Luka w popularnej wtyczce Contact Form 7 – WordPress

Data: 18 grudnia, 2020

Luka w popularnej wtyczce Contact Form 7 – WordPress

Zaktualizuj, zanim będzie za późno!

W dniu 17 grudnia 2020 roku poinformowano o pewnej luce we wtyczce Contact Form 7, znaną jako najpopularniejszą wtyczkę WordPress na świecie. Sprawa obejmuje aż ponad 5 milionów stron. To poważne zagrożenie, na które powinniśmy jak najszybciej zareagować i zaktualizować wtyczkę.

Contact Form 7 – co to jest?

Contact Form 7 pomaga w funkcjonalnym osadzeniu formularza na stronie WWW, opartej o WordPress. Formularz może być bardzo prosty z polem tekstowym lub z rozwijanymi listami i zaawansowanych opcjach. Często właśnie tę wtyczkę wybiera się przy tworzenie stron internetowych opartych na systemie CMS. Luka, którą ujawniono umożliwia wykonanie złośliwego kodu na serwerze. To sprawi, że niepożądana osoba przejmie kontrolę na Twojej stronie. Jeśli zaktualizujesz dostatecznie szybko do wersji 5.3.2. – unikniesz niepotrzebnych skutków. Postaramy się poniżej przedstawić, w jaki sposób podjąć kroki ku temu.

Contact Form 7 – Na czym polega atak?

Serwer z obecną podatnością umożliwia wstrzyknąć złośliwy kod w stronę. Warunki spełnione to obecność i wykorzystanie tej wtyczki oraz korzystanie z komponentu do wgrywania plików. Wykorzystując tę lukę, przesyłający formularz może ominąć wykrycie i usunięcie nazwy pliku w “Contact Form 7” i przesłać plik. Może uruchomić go, jako plik skryptu na Twoim serwerze. Atakujący może w ten sposób wgrać dowolny kod, stąd prośba o natychmiastową aktualizację do wersji 5.3.2, gdzie ta luka została usunięta.

Czy moja strona kwalifikuje się do ataku?

Aby dana osoba przejęła serwer dzięki tej luce, Twój serwer musi posiadać 4 czynniki:

  • W formularzu masz możliwość załączenia i przesłania pliku.
  • Posiadasz włączony directory indexing (podgląd zawartości folderów, na których nie ma pliku index.(php/html).
  • Twój serwer uniemożliwia użycie pliku .htaccess przez wtyczkę (blokowanie wykonania załadowanych (upload) plików.
  • Serwer inny niż na Apache.
  • Konfiguracja serwera pozwala na uruchomienie skryptu PHP z plików np. doc, pdf, itp. z podwójnym rozszerzeniem.

Jednakże naraz posiadanie tych wszystkich czynników na serwerze jest dość nieprawdopodobna, stąd możliwość wystąpienia takiej sytuacji u kogoś z całego świata. Nie strasząc, ale i też nie bagatelizując kwestii bezpieczeństwa. Nie chcesz najbliższego tygodnia spędzić na usuwaniu malware’ów, tylko skupić się na prezentach i rodzinie, prawda?

Contact form 7 – Instrukcja aktualizacji,

  1. Zaloguj się do kokpitu Twojego WordPress’a. Po lewej stronie wybierz WTYCZKI > Contact Form 7 > Uruchom aktualizację
  2. Jeśli nie widzisz wtyczki, to możliwe, że jej nie używasz.
  3. Aktualizować wtyczki można również klikając przycisk z ikoną aktualizacji na górnym pasku ekranu.

Zaktualizowane – Ostatni krok

Zaktualizowana wtyczka?

Wspaniale! Jesteś w gronie 20% osób, które na całym świecie podjęły te działania. A przecież sytuacja nie trwa nawet doby. Zachęcamy do obserwowania naszego bloga, w celu śledzenia nowości i bycia informacyjnie o krok przed innymi. Po nowości z realizacji zapraszamy na stronę na Facebooku.