PRZERAŻAJĄCA luka w Contact Form 7… a jednak nie.

Ostatnie dni przed świętami to w branży mały sezon ogórkowy, a o czymś trzeba pisać. Oto więc mamy temat: 5 MILIONÓW INSTALACJI WORDPRESSA ZAGROŻONYCH. ŚMIERCIONOŚNA LUKA WE WTYCZCE CONTACT FORM 7.

Sprawę opisało w swoim clickbaitowym stylu kilkanaście – głównie anglojęzycznych – portali technologicznych. I w sumie nawet tego stylu nie mam im za złe – łatwo dać się ponieść emocjom, wszędzie widząc 5 MILIONÓW ZAGROŻONYCH STRON.

Przyjrzyjmy się zatem, jak zagrożenie przedstawiane jest w branżowych mediach i jak wygląda naprawdę:

  • wtyczka Contact Form 7, wg niektórych najpopularniejsza wtyczka do WordPressa na świecie, ma lukę
  • luka pozwala wykonać właściwie dowolny kod, czyli kompletnie przejąć stronę
  • wtyczka wg mediów ma 5 milionów instalacji więc sprawa jest poważna – wszystkie te strony są rzekomo narażone

Teraz fakty

Po pierwsze, wtyczka ma 5 milionów instalacji w repozytorium WordPressa – faktycznie liczba ta może być nawet dwukrotnie większa. Czyż 10 MILIONÓW ZAGROŻONYCH STRON nie brzmiałoby lepiej?

Aby wykorzystać lukę Twój serwer musi spełniać jednocześnie 4 warunki

  • musisz umożliwiać w formularzu załączanie i przesyłanie pliku –  bez tego w ogóle nie ma problemu
  • włączony directory indexing (czyli da się podejrzeć zawartość folderów, w których nie ma pliku index.(php|html)
  • serwer nie na Apache, lub z problemem uniemożliwiającym użycie przez wtyczkę pliku .htaccess do blokowania wykonywania uploadowanych plików
  • dziwna konfiguracja serwera pozwalająca uruchamiać skrypty PHP z plików typu pdf, doc itp. z podwójnym rozszerzeniem

Zaistnienie jednocześnie 4 takich warunków jest mniej więcej tak prawdopodobne, jak wyleczenie złamania otwartego strukturyzowaną wodą inż. Zięby. Przy 10 milionach instalacji może się to zdarzyć, ale dajmy ludziom spokój i nie straszmy ich przed świętami.

Niestraszenie to jedno, ale nie bagatelizujmy też kwestii bezpieczeństwa. Jest już patch, aktualizujmy, aktualizujmy – to (prawie) nigdy nie zaszkodzi. Sylwester pod godziną policyjną zapowiada się niemrawo, ale i tak lepiej spędzić go z Polsatem, niż na czyszczeniu WordPressa z malware’u.


Darmowa oferta SEO Konsultacja i wycena bez żadnych kosztów
Piotr Samojło

Freelancer działający pod marką Audytorium SEO. Jeśli masz pytania, lub szukasz człowieka od SEO i optymalizacji stron, zapraszam do kontaktu.

Zobacz komentarze

  • Dzięki, trochę się przestraszyłem po mailu z cyberfolks. Wygląda na to, że nie taki diabeł straszny

    Anuluj odpowiedź

    Zostaw komentarz

    Twój adres e-mail nie zostanie upuibliczniony Pola wymagabe*

  • Jaka ulga, że są jeszcze tak racjonalnie i samodzielnie myślące osoby. Dostawałem wręcz maile od przestraszonych klientów aby załatać lukę... której nie było. Prawda jest taka, że mało kto używa uploadu w Contact Form 7. Spike w ruchu może i był widoczny ale z tą strategią zaufanie i wiarygodność pewnie będzie maleć.

    Anuluj odpowiedź

    Zostaw komentarz

    Twój adres e-mail nie zostanie upuibliczniony Pola wymagabe*

Zostaw komentarz

Twój adres e-mail nie zostanie upuibliczniony Pola wymagabe*

Historia pozycji keywordów, link opportunities i inne nowości w Ahrefs

Uważam, że Ahrefs to najlepszy kombajn do SEO na rynku. Ma swoje wady (np. fatalne…

3 miesiące temu

Google skupi się na fragmentach stron – co to dokładnie znaczy?

Google właśnie zapowiedziało zmianę w swoim algorytmie, która po wdrożeniu znacznie zmieni ranking dla ok…

3 miesiące temu

Ahrefs Webmaster Tools czyli BARDZO przydatne darmowe narzędzie SEO

Ahrefs potężnym narzędziem jest i basta. A od teraz w dużym stopniu dostęp do tej…

4 miesiące temu

Googlebot obsłuży HTTP/2, ale (na razie) nie wpłynie to na jakość indeksacji

Google ogłosiło na swoim blogu, że od połowy listopada 2020 Googlebot zyska zdolność do crawlowania…

4 miesiące temu

Szybkość strony – poradnik dla początkujących

Co by było, gdybyśmy na szybkość witryny spojrzeli nie pod kątem punktów zdobywanych w teście…

5 miesięcy temu

People cards – nowa funkcja testowana przez Google

Google testuje na rynku indyjskim nową funkcję, która po głębszym zastanowieniu wydaje się niemal rewolucyjna.…

6 miesięcy temu

Firma prowadzona przez Afroamerykanów – nowe oznaczenie w Google Moja Firma

Google w amerykańskiej wersji Google Moja Firma (Google My Business) wprowadza nowe oznaczenie - Black-owned,…

6 miesięcy temu

Google Guaranteed, czyli jak Google za $50 miesięcznie rozmienia na drobne swoje dziedzictwo

Google (a dokładniej spółka matka Alphabet) to korporacja. Korporacja ma za zadanie zarabiać i pomnażać…

6 miesięcy temu

Rich Results Test wychodzi z bety, ale nie to jest najważniejsze

Google właśnie ogłosiło, że Rich Results Tool, narzędzie do testowania wyników rozszerzonych w SERPie, wyszło…

7 miesięcy temu

Ta strona używa cookies.

Polityka prywatności