09.11.18
aktualizacja 20.10.20
Johannes Benz
0 komentarzy
Naruszenie bezpieczeństwa RODO Plugin WordPress

Krytyczna luka w zabezpieczeniach wtyczki RODO: wymagana natychmiastowa aktualizacja

Obecnie istnieje krytyczna luka w zabezpieczeniachw wtyczceWP GDPR Compliance. Jeśli zainstalowałeś tę wtyczkę, powinieneś jak najszybciej zaktualizować ją do najnowszej wersji 1.4.3.

Tło: W wersji 1.4.2 nieautoryzowani użytkownicy mogli w zasadzie wykonywać wszystkie czynności na stronie WordPress , a w szczególności tworzyć własnego użytkownika z prawami administratora.

WordPress -Sprawdzanie użytkowników

Powinieneś więc koniecznie sprawdzić także listę użytkowników WordPressa na swojej stronie. Spamer do tej pory zawsze rejestrował się tutaj pod nazwą t2trollherten z adresem pocztowym trollherten@mail.com.

Jeden z najskuteczniejszych hacków ostatnich czasów

Niestety, nigdy nie można wykluczyć luk w zabezpieczeniach wtyczek. Jednak tym razem prostota i skuteczność tego hacka były niesamowite. Wtyczka ma ponad 100 000 instalacji! To, że dzieje się to w przypadku wtyczki do ochrony danych, jest oczywiście ironią losu.

Co może się stać?

Użytkownik ma prawa administratora. Dzięki temu może on dokonywać różnych zmian na stronie. Jednak nasi klienci zauważyli, że nie wprowadzono tu żadnych natychmiastowych zmian. Również w skanowaniach, które zostały przeprowadzone przy użyciu wtyczki bezpieczeństwa Wordfence w ramach kontynuacji, nie wykryto żadnych krytycznych przypadków.

Oto jak powinieneś postąpić

1. Zaktualizuj wtyczkę WP GDPR Compliance do najnowszej wersji 1.4.3.
2. Usuń fałszywego użytkownika WordPressa (np. t2trollherten).

Aby usunąć użytkownika WordPress, należy wykonać następujące czynności:

  1. Zaloguj się na swoją stronę
  2. W panelu administracyjnym WordPressa kliknij Użytkownicy → Wszyscy użytkownicy
  3. Aby usunąć użytkownika, zaznacz go za pomocą pola wyboru po lewej stronie, a następnie wybierz opcję "usuń" w rozwijanej liście wielu akcji na górze.

3. Zainstaluj wtyczkę Wordfence i przeprowadź skanowanie. Jako intensywność skanowania możesz wybrać wysoką. To, czy chcesz zachować wtyczkę, możesz lepiej ocenić, korzystając z naszego porównania wtyczek bezpieczeństwa.

Jeśli korzystasz z systemu backupu, możesz również zaimportować kopię zapasową z poniedziałku (5 listopada). Prawdopodobieństwo, że ktoś uzyskał dostęp do twojej strony już wcześniej, jest dość niskie, ponieważ poważne włamania miały miejsce dopiero w czwartek (8 listopada). Potem jednak pamiętaj, by zaktualizować wtyczkę.

Alternatywny plugin GDPR: Jeśli masz zastrzeżenia do tego pluginu GDPR, polecamy WP GDPR Tools jako alternatywę.

Jak zapobiec takiemu włamaniu w przyszłości

Sprawdzonym sposobem na zapobieganie tego typu włamaniom jest korzystanie z automatycznych aktualizacji wtyczek. Jako zarządzany hosting WordPressa, jest to jedna z naszych głównych ofert, która ma na celu odciążenie naszych klientów od jak największej ilości pracy, a tym samym stworzenie im większej swobody.

W tym konkretnym przypadku aktualizacja wtyczki do bezpiecznej wersji 1.4.3 została przeprowadzona dla naszych klientów Fully Managedw nocy 8 listopada. Klienci ci nie zostali więc dotknięci przez włamanie. .

Kto chciałby skorzystać z naszej taryfy Fully Managed za 20 euro zamiast 30 euro (netto) miesięcznie, może skorzystać z następującego linku: Fully Managed Special. Zniżka jest automatycznie dostępna, gdy aktywujesz Box po okresie próbnym. Klienci Raidboxes mogą przejść na taryfę Fully Managed za pośrednictwem czatu.

Spodobał Ci się ten artykuł?

Zostawiając opinię pomożesz nam udoskonalać publikowane przez nas treści.

Johannes Benz

Johannes jest odpowiedzialny za personel i finanse w Raidboxes. Z WordPressem jest związany od 2012 roku. Jest zwolennikiem holokracji i dobrostanu społecznego, a w wolnym czasie uwielbia biegać w maratonach.

Napisz komentarz

Twój adres e-mail nie zostanie opublikowany. Pola wymagane oznaczone są *.