פרצת אבטחה חמורה בתוסף Yuzo Related Posts
דייב אברג'ל,
הבוקר (10.04.19) התגלתה חולשת אבטחה בתוסף (הנפוץ מאוד) Yuzo Related Posts המאפשר הוספת וידג'ט "פוסטים קשורים" לאתר שלכם.
חולשת האבטחה מאפשרת להאקרים או תוכנות זדוניות להטמיע פרצת אבטחה במסד הנתונים של האתר שלכם ועל ידי כך לשנות את כתובת האתר (קישורים בתוך האתר) ולבצע הפניות לאתרי ספאם.
התוסף נחסם להורדה בספריית התוספים הרשמית של וורדפרס, ועל פי המלצת יוצר התוסף יש להסיר את התוסף באופן מיידי מכלל האתרים שלכם.
בנוסף לפעולת ההסרה של התוסף יש לבצע מחיקה של אחת הרשומות במסד הנתונים כדי לוודא הסרה מלאה של חולשת האבטחה.
במסד הנתונים שלכם יש לגשת לטבלה wp_options ולמחוק את הרשומה yuzo_related_post_options.
קיימת אפשרות נוספת – מחיקת כלל הרשומות שנוצרו על ידי התוסף Yuzo על ידי שאילתת מסד נתונים:
DELETE FROM `wp_options` WHERE `option_value` like '%yuzo%' במידה ותרצו להעמיק בנושא האבטחה – אל תשכחו לעבור על המדריך המלא לאבטחת אתר וורדפרס, שנכתב לפני 4 ימים בהקשר ישיר לנסיונות ההתקפה של OpIsrael.
אני מקווה כי הפוסט היה שימושי עבורכם, במידה ויש לכם שאלות נוספות \ הערות \ טיפים לגבי פרצת אבטחה זו – נשמח לקבל תגובות ושיתופים.
דייב אברג'ל
סמנכ"ל ומייסד uPress, מפתח Backend & Frontend, מתמחה בשיפור ביצועים לאתרי וורדפרס, טיפול בבעיות אבטחה מתקדמות, ושיווק ברשתות חברתיות. שותף פעיל במספר פרוייקטים מעניינים בתחום המוגשים כתרומה לקהילה - WiPi, Enable, Greenicon, Speedom, ועוד..
אחסון וורדפרס מנוהל