Vakava haavoittuvuus kahdessa WordPress-lisäosassa – Evermaden asiakkaat turvassa
Kahdesta varsin laajasti käytetystä, yli kuudella miljoonalla sivustolla käytössä olevasta lisäosasta, on löytynyt vakava haavoittuvuus joista kerrottiin eilen. Evermaden asiakkailla ei kuitenkaan ole syytä huoleen.
Laajemmin käytetty LiteSpeed Cache -välimuistilisäosa on käytössä globaalisti yli viidellä miljoonalla sivustolla, ja monikielisyyden mahdollistava WPML yli miljoonalla sivustolla. Kyseisistä lisäosista on julkaistu uudet versiot, jotka korjaavat haavoittuvuuden.
Meillä välimuisti on tyypillisesti ratkaistu matalammalla tasolla suoraan palvelimella lisäosien käyttämisen sijaan. Tämä on tehty pääasiassa suorituskyvyn, eli sivuston vielä aavistuksen verran nopeamman latautumisen saavuttamiseksi. Joillain, pääasiassa muilta toimistoilta ylläpitoomme haltuunotetuilla sivustoilla, on kuitenkin käytössä muita välimuistilisäosia kuin LiteSpeed Cache.
Haavoittuvuus LiteSpeed Cachessa on kahden koodissa esiintyvän logiikkavirheen aiheuttama, ja oikein hyödynnettynä haitallinen toimija voi saada käyttöönsä ylimmän admin-käyttöoikeustason. Tuolla käyttöoikeudella voidaan esimerkiksi muuttaa mitä tahansa sivuston sisältöä ja lisätä sekä poistaa sivustolla käytössä olevia lisäosia. Tuo tarkoittaa pahimmillaan sitä, että toimija voi lisätä sivustolle haitallista koodia.
Tarkempaa tietoa haavoittuvuudesta voi lukea WordPress-ekosysteemiin erikoistuneen tietoturvayhtiö Patchstackin blogista. Kyseinen yhtiö maksoi muuten eettisen hakkeroinnin ohjelmansa kautta haavoittuvuuden löytäneelle tutkijalle 14 400 dollaria. Palkkio on toistaiseksi suurin summa, jota alalla on maksettu.
Yli miljoonalla sivustolla käytössä olevasta monikielisyyden mahdollistavasta WPML-lisäosasta löydettiin hieman vastaava haavoittuvuus, vaikkakin sen käyttömahdollisuudet ovat rajatummat. Haavoittuvuuden hyödyntäminen vaatii, että haitallisella toimijalla on jo olemassa oleva tunnus sivustolle. Tyypillisesti hallintapaneelin kautta tallennettu tieto sanitoidaan haitallisen koodin varalta, mutta tämän haavoittuvuuden myötä näin ei kuitenkaan aina tapahdu ja haitallinen toimija voi ujuttaa sivustolle haittakoodia. Toistaiseksi WPML:ästä löydetystä haavoittuvuudesta ei ole julkaistu tietoja kovin laajasti, mutta tietoturvayhtiö WordFence on kuitenkin julkaissut tiedon haavoittuvuudesta.
Evermadella monikielisyys on toteutettu tyypillisesti Polylang Pro -lisäosalla, jota pidämme helppokäyttöisempänä sekä yleisesti toimintavarmempana. WMPL on käytössä ainoastaan muutamilla sivustoilla. Care-ylläpitotiimimme käytti heti haavoittuvuuden julkaisemisen jälkeen kehittämäämme AutoCare-työkalua ja päivitti WPML:än uuden version asiakkaittemme sivustoille joissa tuo haavoittuvuus on paikattu.
Kumpikaan näistä haavoittuvuuksista ei kuitenkaan tarkoita, että WordPress olisi erityisen tietoturvaton. Kumpikin haavoittuvuus on löydetty erikseen asennettavista lisäosista, ja niiden löytyminen on eräänlainen osoitus ekosysteemin vahvuudesta. Aiheen tiimoilta on tulossa pian erillinen kirjoitus, joten pysy kuulolla!
Mikäli jompikumpi lisäosista on käytössä sivustollasi, nyt on hyvä aika tarkistaa, että niistä on asennettuna uusimmat versiot. Evermaden ylläpitoasiakkaiden ei tarvitse murehtia asiasta – me huolehdimme sivustosi tietoturvasta ja tarvittavista päivityksistä kaiken muun lisäksi, jotta te voitte keskittyä olennaiseen.
Jos sivustollasi ei ole vielä ylläpitokumppania, nyt voisi olla hyvä aika harkita asiaa. Ota yhteyttä, ja katsotaan voisimmeko alkaa tuottamaan teille turvaa ja parempaa toimintavarmuutta!
