Недавно эксперты обнаружили уязвимость в популярном плагине Easy WP SMTP. Это дополнение для WordPress установлено на 500 тысяч сайтов по всему миру. Найденный критический баг очень обеспокоил исследователей, так как позволяет хакерам получить очень широкие полномочия. Однако, разработчики Easy WP SMTP и специалисты по кибербезопасности обучение постарались максимально оперативно решить проблему.
Особенности найденной уязвимости, специалисты по кибербезопасности обучение
Плагин Easy WP SMTP помогает настраивать дополнительные параметры для внутренней почты сайта. Это очень полезная функция, но у нее есть и проблемные места. В частности, эксперты обнаружили, что все письма, которые направляет почтовая служба сайта, сохраняются в одном месте. Там же хранятся и логи, которые помогают восстановить резервную копию. Тем не менее, в корневом каталоге отсутствует файл index.html. Это значит, что логи каждого сайта становятся общедоступными. Хакеры могут посмотреть их на серверах, которые поддерживают список каталогов. Об этом рассказывают аналитики, которые прошли обучение специалист по кибербезопасности в своем городе.
В результате, изучив логи, злоумышленник может сбросить данные учетной записи на сайте. А затем:
- установить свои данные для входа в панель администратора;
- внедрить на сайт вирус или вредоносную ссылку;
- похитить сведения о посетителях и клиентах ресурса.
Безусловно, специалисты сразу же сообщили о найденной уязвимости разработчикам Easy WP SMTP. Те, в свою очередь, оперативно решили проблему и устранили баг. Однако это не значит, что проблема полностью решена и не создаст пользователям сложности. Также стоит отметить, что в плагине Easy WP SMTP в прошлом году уже находили критический баг, который позволял создавать новые учетные записи. Более того, эти административные аккаунты могли создавать все пользователи сайта.
Почему опасны уязвимости в плагинах
Прежде всего, WordPress представляет собой сложную платформу для работы сайтов. Помимо собственного программного обеспечения, платформа использует сторонние плагины. Каждый такой плагин создают разработчики по всему миру. Пользователи по своему желанию могут выбрать или использовать тот или иной плагин. То же актуально и для различных тем, которые помогают уникализировать сайт. Вот только такое многообразие различных программ не может обойтись без большого количества уязвимостей. А в результате страдает кибербезопасность и защита данных изучение всей системы.
Во-первых, тема должна быть полностью совместима с WordPress. Во-вторых, плагины должны быть совместимы с темой и WordPress. В-третьих, каждый плагин должен быть совместим друг с другом. Многообразие тем и плагинов не позволяет полностью проверить совместимость. В результате нередко при использовании плагинов и тем происходят сбои в работе сайта. Более того, каждое обновление как темы, так и плагина может привести к поломке. Потому большинство пользователей предпочитают не рисковать и отключать автообновление.
Однако уязвимости никуда не деваются. И если о них становится известно специалистам, то рано или поздно о них узнают хакеры. Проблема в том, что злоумышленники также знают о проблемах, связанных с автоматическим обновлением. Потому они мониторят сайты на предмет наличия уязвимых плагинов, даже если разработчики уже исправили баг. И важно, чтобы кибербезопасность с чего начать обучение интересовала каждого пользователя лично.
Разработчики всего мира настоятельно советуют сохранять бекапы сайтов, полностью и своевременно обновлять плагины. И только потом уже осторожно устранять проблемы, которые могли возникнуть. В противном случае высока вероятность, что рано или поздно хакеры доберутся до каждого уязвимого сайта. И тогда пострадают и владельцы ресурса, и его пользователи.