Механизм загрузки обновлений для WordPress угрожает безопасности данных

Механизм загрузки обновлений для WordPress угрожает безопасности данных

Эксперт сообщил о проблемах команде WordPress, однако ему так и не удалось убедить ее в их серьезности.

Глава отдела разработки компании Paragon Initiative Enterprises Скотт Арцишевски (Scott Arciszewski) предупредил о рисках, связанных с использованием механизма доставки обновлений для WordPress. Арцишевски сообщил о проблемах команде WordPress, однако ему так и не удалось убедить ее в их серьезности.

В общей сложности эксперт обнаружил три проблемы. Первая из них связана с функцией в исходном коде WordPress, ответственной за связь CMS с сервером и загрузкой обновлений. Данная функция проверяет подлинность загружаемых файлов только по контрольной сумме MD5 без использования криптографической подписи. О проблеме стало известно еще три года назад, однако она до сих пор остается актуальной.

Вторая загвоздка заключается в серверах, с которых загружаются обновления. Серверы являются единой точкой отказа во всей архитектуре экосистемы WordPress. По словам Арцишевски, под управлением данной CMS работает 25% всех интернет-сайтов, а значит, злоумышленник с доступом к серверу может заставить миллионы ресурсов загрузить вредоносные обновления.

Третья проблема связана с поддерживаемой WordPress минимальной версией PHP - PHP 5.2.4. Арцишевски советует использовать PHP 5.6.0 с лучшей реализацией SSL/TLS.


В нашем телеграм канале мы рассказываем о главных новостях из мира IT, актуальных угрозах и событиях, которые оказывают влияние на обороноспособность стран, бизнес глобальных корпораций и безопасность пользователей по всему миру. Узнай первым как выжить в цифровом кошмаре!