Μια ευπάθεια cross-site scripting (XXS) στο WordPress WP-Members Membership plugin μπορεί να θέσει σε κίνδυνο χιλιάδες sites.
Η ευπάθεια αναφέρθηκε στη Wordfence από τον προγραμματιστή του WordPress, Webbernaut, στα πλαίσια του προγράμματος Bug Bounty Extravaganza. Ο Webbernaut έλαβε χρηματικό έπαθλο 500 $ για την αναφορά της ευπάθειας.
Το WP-Members Membership Plugin είναι εγκατεστημένο αυτήν τη στιγμή σε πάνω από 60.000 ιστότοπους WordPress.
Δείτε επίσης: LayerSlider: Κρίσιμη ευπάθεια στο WordPress plugin
“Η ευπάθεια επιτρέπει στους παράγοντες απειλών να εισάγουν JavaScript μέσω του X-Forwarded-For header, που χρησιμοποιείται από το plugin για σκοπούς καταγραφής“, αναφέρει η Wordfence. “Όταν προβάλλεται από έναν διαχειριστή, ο κακόβουλος κώδικας εκτελείται στο πλαίσιο του browser session του διαχειριστή και επιτρέπει τη δημιουργία κακόβουλων administrator users καθώς και αλλαγές στις ρυθμίσεις ενός επηρεαζόμενου ιστότοπου, οι οποίες θα μπορούσαν να οδηγήσουν σε πλήρη κατάληψη του ιστότοπου“.
Η ευπάθεια επηρεάζει όλες τις εκδόσεις του WP-Members Membership μέχρι και την 3.4.9.2.
Η Wordfence είπε ότι η ευπάθεια διορθώθηκε εν μέρει στην έκδοση 3.4.9.2 και πλήρως στην έκδοση 3.4.9.3.
Δείτε επίσης: Popup Builder plugin: Ευπάθεια θέτει σε κίνδυνο χιλιάδες WordPress sites
Σημασία προστασίας WordPress
Η προστασία των ιστοσελίδων WordPress είναι ιδιαίτερα σημαντική για πολλούς λόγους. Αρχικά, οι ιστότοποι WordPress είναι πολύ δημοφιλείς, που σημαίνει ότι αποτελούν βασικό στόχο για τους κυβερνοεγκληματίες. Αν ο ιστότοπός σας δεν είναι προστατευμένος, μπορεί να προκληθεί σημαντική ζημιά.
Επιπρόσθετα, ένα μη προστατευόμενο site WordPress μπορεί να υπονομεύσει την εμπιστοσύνη και την αξιοπιστία που έχετε δημιουργήσει με τους πελάτες σας. Εάν τα δεδομένα τους υποκλαπούν, είναι πολύ πιθανό να προσφύγουν νομικά εναντίον σας και να στραφούν σε άλλες εταιρείες.
Η προστασία του ιστοτόπου σας είναι επίσης σημαντική για τη διατήρηση της συνοχής και της αξιοπιστίας του περιεχομένου σας. Αν ένας hacker παραβιάσει τον ιστότοπό σας και αλλοιώσει το περιεχόμενο, μπορεί να προκληθεί η εντύπωση ότι δεν ασχολείστε αρκετά με τον ιστότοπό σας.
Δείτε επίσης: WordPress sites χρησιμοποιούν browsers επισκεπτών για παραβίαση άλλων sites
Με άλλα λόγια, η εξασφάλιση της προστασίας του ιστοτόπου WordPress δεν είναι απλά θέμα προστασίας των δεδομένων σας – είναι θέμα διατήρησης της εμπιστοσύνης των πελατών σας, συντήρησης της φήμης της εταιρείας σας και παραμονής στην κορυφή του ανταγωνισμού.
Πηγή: securityaffairs.com
 στο WordPress WP-Members Membership plugin μπορεί να θέσει σε κίνδυνο χιλιάδες sites.){kind=link}