En allvarlig sårbarhet i WordPress kunde ha gjort nära en fjärdedel av alla webbsajter öppna för hackerattacker. Det meddelar utvecklarna bakom populära säkerhetstillägget Wordfence för WordPress. Och vi ska skatta oss lyckliga att problemet upptäcktes snabbt.
Sårbarheten som hittades fanns i servern för api.wordpress.org, en plats som har en central roll i WordPress ekosystem. Härifrån släpps automatiska uppdateringar till alla webbsajter som använder WordPress och med fel kod här kan hackare potentiellt lägga in vad som helst på vilken WordPress-sajt som helst.
Det otäcka är att en ändring automatisk skickas ut till alla anslutna webbsajter och över hela plattformen. Därefter kan hackare helt sonika stänga av möjligheten för WordPress att skicka ut nya uppdateringar genom att uppdatera koden på användarnas sida. Om så sker måste varje enskild webbsajt uppdateras på nytt — manuellt.
Sårbarheten i systemet påpekats för de ansvariga bakom WordPress den 2 september och en buggfix släpptes den 7 september. Det värsta problemet är alltså fixat men servern fortsätter att vara en svag punkt för WordPress. En enda central server kan i ett svep hota en fjärdedel av alla webbsajter. Det om något borde vara fokus för en ordentlig säkerhetsgenomgång.
Så här skulle en attack kunna ske
En gång i timmen skickar din WordPress-sajt en fråga till servern api.wordpress.org om det finns uppdaterad mjukvara att hämta. Frågan gäller såväl kärnan i WordPress som eventuella tillägg och teman.
Servern svarar med antingen ett nekande svar (det finns inga uppdateringar att hämta) eller ett positivt svar. Med det positiva svaret följer en adress till den server där uppdateringen kan hämtas och det är här problemet börjar.
Om api.wordpress.org komprometteras av hackare kan de lägga in vilken adress som helst, exempelvis till skadlig kod. Din WordPress-sajt litar blint på att adresserna från servern är legitima och installerar utan att blinka allt som adresserna pekar på.
Standard för alla WordPress-installationer är att mindre uppdateringar automatiskt hämtas och installeras utan användarens godtycke. Om du inte stängt av den automatiska uppdateringen är alltså risken att din sajt infekteras av skadlig kod utan att du vet om det. Det bara sker.
Har du aktiverat automatiska uppdateringar för din webbsajt? Kommentera gärna och berätta hur du ser på säkerheten för din sida.
Läs mer på den officiella webbsajten för Wordfence.com.