalat ultima versiune WP GDPR
- in cazul in care website-ul dvs. este afectat sa incercati sa restaurati un backup prin sistemul R1Soft si apoi sa eliminati problemele de securitate
- puteti opta pentru servicii de monitorizare si protectie anti malware