На днях появилась информация о том, что в последние дни миллионы сайтов на WordPress получили принудительное обновление одного плагина. Это плагин UpdraftPlus и в нём найдена неисправность. Плагин даёт пользователям возможность создавать и восстанавливать резервные копии сайтов. Уязвимость позволяет всем желающим с регистрацией на сайте скачать всю его базу данных.

Ошибка была обнаружена исследователем безопасности Марком Монпасом из Jetpack во время аудита безопасности плагина, пишет Engadget. Эту уязвимость легко использовать, что приведёт к неприятным последствиям. Пользователи с низким уровнем привилегий получают доступ в том числе к необработанным резервным копиям базы данных.

Он сообщил разработчикам UpdraftPlus об этой уязвимости в минувший вторник. На следующем день был выпущен патч позже и вскоре стартовала принудительная установка обновления. К четвергу оно добралось до 1,7 млн сайтов из более чем 3 млн., на которых используется этот плагин.

UpdraftPlus неправильно реализовывал функцию «Hearbeat» WordPress, проверяя наличие у пользователей привилегий администратора. Другая проблема заключалась в используемой для проверки администраторов переменной, которую обычные пользователи могли менять.

Ранее в этом году WordPress взламывали посредством GoDaddy, в результате чего в посторонние руки попали данные 1,2 млн аккаунтов. При наличии на вашем сайте на WordPress плагина UpdraftPlus убедитесь, что он обновлён до версии 1.22.4 или новее в бесплатном варианте или 2.22.4 и выше в премиальном.