Plugin WP Fastest Cache pro WordPress, používaný k zrychlení načítání stránek, je zranitelný kvůli chybě SQL injection. Tato chyba umožňuje neautorizovaným útočníkům číst obsah databáze webu. Aktuálně je dle statistik WordPress.org tento plugin nainstalován na více než milionu webových stránek.
Statistiky stahování z WordPress.org ukazují, že více než 600.000 webů stále používá zranitelnou verzi tohoto pluginu, čímž se vystavují potenciálním útokům a zneužití dat. Tým WPScan z Automattic odhalil podrobnosti o této zranitelnosti s vysokým stupněm závažnosti, která ovlivňuje všechny verze pluginu před verzí 1.2.2.
SQL injection zranitelnosti vznikají, když software přijímá vstupy, které přímo manipulují s SQL dotazy. V tomto případě je problém ve funkci ‘is_user_admin’ v rámci pluginu WP Fastest Cache. Tato funkce má za úkol zjistit, zda je uživatel administrátorem, a to extrakcí hodnoty ‘$username’ z cookies. Jelikož útočník může manipulovat s touto hodnotou cookie a změnit SQL dotaz prováděný pluginem, což vede k neautorizovanému přístupu přímo k databázi. Databáze WordPress typicky obsahují citlivé informace, jako jsou údaje uživatelů (IP adresy, e-maily, ID), hesla k účtům, nastavení pluginů a další data nezbytná pro funkčnost a provoz webu. Zneužití tohoto pluginu tak může znamenat zneužití vašich dat a data vašich zákazníků.
Vývojáři pluginu Fastest Cache již vydali opravu ve verzi 1.2.2. Všem uživatelům tohoto pluginu doporučujeme co nejdříve aktualizovat na nejnovější verzi. Aktualizace na nejnovější verzi pluginu WP Fastest Cache je nezbytná pro zajištění bezpečnosti vašeho webu, který funguje na redakčním systému WordPress.
A jak provést aktualizaci pluginu ve Worpdressu?
Přihlašte se do redakčního systému WordPress: Proveďte přihlášení do administrace WordPressu.
Přístup k pluginům: V levém menu WordPressu vyberte „Pluginy“ a pak „Přehled pluginů“.
Nalezení WP Fastest Cache: V seznamu pluginů vyhledejte „WP Fastest Cache“.
Zkontrolování aktualizací: Pokud je dostupná aktualizace, u pluginu se objeví odkaz „aktualizovat“.
Provedení aktualizace: Klikněte na odkaz „spustit automatickou aktualizaci“ a nechte dokončit proces.
Ověření aktualizace: Po dokončení aktualizace se ujistěte, že plugin funguje správně.
V současné době jako hostingová společnost GIGASERVER.CZ kontrolujeme všechny servery na výskyt tohoto pluginu a postupně kontaktujeme zákazníky, aby aktualizovali tento plugin. Tímto způsobem přispíváme k zajištění bezpečnosti webových stránek našich klientů a pomáháme Vám v prevenci potenciálních bezpečnostních hrozeb.
V případě, že máte ohledně aktualizace pluginu jakékoliv otázky tak kontaktujte naši technickou podporu e-mailem (info@gigaserver.cz) kontaktním formuláře v administraci na https://admin.gigaserver.cz, on-line chatem nebo telefonicky na čísle +420 774 151 730.