• +46 (0)70 6542234 / +46 (0)72 8878838

  • WordPress-sajter är öppna för intrång.

  • Ännu ett populärt plugin har allvarlig sårbarhet

    Vulnerabilities-team varnar nu för att över 10 000 WordPress-sajter är öppna för intrång och attacker. Anledningen är att ett populärt plugin, WP Mobile Detector, har en så kallad zero-day-sårbarhet.

    Säkerhetsteamet blev medvetna om sårbarheten efter att ha upptäckt en HEAD-förfrågan efter en fil i WP Mobile Detector: blog/wp-content/plugins/wp-mobile-detector/resize.php, på en domän som inte ens hade tillägget installerat. När man närmare granskade detta  kunde man konstatera att det troligtvis rörde sig om någon som fiskade efter om filen existerade, innan man skulle ge sig på att försöka utnyttja sårbarheten.

    Sårbarheten är enligt säkerhetsföretaget Sucuri lätt att utnyttja som en bakdörr in i webbplatsen. Angripare har bland annat använt den för att ladda in script med spam och pornografi.

    Utvecklarna bakom WP Mobile Detector tätade hålet redan efter ett par dagar efter att de fick rapporten från säkerhetsforskarna. Användare uppmanas nu att omgående uppdatera antingen till version 3.6 eller 3.7, som båda nu är skyddade mot attacker som utnyttjar den gamla sårbarheten.

    WordPress är alltså ett populärt innehållshanteringssystem som ofta används på bloggar men även på webbplatser. Det innebär att man enkelt kan lägga till texter, bilder, länkar och annat innehåll till sin blogg eller webbplats.

    En viktig sak med WordPress är att det är open source, eller öppen källkod som det heter på svenska och kan laddas ner kostnadsfritt.
    WordPress är utvecklat med det öppna programspråket PHP och använder databasen MySQL för datalagring. WordPress MU, eller multi-user (flera användare) är en vidareutveckling av WordPress som är ett skalbart system som hanterar obegränsat med användare.

    Ursprungligen konstruerades WordPress för bloggar men eftersom systemet blivit så populärt har det även börjat att användas som fullskaligt innehållshanteringssystem. Skillnaden är egentligen inte så stor men man förväntar sig funktioner som exempelvis rollhantering och arbetsflöde i ett innehållshanteringssystem. En fördel med WordPress är att det finns en väldigt stor användarbas som utvecklar plug-ins som tar hand om det mesta. På så sätt kan varje WordPress-lösning vara unik och anpassad för det behov som finns.

    Det krävs ofta en konsultinsats för att anpassa och skruva till alla plug-ins så det fungerar perfekt. Men eftersom det ofta finns färdiga plug-ins att utgå ifrån kan man komma långt på relativt liten arbetsinsats.

    Kontakt oss om ni behöver hjälp med detta.