Kwi
8
2016

Wyciek „Panama Papers” przez dziurę w WordPressowej wtyczce?

Pojawiła się ciekawa teoria, że wyciek danych osób ukrywających swoje finanse w rajach podatkowych, zwany „Panama Papers” to także przykład do czego może prowadzić  nieaktualizowanie WordPressa i zainstalowanych na nim wtyczek i motywów.

panama

Serwis WordFence poddał analizie stronę firmy Mossack Fonseca i zauważył, że w istocie działa ona na WordPressie. Wśród zainstalowanych wtyczek znalazła się odpowiedzialna za Revolution Slider, której administrator strony od lat nie aktualizował. Problem w tym, że w tym czasie we wtyczce tej znaleziono (i naprawiono) wiele błędów, w tym związanych z bezpieczeństwem.

Czy faktycznie ta dziura sprawiła, że dane wyciekły, nie wiadomo. Nikt nie trzyma na WordPressowej stronie 2,5 terabajtów danych, jednak jeśli strona była uruchomiona na tym samym serwerze co system CRM firmy lub wśród danych gromadzonych na stronie było coś, co umożliwiło „przedostać się dalej”, w takim wypadku mamy do czynienia z chyba najbardziej skrajnym przykładem do czego może prowadzić zaniedbywanie WordPressowej strony.

W tym miejscu polecam Wam mój starszy wpis, w którym wymieniam sposoby, w jakie włamywacze dostają się do WordPressa najczęściej. Nie wspomnę już, że jeszcze wcześniej na swoim własnym blogu nawoływałem do porzucenia sliderów na stronach. Mają za swoje ;)

 

 

O autorze: Konrad Karpieszuk

Jak każdy chyba tutaj zacząłem po prostu od blogowania. WordPress jednak tak mnie zafascynował, że szybko zabrałem się za tworzenie stron na nim opartych. Później przyszedł czas na pisanie poradników z nim związanych, zdarzyła się nawet książka. Współorganizowałem pierwszy polski WordCamp. Opiekuję się serwisem WPzlecenia.pl, a teraz także tym podserwisem, na którym właśnie jesteście: dev.WPzlecenia. Wszystkim życzę jak najwięcej wyniesionej WIEDZY odnośnie WordPressa. Zaparzcie kawę, usiądźcie wygodnie i - do lektury! :)

Obecnie jestem pracownikiem firmy tworzącej wtyczkę WPML (pozwala tworzyć wielojęzykowe strony), gdzie odpowiadam za jej rozwój. Jestem także autorem bardzo popularnej wtyczki sklepowej TradeMatik

3 komentarze + Dodaj komentarz

  • Ich kliencki serwis stał na nieaktualizowanym od 3 lat Drupalu, w międzyczasie była epidemia „Drupalgeddon”, skoro na tacy mieli podane podatności jak wejść do środka to przypuszczam, że WordPressa i jego wtyczek olali. Bo od razu mogli wbić do bardziej priorytetowego miejsca.

  • Ale jaj narobiła ta sprawa. Nie trzeba chronić takie dane na stronach :)

  • Wordfence przyczepili się dla slajdera a tam z teo co widzę wtyczka qtranslate w wersji, która jakiś czas temu została tymczasowo zdjęta z repo za poważną lukę :D

Uwaga, leci reklama:



Gdzie nas czytać?

Autorzy »
Komentujący »
#wpzlecenia »