Masz wtyczkę Duplicator w WordPressie? Twoja strona mogła zostać zaatakowana!

Z twojego WordPressa znikają pliki? Brakuje wp-config.php lub index.php? Wiedz, że coś się dzieje.

Duplicator to popularna wtyczka w WordPressie. Za jej pomocą możesz wykonać backup strony, sklonować witrynę tworząc środowisko do testów lub zmigrować WordPressa na inny serwer. Niestety okazało się, że jest ona także powodem ataków na WordPressa.

duplicator w wordpress,wordpress,luka bezpieczenstwa

Z twojego WordPressa znikają pliki? Brakuje wp-config.php lub index.php, a zamiast strony wyświetla się instalacja WordPressa lub błąd połączenia z bazą danych? Jeśli w przeszłości korzystałeś lub nadal korzystasz z wtyczki Duplicator, mogłeś paść ofiarą ataku, do którego doszło przez lukę bezpieczeństwa.

Co ważne, luka nie występuje w samym katalogu wtyczki Duplicator. Do ataku dochodziło przez pliki pozostawione po migracji lub wykonywanym backupie WWW za pomocą tej wtyczki.

Luka pozwala atakującemu na dostęp do treści strony i zmodyfikowanie jej za pomocą zdalnego wykonania kodu, czyli Remote Code Execution. Kod może zostać zmieniony w taki sposób by atakujący uzyskał dostęp do administracji stroną.

Jak do tego dochodzi?

Przy użyciu Duplicatora generowane są dwa pliki – .zip i plik installer.php, używany do przywracania witryny na nowym serwerze. Gdy kopia zapasowa zostanie utworzona, plik installer.php i installer-backup.php generuje lukę w nowo wygenerowanym pliku wp-config.php, który zawiera dostęp do obszaru administracyjnego.

Sam atak nie jest skomplikowany. Wystarczy ominąć zabezpieczenia w skrypcie instalatora, podając w parametrze POST wartość: action_ajax=3 i odwiedzić atakowaną stronę.

Duplicator informuje użytkowników o konieczności usunięcia pozostałych po migracji plików i wskazuje jak to zrobić. Jest to istotne ze względu na bezpieczeństwo – pozostawione skrypty instalacyjne są podatne na wstrzyknięcie kodu bezpośrednio do pliku wp-config.php.

duplicator w wordpress,wordpress,luka bezpieczenstwa

Aktualizacja Duplicatora

Luka została wyeliminowana w najnowszej aktualizacji Duplicatora – skrypt installer.php używa teraz funkcji addslashes (), która wyrzuca niepożądane znaki ze stringa przekazywanego do tej funkcji, co uniemożliwia wstrzyknięcie złośliwego kodu. Dodatkowo dodano nowe ustawienie w panelu Duplicatora.

Użytkownicy mogą  teraz chronić swoje skrypty instalacji hasłem, co blokuje dostęp do skryptu osobom trzecim. Niestety opcja ta nie jest domyślnie włączona, a samo jej ustawienie ukryte w menu. Nie wszyscy mogą zatem o nim wiedzieć i zastosować.

duplicator w wordpress,wordpress,luka bezpieczenstwa

Co ważne – zaktualizowanie Duplicatora nie spowoduje, że stare pliki pozostawione po migracji lub backupie znikną z serwera – musimy je usunąć samodzielnie.

Mimo wypuszczonej łatki, skala problemu może być jednak duża – wtyczka ma obecnie ponad milion aktywnych instalacji.

Co zrobić jeśli korzystałeś lub korzystasz z Duplicatora?

Przede wszystkim wykonaj skan wirusowy swojego WordPressa. Jeśli wykryjesz infekcje – przywróć kopię zapasową strony i zajmij się jej odwirusowaniem i dopiero później przejdź do pozostałych kroków, rozpoczynając od zmiany haseł. W usuwaniu wirusów przydatny będzie nasz poradnik.

W przypadku braku podejrzanych plików na serwerze, zmień wszystkie hasła dostępowe związane ze stroną. W kolejnym kroku usuń wszystkie pozostałe po migracjach i backupach pliki. Możesz to zrobić z poziomu kokpitu WordPressa i ustawień wtyczki.

Na swoim WordPressie poszukaj także plików installer.php i installer-backup.php i usuń je. W plikach sprawdź także, czy wszystkie pozostałości po migracjach zniknęły z serwera.

Zadbaj o aktualizację Duplicatora, jeśli chcesz nadal z niego korzystać. Skorzystaj także z nowej funkcji, którą daje wtyczka – zabezpiecz skrypty instalacji hasłem.

Wszyscy klienci LH.pl, którzy posiadają WordPressa z wtyczką Duplicator zostali mailowo poinformowani o koniecznych do podjęcia krokach, a także możliwych skutkach infekcji.

Default image
Aneta Rutkowska
Koordynator ds. marketingu w LH.pl. WordPressowy samouk, organizator warsztatów i spotkań społeczności WordPressa - WordUp Poznań.
Zostaw komentarz