Kolejne włamania do WordPressów – tym razem przez fałszywe jQuery

Muszę przyznać, że choć jednym z zadań jakie wykonuje, jest ochrona przed włamaniami oraz naprawianie szkód przez nie wywołanych, w jakiś tam sposób podziwiam włamywaczy. Jednak jedynie tych, którzy robią to w zaplanowany i wykwintny sposób.

Taką właśnie metodę dopiero co wykrytą w kilku pluginach w repozytorium WordPressa opisał dziś WPMU. Włamywacz w kilku swoich pluginach umieścił odnośnik do fałszywego pliku biblioteki jQuery, tak, że nieuważna osoba mogłaby to przegapić (i najczęściej przegapiała). W ten sposób na „zarażony” blog wczytywane były odnośniki do programów partnerskich, w których brał udział włamywacz. Nie jest to więc coś szczególnie groźnego, jednak warto przyjrzeć się problemowi uważniej – tę samą metodę można by było użyć do o wiele poważniejszych i bardziej szkodliwych celów.

Wychodzi na to, że powtarzane jak mantra „aktualizuj swojego WordPressa i wtyczki do niego” już nie wystarczy. O ile się orientuję jest to pierwszy przypadek kompromitacji wordpressowego repozytorium, ale wraz z popularyzacją tego systemu na pewno zdarzać się to będzie częściej.

Macie jakieś pomysły jak chronić się przed takimi włamaniami? Czytanie kodu każdej instalowanej wtyczki chyba nie przejdzie…


Opublikowano

w

, ,

przez

Komentarze

8 odpowiedzi na „Kolejne włamania do WordPressów – tym razem przez fałszywe jQuery”

  1. Awatar Jakub Milczarek

    Instalować wtyczki tylko od zaufanych deweloperów, czyli każdy z nas musi utworzyć sobie taką „krótką listę”…

    1. Awatar Konrad Karpieszuk

      no wlasnie obawiam sie ze taka lista bedzie naprawde krotka :) jak sie wchodzi w repo, malo kto szuka konkretnych autorow a szuka sie wtyczek do rozwiazania problemu. i jak juz znajdziesz, wez i sie zastanawiaj kim jest ten autor :)

  2. Awatar Paweł "Ghoran" Leśkiewicz
    Paweł „Ghoran” Leśkiewicz

    Wchodząc do repo szukam – jak napisał Konrad – rozwiązania swojego problemu, a jako, że to repo to zakładam, że wtyczka tam umieszczona jest ok… Lista zaufanych autorów nic nie da. Przecież nie jest tak, że tych, niech będzie, że nawet kilkudziesięciu, autorów nie ma w swoim portfolio wtyczek do wszystkiego.

    Czytanie kodu mimo, że czasochłonne – jest jakąś możliwością. Ale też nie rozwiązuje problemu standardowego usera. Ja tam mogę sobie czytać i trzy razy (ba… „bez kozery powiem pińcset” razy) i nic z tego nie wyniknie, bo ja jestem użyszkodnik końcowy. Ściągam, czytam readme, instaluję i mam (no a jak nie mam to dopiero się zastanawiam co zrobić).

    1. Awatar Konrad Karpieszuk

      no wlasnie sie zgadza. mysle ze jesli problem bedzie sie nasilal, coraz popularniejsze beda pluginy platne. na codecanyon jest tego juz sporo i o ile sie orientuje kod takich wtyczek jest sprawdzany przez wlascicieli platformy

  3. Awatar Marcin

    Staram się ogląda zawsze kod wtyczki, ale nie zawsze jest to wykonalne. Zresztą bardzo dużo, nawet niezłych wtyczek jest nieaktualna jeżeli chodzi choćby o używanie przestarzałych metod. Przykładem jest funkcja has_cap – używana naprawdę w wielu miejscach. Co do samego problemu „jQuery” i innych tego typu bibliotek, to zawsze będzie dla mnie podejrzana taka wtyczka która nie korzysta z tego co ma „w sobie” WordPress.

  4. Awatar dr.Gonzo
    dr.Gonzo

    „O ile się orientuję jest to pierwszy przypadek kompromitacji wordpressowego repozytorium”

    Jesteś w błędzie kolego. source: https://webhosting.pl/Uwazajcie.na.wtyczki.do.WordPressa.kto.wie.gdzie.czai.sie.zlosliwy.kod

    1. Awatar Konrad Karpieszuk

      racja! zapomnialem o tym choc czytalem :)

  5. Awatar Vokiel

    Z bezpieczeństwem wtyczek jest jeszcze jedna kwestia. Przykładowo instalujemy pierwszy raz jakąś wtyczkę, przeglądamy jej źródła, analizujemy – jest ok. Wrzucamy, korzystamy z niej na kilku stronach, śledzimy rozwój itd. Przykładowo przez rok czasu wszystko jest ok, usypiamy naszą czujność, dodajemy nawet developera do listy zaufanych. Aż tu nagle, przy kolejnej aktualizacji developer, który już zdobył zaufanie użytkowników, ma wtyczkę zainstalowaną na tysiącach stron dodaje sobie backdoor’a…