PRZERAŻAJĄCA luka w Contact Form 7… a jednak nie.

Ostatnie dni przed świętami to w branży mały sezon ogórkowy, a o czymś trzeba pisać. Oto więc mamy temat: 5 MILIONÓW INSTALACJI WORDPRESSA ZAGROŻONYCH. ŚMIERCIONOŚNA LUKA WE WTYCZCE CONTACT FORM 7.

Sprawę opisało w swoim clickbaitowym stylu kilkanaście – głównie anglojęzycznych – portali technologicznych. I w sumie nawet tego stylu nie mam im za złe – łatwo dać się ponieść emocjom, wszędzie widząc 5 MILIONÓW ZAGROŻONYCH STRON.

Przyjrzyjmy się zatem, jak zagrożenie przedstawiane jest w branżowych mediach i jak wygląda naprawdę:

  • wtyczka Contact Form 7, wg niektórych najpopularniejsza wtyczka do WordPressa na świecie, ma lukę
  • luka pozwala wykonać właściwie dowolny kod, czyli kompletnie przejąć stronę
  • wtyczka wg mediów ma 5 milionów instalacji więc sprawa jest poważna – wszystkie te strony są rzekomo narażone

Teraz fakty

Po pierwsze, wtyczka ma 5 milionów instalacji w repozytorium WordPressa – faktycznie liczba ta może być nawet dwukrotnie większa. Czyż 10 MILIONÓW ZAGROŻONYCH STRON nie brzmiałoby lepiej?

Aby wykorzystać lukę Twój serwer musi spełniać jednocześnie 4 warunki

  • musisz umożliwiać w formularzu załączanie i przesyłanie pliku –  bez tego w ogóle nie ma problemu
  • włączony directory indexing (czyli da się podejrzeć zawartość folderów, w których nie ma pliku index.(php|html)
  • serwer nie na Apache, lub z problemem uniemożliwiającym użycie przez wtyczkę pliku .htaccess do blokowania wykonywania uploadowanych plików
  • dziwna konfiguracja serwera pozwalająca uruchamiać skrypty PHP z plików typu pdf, doc itp. z podwójnym rozszerzeniem

Zaistnienie jednocześnie 4 takich warunków jest mniej więcej tak prawdopodobne, jak wyleczenie złamania otwartego strukturyzowaną wodą inż. Zięby. Przy 10 milionach instalacji może się to zdarzyć, ale dajmy ludziom spokój i nie straszmy ich przed świętami.

Niestraszenie to jedno, ale nie bagatelizujmy też kwestii bezpieczeństwa. Jest już patch, aktualizujmy, aktualizujmy – to (prawie) nigdy nie zaszkodzi. Sylwester pod godziną policyjną zapowiada się niemrawo, ale i tak lepiej spędzić go z Polsatem, niż na czyszczeniu WordPressa z malware’u.


Darmowa oferta SEO Konsultacja i wycena bez żadnych kosztów
Piotr Samojło

Freelancer działający pod marką Audytorium SEO. Jeśli masz pytania, lub szukasz człowieka od SEO i optymalizacji stron, zapraszam do kontaktu.

Zobacz komentarze

  • Dzięki, trochę się przestraszyłem po mailu z cyberfolks. Wygląda na to, że nie taki diabeł straszny

    Anuluj odpowiedź

    Zostaw komentarz

    Twój adres e-mail nie zostanie upuibliczniony Pola wymagabe*

  • Jaka ulga, że są jeszcze tak racjonalnie i samodzielnie myślące osoby. Dostawałem wręcz maile od przestraszonych klientów aby załatać lukę... której nie było. Prawda jest taka, że mało kto używa uploadu w Contact Form 7. Spike w ruchu może i był widoczny ale z tą strategią zaufanie i wiarygodność pewnie będzie maleć.

    Anuluj odpowiedź

    Zostaw komentarz

    Twój adres e-mail nie zostanie upuibliczniony Pola wymagabe*

Zostaw komentarz

Twój adres e-mail nie zostanie upuibliczniony Pola wymagabe*

SEO Entity – jak Google je rozpoznaje i dlaczego to takie ważne

Długo mnie tu nie było, bo zajęty byłem, o dziwo, robieniem SEO. Przerywam ten pracoholiczny…

1 tydzień temu

21 rzeczy, na które trzeba uważać, wybierając swój pierwszy hosting

Wybór pierwszego hostingu to niełatwa sprawa. Być może nie do końca jeszcze wiesz, jakiego poziomu…

3 tygodnie temu

Text Fragments w SEO – jak podkreślić na stronie element, którego szukał użytkownik?

Nie wszyscy wiedzą, że od 2018 roku po przejściu na stronę AMP poprzez snippet w…

1 miesiąc temu

Mobile First od marca na pełnej petardzie, ale nie aż tak, jak niektórzy sądzą

Lada moment branżowe media do granic możliwości rozdymają szał na Mobile First Indexing. Choć ten…

2 miesiące temu

Historia pozycji keywordów, link opportunities i inne nowości w Ahrefs

Uważam, że Ahrefs to najlepszy kombajn do SEO na rynku. Ma swoje wady (np. fatalne…

6 miesięcy temu

Google skupi się na fragmentach stron – co to dokładnie znaczy?

Google właśnie zapowiedziało zmianę w swoim algorytmie, która po wdrożeniu znacznie zmieni ranking dla ok…

6 miesięcy temu

Ahrefs Webmaster Tools czyli BARDZO przydatne darmowe narzędzie SEO

Ahrefs potężnym narzędziem jest i basta. A od teraz w dużym stopniu dostęp do tej…

7 miesięcy temu

Googlebot obsłuży HTTP/2, ale (na razie) nie wpłynie to na jakość indeksacji

Google ogłosiło na swoim blogu, że od połowy listopada 2020 Googlebot zyska zdolność do crawlowania…

7 miesięcy temu

Szybkość strony – poradnik dla początkujących

Co by było, gdybyśmy na szybkość witryny spojrzeli nie pod kątem punktów zdobywanych w teście…

8 miesięcy temu

Ta strona używa cookies.

Polityka prywatności