A kommentekben elhelyezett kártékony kód akkor fut le, amikor a weboldal gazdája belép az admin felületre. A finn biztonsági szakember, Klikki Oy mostani felfedezése weboldalak millióinak biztonságát érintheti, hiszen a Wordpress keretrendszer nagyon népszerű és elterjedt világszerte.
A kommentek szűrésére egy hatékony lehetőség lehet például a spamszűrésre alkalmas Akismet, amely igaz hogy fizetős, de a havi 10, illetve cégek esetében havi 50 dollárért még így is sokaknak megérheti a használatot. Nyilván aztán előbb-utóbb érkezik frissítés a sebezhetőségekre is, ez most a 4.2.1-es, április 27-én kiadott verziót jelenti, ám emellett a szakértő javasolja a kommentezési lehetőség kikapcsolását is, amivel megelőzhető ez a fajta támadás.
Nem ez volt az első kártékony Wordpress pluginnel kapcsolatos incidens, emlékezetes lehet például az a 2012-es eset, amelynél legalább 30 ezer weboldal esett áldozatul, a beszúrt kód segítségével pedig hamis antivírust terjesztettek. Ott a szakértők szerint a tömeges fertőzés nagy valószínűséggel egy bárki által szabadon letölthető, ám kártékonynak bizonyuló ToolsPack nevű plugin miatt indulhatott el.
Az elhanyagolt Wordpress oldalakra egyébként nem is olyan régen a németországi CERT is felhívta a figyelmet, hiszen az áldozatok rendre gyanútlan átlagfelhasználók. Gyakori forgatókönyv ugyanis, hogy a különféle sebezhető pluginek segítségével automatikusan keresnek sérülékeny oldalakat, amelyek még a korábbi modult használják, ezzel pedig tulajdonképpen felhasználói közreműködés - kattintás - nélkül kompromittálhatók az oldalak.
Ha valaki esetleg érintett egy ilyen történetben, akkor érdemes figyelni arra is, hogy a frissítéseken felül az ilyenkor kötelező admin jelszócserékről se feledkezzen meg.
Tulajdonképpen nem is a Wordpress az ami itt igazából a fő gyenge láncszem, hanem maga a frissítéseket tartósan elhanyagoló felhasználó. Ez pedig - legyen szó akár Windowsról, akár Adobe Reader-ről, Java-ról vagy nevezetesen Wordpress-ről, pluginekről - sajnos nem hagyható el fájdalmas következmények nélkül. Visszatérve a tartalomkezelő rendszerre, vagy mindenki megtanulja és megcsinálja maga - ehhez mindössze pár óvodás szintű kattintásra van szükség, ami a Wordpress esetében magából az Admin menüből könnyedén elintézhető, ha ez még sem járható, akkor kérjen meg erre valakit - vagy ellenkező esetben fertőzésnek teszi ki a weboldalát, ami később kártevőket terjeszthet a látogatók felé is.
Itt is érvényes tehát az elv, miszerint "A gravitáció nemismerete nem mentesít a zuhanás alól", vagy ugyanez Zen köntösben: "Minden szenvedés végső oka a nemtudás".
Kártékony kommentek járják be a Wordpress-t
Egy friss beszámoló szerint tömegesen érkeznek zeroday támadások a Wordpress weboldalak kommentjeiben. A cél mi más is lehetne, mint hogy kártékony JavaScripteket beszúrva ezek segítségével meg lehessen fertőzni az oldalt. A PHP alapú ingyenes tartalomkezelő rendszerekkel készült weboldalak emiatt intenzív támadásokra számíthatnak.
