Badacze zajmujący się cyberbezpieczeństwem pomogli załatać kilka luk w niezwykle popularnej wtyczce WordPress, którą każdy odwiedzający mógł wykorzystać do podjęcia szeregu działań przeciwko witrynom WordPress, których dotyczy problem, takich jak eksportowanie poufnych informacji. Luki wykryte przez ekspertów ds. bezpieczeństwa WordPressa, firmę Wordfence, istniały we wtyczce OptinMonster, z której korzysta ponad milion witryn internetowych. OptinMonster pozwala bez większego wysiłku tworzyć kampanie sprzedażowe na stronach WordPress. za pomocą dialogów. Wordfence wyjaśnia, że zdecydowana większość funkcjonalności wtyczki, a także witryny aplikacji OptinMonster opiera się na wykorzystaniu punktów końcowych API.
Sezamie, otwórz się
„Niestety większość punktów końcowych REST-API nie została zaimplementowana w sposób niepewny, co umożliwiło nieuwierzytelnionym atakującym uzyskanie dostępu do wielu punktów końcowych w witrynach, na których działa podatna na ataki wersja wtyczki.-In” – napisała Chloe Chamberland, analityk zagrożeń w Wordfence. W swoim podsumowaniu luk Chamberland zauważa, że jeden z podatnych punktów końcowych mógł zostać wykorzystany do ujawnienia poufnych danych, takich jak pełna ścieżka witryny na serwerze, a także klucz API używany przez witrynę do wykonywania operacji. Strona OptinMonster. „Mając dostęp do klucza API, osoba atakująca może wprowadzić zmiany w dowolnej kampanii powiązanej z kontem OptinMonster zarejestrowanym w witrynie i dodać złośliwy kod JavaScript, który będzie uruchamiany za każdym razem, gdy wyświetli się kampania w obsługiwanej witrynie” – wyjaśnia Chamberland. Zauważa, że lukę tę mógł wykorzystać każdy odwiedzający witrynę, co jest dość niepokojące. Chociaż nie ma żadnych raportów na temat wykorzystania luk w zabezpieczeniach, twórca wtyczki unieważnia wszystkie klucze API, zmuszając użytkowników do generowania nowych. Naprawili także wszystkie luki i zmienili sposób wprowadzania zmian w kampaniach. Chcesz stworzyć stronę internetową? Skorzystaj z jednego z najlepszych kreatorów stron WordPress i udekoruj je jednym z najlepszych motywów WordPress.