WordPress, najczęściej używany CMS na świeci, posiada lukę przez którą jest atakowany. Ponad 150 tysięcy stron internetowych postawionych na WordPress zostało zainfekowanych złośliwym kodem.

Zachodnie serwisy poruszające tematykę www i WordPress donoszą, że sprawa jest bardzo poważna i należy jak najszybciej sprawdzić aktualizacje CMS na stronie.
Jak doszło do tak dużego ataku na WordPress?
Od wersji 4.7.0 włączono domyślnie API REST. Jest to kod, który umożliwia tworzenie, usuwanie czy edytowanie postów. Prawidłowo działający kod umożliwia takie działania na stronie tylko użytkownikom posiadającym odpowiednie uprawnienia. Na nieszczęście właścicieli stron kod zastosowany w WordPress w wersji 4.7.0 oraz 4.7.1. pozwala na edytowanie dowolnego posta bez uprawnień. Wystarczy tylko znać ID posta, który chcemy edytować czy usunąć.
Jak sprawdzić, czy mój WordPress został zaatakowany?
Jeśli Twoja strona znajduje się w indeksie Google, możesz w prosty sposób sprawdzić aktualny jej stan. W tym celu należy wyszukiwarkę Google odpytać o frazę „by w4l3XzY3 nazwa-mojej-strony” gdzie oczywiście zamiast „nazwa-mojej-strony” należy podać nazwę strony, jaką chcesz sprawdzić. Fraza „by w4l3XzY3” znajduje się na zainfekowanych witrynach internetowych.
Jak zabezpieczyć moją stronę internetową przed tym atakiem?
Jak już napisałem wyżej – na atak narażone są strony działające na wersji 4.7.0 lub 4.7.1. Jeśli używasz jednej z nich, koniecznie wykonaj aktualizację WordPress do wersji 4.7.2 – najnowsza wersja została już poprawiona i nie posiada luki W API REST.
Nie posiadasz strony na WordPress?
Twoja strona nie jest zbudowana na WordPress, więc po przeczytaniu tego wpisu myślisz sobie – całe szczęście mnie to nie dotyczy. Tak, ale i Twoja strona może stać się obiektem ataku w taki czy inny sposób. Podobnie jak każdy inny CMS może zostać zaatakowany – tym razem padło na WP, jutro to może być Joomla. Strona internetowa zbudowana na WP i zabezpieczona w odpowiedni sposób to naprawdę bardzo dobre rozwiązanie: intuicyjna obsługa i nieograniczona funkcjonalność to podstawowe zalety. Więcej zalet WP opisałem we wpisie Dlaczego WordPress.