אתר Sucuri מבצע בדיקות מקיפות אודות פרצות אבטחה במערכת ניהול תוכן מקוונות ולאחרונה דיווח על פרצת אבטחה באתרי וורדפרס אשר עושים שימוש בשני פלאגינים: Formidable Forms ו- Shortcodes Ultimate.
פלאגין Shortcodes Ultimate הוא אוסף מקיף של אלמנטים ויזואליים ותפקודיים שונים, שבו ניתן להשתמש בעורך הודעות, יישומי טקסט ואפילו בקבצי תבנית העיצוב. באמצעות Shortcodes Ultimate אפשר בקלות ליצור כרטיסיות, לחצנים, תיבות, קטעי וידאו, תגובות ועוד. Formidable Forms הוא תוסף וורדפרס חינמי ליצירת טפסי יצירת קשר, סקרים וסוגי טפסים נוספים. שני תוספי וורדפרס אלו פועלים בכ- 200,000 אתרי וורדפרס ולכן פרצת האבטחה שתתואר להלן מהווה איום משמעותי להמון אתרי וורדפרס.
שני תוספי וורדפרס אלו (כאשר הם מותקנים יחד באתר וורדפרס) מכילים פרצת אבטחה ברמה בינונית המאפשרת להאקרים לשתול קוד זדוני בשרת אחסון האתר. Formidable Forms הכיל מספר פרצות אבטחה אשר תוקנו עד גירסה 2.05.03 אולם אחת מנקודות התורפה של הפלאגין עדיין עלולה אפשר למשתמשים ללא הרשאות מתאימות ליצור קודים מקוצרים – אפשרות השמורה למשתמשים בעלי הרשאות ניהול בלבד. בפלאגין Shortcodes Ultimate תוקנו מספר פרצות אבטחה שאיפשרו הזנה מרחוק של קוד זדוני, אולם עדיין קיים סיכון למשתמשי גירסאות נמוכות מ- 5.0.1 של התוסף, אשר בעטיו בעלי הרשאות שימוש נמוכות עלולים להטמיע פונקציות PHP לביצוע פקודות Shell בשרת אחסון האתר.
השילוב של שתי פרצות אבטחה פוטנציאליות אלו מאפשר לכל מבקר באתר וורדפרס בו מותקנים שני הפלאגינים, לנצל לרעה את הפרצות ולפגוע באתר הוורדפרס ובשרת אחסון האתר. ההמלצה הגורפת הינה לעדכן את שני הפלאגינים לגירסאות העדכניות שלהם ובמידה והדבר אינו מתאפשר, מומלץ להתקין באתר וורדפרס תוסף חומת אש.
מידע נוסף על אבטחת אתרי וורדפרס תמצאו במדריך הזה.