Ang sikat nga plugin sa WordPress nga ginganlag "Easy WP SMTP Plugin" nga adunay kapin sa usa ka gatos ka libo nga epektibo nga pag-install nakadiskubre sa usa ka peligro, nga nagtugot sa usa ka tig-atake sa pagkontrolar sa usa ka site. Ang bug sa kini nga WordPress plugin nagtugot sa cyberpunks, i-rematch ang admin password ug kuhaa ang hingpit nga pagtugot sa usa ka website.
Ang giila nga kahuyangan anaa sa debug log file, nga huyang tungod sa usa ka sukaranan kaayo nga sayup kung giunsa pagdumala sa plug-in ang usa ka folder. Plugins folder sa server nga adunay mga file, nga ipabilin sa mga tiggamit, nga kasagaran adunay sulod nga walay sulod nga index.html nga payl. Ang katuyoan niini nga file mao ang pagbuhat niini, aron mapugngan ang usa ka tawo, Pag-navigate sa kana nga folder ug tan-awa ang lista sa mga file sa kana nga direktoryo.
Kung adunay nagtan-aw niini nga lista sa mga file, ma-access niya kini nga mga file, unsay problema.
Ang folder, diin kini nga debug log file anaa, walay index.html nga payl. Sa mga server, diin ang mga lista sa indeks sa direktoryo wala ma-disable, Sa kasagaran, ang usa ka dautan nga slob mahimong makakuha og access niini nga file.
Una ug labaw sa tanan, nakuha nila ang admin-level username gikan sa WordPress site. sila naningkamot, hack gamit ang nahibal-an nga mga pamaagi.
Unya moadto sila sa WordPress login page ug magpadala usa ka hangyo nga i-reset ang password sa account sa administrator.
Nakakuha usab sila og access sa mga file sa debug log ug ibalik ang link sa pag-reset sa password, gipadala sa WordPress site. Kung ma-access nimo kini nga link, isulod kini, i-reset ang password ug dayon pahimusli ang hingpit nga pag-access sa site.
Kini nga vulnerability plugin nagmintinar sa usa ka change log, nga nagrekord sa tanang kausaban sa matag update. Kinahanglang basahon ang changelog, aron mailhan sa usa ka tiggamit, unsa nga update ang gihimo.
Sa diha nga ang usa ka kahuyang madiskobrehan, mao ang kasagarang makit-an sa mga plug-in developer, nga ang pagkahuyang matangtang. Kini naghatag sa WordPress developer sa impormasyon, nga iyang gikinahanglan, sa paghimo sa usa ka nahibal-an nga desisyon. Usa ka log sa pagbag-o, nga nagpahibalo sa usa ka magmamantala bahin niini, nga ang usa ka update hinungdan sa usa ka kahuyang sa seguridad, nagtugot sa magmamantala, paghimo usa ka nahibal-an nga desisyon bahin sa pag-update sa plug-in, aron malikayan ang pag-atake sa mga hacker.
Girekomenda kini pag-ayo, nga ang tanan nga Easy WP SMTP Plugin nga tiggamit mag-upgrade sa usa ka bersyon nga mas taas kaysa bersyon 1.4.2 Aron ma-update.