Контакты
Подписка 2024
Персональные данные
4 апреля. Персональные данные в 2024 году: регулирование, практика, тенденции
Представляйте решения на онлайн-конференции!

Новая функция безопасности WordPress может привести к очередной уязвимости

25/01/19

WordPress-1Новая функция безопасности, которую разработчики WordPress намерены реализовать в версии WordPress 5.1, запланированной к выходу весной текущего года, может подвергнуть риску сайты и блоги на данной платформе, предупреждают эксперты в области безопасности.

Речь идет о функции под названием «WSOD (white-screen-of-death) Protection» («Защита от белого экрана смерти»), призванной предупредить о фатальных ошибках PHP и плагинах и темах их вызывающих. При возникновении подобной ситуации WSOD Protection приостановит работу темы или плагина, предоставляя администратору сайта возможность разобраться в проблеме.

Однако, по мнению ряда экспертов, злоумышленники могут воспользоваться функционалом в своих целях. В частности, ИБ-специалист Славко Михайлоски (Slavco Mihajloski) указал , что атакующие могут использовать низкопробные эксплоиты в плагинах WordPress для инициирования фатальных ошибок PHP. В таком случае WSOD Protection приостановит работу плагина, предоставив злоумышленнику возможность отключить межсетевые экраны, двухфакторную аутентификацию, защиту от брутфорс-атак и другие обеспечивающие безопасность плагины на сайтах.

С мнением Михайлоски согласен и специалист компании WordFence Мэтт Руснак (Matt Rusnak). Он описал несколько сценариев атаки, где функционал может оказаться на руку атакующим. К примеру, работа плагина может быть приостановлена в связи с использованием другими плагинами слишком большого количества памяти, что может вызвать проблемы с безопасностью. Во втором сценарии атакующие могут воспользоваться уязвимостями локального внедрения файлов в плагинах/темах для массовой остановки плагинов в нужное время.

Разработчики WordPress намерены добавить опцию WP_DISABLE_FATAL_ERROR_HANDLER в конфигурационный файл wp-config.php, которая позволит владельцам сайтов отключить новую функцию защиты. На данный момент неясно, будет ли WSOD Protection включена по умолчанию в WordPress 5.1.

Специалисты рекомендуют включать данную функцию только временно при обновлении PHP сервера, ядра WordPress или плагинов, а в остальное время деактивировать ее.

Темы:WordPressУгрозы
NGFW
9 апреля. Отечественные NGFW: как защитить облачную инфраструктуру и настроить обнаружение кибератак
Участвуйте и представляйте решения!
Статьи по темеСтатьи по теме

Участвуйте в проектах

редакции журнала
"Информационная безопасность" 

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2024
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
SOAR, IRP, SOC
3 апреля. Отечественные ИT-платформы и ПО для объектов КИИ
Участвуйте!

Еще темы...

More...