Popularna wtyczka WordPress o nazwie „Easy WP SMTP Plugin” z ponad stu tysiącami skutecznych instalacji właśnie odkryła ryzyko, który pozwala atakującemu przejąć kontrolę nad witryną. Błąd w tej wtyczce WordPress pozwala cyberpunkom, dopasuj hasło administratora i uzyskaj pełną autoryzację strony internetowej.
Zidentyfikowana luka znajduje się w pliku dziennika debugowania, który jest podatny na ataki ze względu na bardzo podstawową wadę w sposobie zarządzania folderem przez wtyczkę. Folder wtyczek na serwerze z plikami, do zachowania przez użytkowników, które zwykle zawierają pusty plik index.html. Celem tego pliku jest zrobienie tego, aby komuś zapobiec, przejdź do tego folderu i zobacz listę plików w tym katalogu.
Jeśli ktoś ogląda tę listę plików, może mieć dostęp do tych plików, Jaki jest problem.
Folder, gdzie istnieje ten plik dziennika debugowania, nie zawiera pliku index.html. Na serwerach, gdzie wykazy indeksów katalogów nie są wyłączone, Domyślnie zły slob może uzyskać dostęp do tego pliku.
Przede wszystkim otrzymują nazwę użytkownika na poziomie administratora z witryny WordPress. oni próbują, włamać się znanymi metodami.
Następnie przechodzą do strony logowania WordPress i wysyłają prośbę o zresetowanie hasła do konta administratora.
Uzyskują również dostęp do plików dziennika debugowania i przywracają link do resetowania hasła, wysłane przez witrynę WordPress. Kiedy uzyskasz dostęp do tego linku, wprowadź to, zresetuj hasło, a następnie ciesz się pełnym dostępem do serwisu.
Ta wtyczka podatności prowadzi dziennik zmian, który rejestruje wszystkie zmiany w każdej aktualizacji. Należy przeczytać dziennik zmian, do rozpoznania przez użytkownika, która aktualizacja jest wykonywana.
Gdy zostanie wykryta podatność, to jest to, co zwykle znajdują twórcy wtyczek, że luka zostanie załatana. Daje to programiście WordPressa informacje, że on potrzebuje, podjąć świadomą decyzję. Dziennik zmian, poinformowanie o tym wydawcy, że aktualizacja powoduje lukę w zabezpieczeniach, pozwala wydawcy, podjąć świadomą decyzję o aktualizacji wtyczki, aby uniknąć ataków hakerskich.
Jest to zdecydowanie zalecane, że wszyscy użytkownicy wtyczki Easy WP SMTP Plugin aktualizują się do wersji wyższej niż wersja 1.4.2 Aktualizować.
podstawowe kompetencje są niezbędne przy projektowaniu strony internetowej, podstawowe kompetencje są niezbędne przy projektowaniu strony internetowej, podstawowe kompetencje są niezbędne przy projektowaniu strony internetowej. podstawowe kompetencje są niezbędne przy projektowaniu strony internetowej
podstawowe kompetencje są niezbędne przy projektowaniu strony internetowej, podstawowe kompetencje są niezbędne przy projektowaniu strony internetowej
podstawowe kompetencje są niezbędne przy projektowaniu strony internetowej