Das beliebte WordPress-Plug-In mit dem Namen „Easy WP SMTP-Plug-In“ mit mehr als hunderttausend effektiven Installationen hat gerade ein Risiko entdeckt, care permite unui atacator să preia controlul asupra unui site. Bug din acest plugin WordPress permite cyberpunks, refaceți parola de administrator și obțineți autorizarea completă a unui site web.
Die festgestellte Sicherheitsanfälligkeit befindet sich in der Debug-Protokolldatei, care este vulnerabil datorită unui defect fundamental în modul în care plug-in-ul gestionează un folder. Folder de pluginuri pe server cu fișiere, pentru a fi reținute de utilizatori, care conțin de obicei un fișier index.html gol. Scopul acestui fișier este de a face acest lucru, a preveni pe cineva, navigați la acel folder și vedeți lista de fișiere din acel director.
Dacă cineva urmărește această listă de fișiere, el poate accesa aceste fișiere, care este problema.
Fisierul, unde există acest fișier jurnal de depanare, nu conține un fișier index.html. Pe servere, unde listele de index de director nu sunt dezactivate, În mod implicit, un slob malefic poate obține acces la acest fișier.
În primul rând, ei primesc numele de utilizator la nivel de administrator de pe site-ul WordPress. ei incearca, hack folosind metode cunoscute.
Apoi merg la pagina de conectare WordPress și trimit o solicitare pentru a reseta parola contului de administrator.
De asemenea, au acces la fișierele jurnal de depanare și restaurează linkul de resetare a parolei, trimis de site-ul WordPress. Când accesați acest link, introduceți-l, resetați parola și apoi bucurați-vă de acces complet la site.
Dieses Schwachstellen-Plug-In verwaltet ein Änderungsprotokoll, care înregistrează toate modificările din fiecare actualizare. Jurnalul de modificări trebuie citit, pentru ca un utilizator să le recunoască, care se face actualizarea.
Când se descoperă o vulnerabilitate, este ceea ce găsesc de obicei dezvoltatorii de plug-in, că vulnerabilitatea va fi remediată. Acest lucru oferă dezvoltatorului WordPress informațiile, de care are nevoie, pentru a lua o decizie informată. Un jurnal de modificări, informarea unui editor despre aceasta, că o actualizare provoacă o vulnerabilitate de securitate, permite editorului, luați o decizie informată cu privire la actualizarea plug-in-ului, pentru a evita atacurile hackerilor.
Este foarte recomandat, că toți utilizatorii Easy WP SMTP Plugin upgrade la o versiune mai mare decât versiunea 1.4.2 Pentru a actualiza.