Уязвимость во всех версиях WordPress
В платформе WordPress CMS была обнаружена простая, но очень серьезная уязвимость, связанная с атаками типа «отказ в обслуживании» (DoS) на уровне приложений, которая позволяет любому пользователю приводить в нерабочее состояние большинство веб-сайтов WordPress даже с помощью одной машины. Происходит это без необходимости задействовать огромное количество компьютеров для переполнения полосы пропускания, как это требуют DDoS-атаки, но с достижением того же результата.
Поскольку WordPress Foundation отказали в исправлении проблемы, уязвимость (CVE-2018-6389) остается без патча и затрагивает почти все версии WordPress, выпущенные за последние девять лет, включая последнюю стабильную (WordPress версия 4.9.2).

Подробнее тут (https://href.li/?https://habrahabr.ru/company/cloud4y/blog/348340/), ниже про нее вкратце.

Barak Tawily, израильский исследователь в области безопасности, обнаружил уязвимость, суть которой заключается в том, что «load-scripts.php», встроенный скрипт в WordPress CMS, обрабатывает и пользовательские запросы.
По задумке разработчиков, файл load-scripts.php предназначен только для администраторов и создан, чтобы помочь сайту повысить производительность и загрузить страницу быстрее, объединив (на сервере) несколько файлов JavaScript в один запрос.
Однако, чтобы «load-scripts.php» работал на странице входа администратора (wp-login.php) до входа в систему, разработчики WordPress не предусматривают механизма аутентификации, в результате чего функция доступна для всех.
В зависимости от плагинов и модулей, которые вы установили, файл load-scripts.php выборочно вызывает необходимые файлы JavaScript, передавая их имена в параметр «load», разделяемые запятой. При загрузке веб-сайта «load-scripts.php» пытается найти каждое имя JavaScript-файла, указанное в URL-адресе, добавить его содержимое в один файл и затем отправить в браузер пользователя. По словам исследователя, можно заставить load-scripts.php вызывать все возможные файлы JavaScript (всего 181 скрипт) за один проход, передавая их имена в указанном выше URL-адресе. Это сделает работу целевого сайта немного медленнее, потребовав высоких затрат со стороны процессора и памяти сервера.

Хотя одного запроса было бы недостаточно, чтобы «положить» весь сайт для всех посетителей, Tawily использовал сценарии на python для создания proof-of-concept (PoC). Созданный им doser.py делает большое количество одновременных запросов на один и тот же URL в попытке использовать как можно больше ресурсов CPU сервера и свести к минимуму доступные для других пользователей ресурсы.
Hacker News проверила подлинность DoS-эксплойта, успешно «положив» один из демо-сайтов WordPress, работающих на VPS среднего размера.

Зная, что уязвимости DoS выходят за рамки bug bounty program для WordPress, Tawily ответственно сообщил об этой DoS-уязвимости команде WordPress через платформу HackerOne.
Однако компания отказалась признать эту проблему, заявив, что такая ошибка находится вне контроля WordPress и «должна смягчаться на уровне сервера или на сетевом уровне, а не на уровне приложения».
Уязвимость кажется серьезной, потому что около 29% сайтов в Интернете используют WordPress. Это делает миллионы сайтов уязвимыми для хакеров и потенциально недоступными для своих пользователей.

Для сайтов, которые не могут позволить себе услуги, предлагающие защиту от атак на уровне приложения, исследователь предоставил WordPress forked version, которая содержит патч этой уязвимости. Тем не менее, следует учитывать риски установки модифицированной CMS, даже если вы считаете источник надежным. Помимо этого, исследователь также выпустил простой bash-сценарий, который исправляет проблему в уже установленном WordPress.

WordPress forked version (https://href.li/?https://github.com/quitten/wordpress)
bash-сценарий (https://href.li/?https://github.com/Quitten/WordPress/blob/master/wp-dos-patch.sh)

Прикольно получается, когда сайты, которые делают супер-программисты ломают так же просто как и сайты от школьнегов. Смысл тогда изучать высокие материи, ООП, и так далее, если твой сайт на джумла или вордпрес как хата без дверей - заходи и выноси.
При чем большинство дыр нелепые ошибки, которые находят внимательные исследователи чужого кода. А сколько еще уязвимостей ждет еще своего звездного часа.

А без скрипта не получится закрыть по инструкции типа: "найдите строку с кодом ... и замените на ..."?

vitrolov написал(а):

Прикольно получается, когда сайты, которые делают супер-программисты ломают так же просто как и сайты от школьнегов. Смысл тогда изучать высокие материи, ООП, и так далее, если твой сайт на джумла или вордпрес как хата без дверей - заходи и выноси.
При чем большинство дыр нелепые ошибки, которые находят внимательные исследователи чужого кода. А сколько еще уязвимостей ждет еще своего звездного часа.


Ничего совершенного нет, нужно соблюдать определённые правила безопасность. Ограничения на выполнения скриптов в определённых директориях, доступ в админку и всё в таком духе.

круто, спасибо за долю!

есть ли способ сканирования сайта wordpress для всех известных уязвимостей?

(извините, я не русский, я использую google translate, извините за свои орфографические ошибки)

в 4.9.4 не нашел в фиксах. Планируют исправлять то?

prolamer написал(а):

круто, спасибо за долю!

есть ли способ сканирования сайта wordpress для всех известных уязвимостей?

(извините, я не русский, я использую google translate, извините за свои орфографические ошибки)


Да есть такие плагины AI-Bolit (https://href.li/?https://revisium.com/aibo/) это сканер сайта на уезвимости

BigJeff написал(а):

плагины AI-Bolit (https://href.li/?https://revisium.com/aibo/) это сканер сайта на уезвимости


Сканер не ищет уязвимости, а только вирусы, трояны и подозрительный код

BigJeff написал(а):

Да есть такие плагины AI-Bolit (https://href.li/?https://revisium.com/aibo/) это сканер сайта на уезвимости


ну и как этот сканер победит эту уязвимость?

Код:



https://roem.ru/wp-admin/load-scripts.php?c=0&load%5B%5D=hoverIntent,common,admin-bar,underscore,shortcode,backbone,wp-util,wp-backbone,media-models,wp-plupload,jquery-ui-core,jquery-ui&load%5B%5D=-widget,jquery-ui-mouse,jquery-ui-sortable,mediaelement,wp-mediaelement,media-views,media-editor,media-audiovideo,mce-view,imgar&load%5B%5D=easelect,image-edit,media-grid,media,svg-painter,heartbeat,wp-auth-check&ver=4.3.1

1. На Хакер.ру статье уже дня 4, я бы не называл это уязвимостью, уж больно много гемора. Но конкурента уложить может.
2. Опять же, тот парень, который нашел дыру, выложил ее исправление. См 1 пункт, там все есть)
3. Если у Вас не построен многомиллионный бизнес на сайте - шансов, что кто то будет заморачиваться что бы уронить Ваш сайт - 0. Рекомендую не тратить время.

Цуиьфыеук написал(а):

А без скрипта не получится закрыть по инструкции типа: "найдите строку с кодом ... и замените на ..."?



можно и ручками

https://github.com/JulienGadanho/cve-2018-6389-php-patcher (https://href.li/?https://github.com/JulienGadanho/cve-2018-6389-php-patcher)

если посмотреть внутрь увидим

1. wp-login.php добавляем в начало после шапки

PHP:



define
(
'CONCATENATE_SCRIPTS'
,
false
)
;


2. wp-admin/load-styles.php заменяем

PHP:



require
(
ABSPATH
.
WPINC
.
'/script-loader.php'
)
;


на

PHP:



require
(
ABSPATH
.
'wp-admin/admin.php'
)
;


3. wp-admin/load-scripts.php заменяем

PHP:



require
(
ABSPATH
.
WPINC
.
'/script-loader.php'
)
;


на

PHP:



require
(
ABSPATH
.
'wp-admin/admin.php'
)
;


4. wp-admin/includes/noop.php
заменяем содержимое на

PHP:



<?php
/**
* Noop functions for load-scripts.php and load-styles.php.
*
* @package WordPress
* @subpackage Administration
* @since 4.4.0
*/
function get_file( $path ) {
if ( function_exists( 'realpath' ) ) {
$path = realpath( $path );
}
if ( ! $path || ! @is_file( $path ) ) {
return '';
}
return @file_get_contents( $path );
}


все

Simiys написал(а):

Если у Вас не построен многомиллионный бизнес на сайте - шансов, что кто то будет заморачиваться что бы уронить Ваш сайт - 0. Рекомендую не тратить время.


сразу видно умного человека.

Но будь у меня такой бизнес я бы делал на своей CMS,это точно )))

Понятно что вордпрес постоянно зламывают. Установив 6 плагинов я посмотрел исходный код и ужаснулся - больше половины инфы про плагины открыто. Не удивительно что данная CMS в виду своей популярности лакомый кусочек для взлома

2009bes написал(а):

больше половины инфы про плагины открыто


В смысле открыто, они все из бесплатного общедоступного репозитория, на счет взламывают, сходите к жумле или модиксу, особенно ево, который так любят в регионах, хотя его года 3 назад как бросили поддерживать.

manzilla написал(а):

В смысле открыто, они все из бесплатного общедоступного репозитория,


я про исходный кон сайта, на который я установил 5-6 плагинов. Открываем исходный и вуаля- ифа про плагины.

2009bes написал(а):

я про исходный кон сайта, на который я установил 5-6 плагинов. Открываем исходный и вуаля- ифа про плагины.


а тебе не кто не говорил, что эту инфу про плагины надо закрывать + изменить версию WP с 4.9** на 3.8 или другую версию. это надо делать с самого начала и каждый раз после обновления WP

DegtWz написал(а):

а тебе не кто не говорил, что эту инфу про плагины надо закрывать + изменить версию WP с 4.9** на 3.8 или другую версию. это надо делать с самого начала и каждый раз после обновления WP


А ещё шапочку из фальги одеть на голову. Поможет. Вы реально думаете сканят только по версии?

DegtWz написал(а):

что эту инфу про плагины надо закрывать + изменить версию WP с 4.9** на 3.8 или другую версию. это надо делать с самого начала и каждый раз после обновления WP


первый раз такое слышу. Вы о чём ?

Simiys написал(а):

А ещё шапочку из фальги одеть на голову. Поможет. Вы реально думаете сканят только по версии?


для не опытных да. пока они поймут что не та версия

DegtWz написал(а):

для не опытных да. пока они поймут что не та версия


Главная защита от вирусов - это обновление + резервное копирование.
Wordfence Security поставьте.

Simiys написал(а):

Главная защита от вирусов - это обновление + резервное копирование.
Wordfence Security поставьте.

согласен. но не все обновляют и не все умеют. что делают хакеры (сливают зараженные темы и плагины) + начинают мониторить какая версия (у каждой версии есть дыры) + стандартный подбор паролей (если не ограничить по IP и количеству попыток) и т.д..
на все эти манипуляции уходит время + нервы

zzallexx написал(а):

можно и ручками


Я просто снес load-scripts.php, да и всё. На работу сайта он не влияет.

Ну есть ещё вариант защитить сайт для региона, блокировка ip по geo ip, Тупо заблочить все кроме России, как минимум Китай, всякие Руанды, Сомали.

Можно делать через плагин All In One WP Security
Там много всяких настроек. Плагин специальный именно закрывает дыры по безопасности на wordpress

BigJeff написал(а):

Можно делать через плагин All In One WP Security
Там много всяких настроек. Плагин специальный именно закрывает дыры по безопасности на wordpress


Ты проверял, этот плагин закрывает данную дыру?

RealKludge написал(а):

Ты проверял, этот плагин закрывает данную дыру?


Я как должен проверить задосить свой сайт или как? Его можно и не устанавливать, если умеешь всё что он делает сделать руками.

Simiys написал(а):

Ну есть ещё вариант защитить сайт для региона, блокировка ip по geo ip, Тупо заблочить все кроме России, как минимум Китай, всякие Руанды, Сомали.


Еб**ть без смазки таких как ты надо, негодяй

BigJeff написал(а):

Я как должен проверить задосить свой сайт или как? Его можно и не устанавливать, если умеешь всё что он делает сделать руками.


А зачем тогда совет даёшь, если не уверен, что он подействует?

RealKludge написал(а):

Ты проверял, этот плагин закрывает данную дыру?


Нет, не закрывает. И плагин так себе, часто портит работу самого сайта, слишком уж много функций.



Sorcus написал(а):

Еб**ть без смазки таких как ты надо, негодяй

За что это? Если сайт для одного города и не работает в мире, зачем ему нужны посетители из Китая?

Simiys написал(а):

Нет, не закрывает. И плагин так себе, часто портит работу самого сайта, слишком уж много функций.

За что это? Если сайт для одного города и не работает в мире, зачем ему нужны посетители из Китая?


За то, что пользователи могут сидеть через VPN, либо находиться в другой стране по работе.
Об этом ты не думал?

Sorcus написал(а):

За то, что пользователи могут сидеть через VPN, либо находиться в другой стране по работе.
Об этом ты не думал?

А зачем Вы сидите через VPN?) Опять же, это очень радикальная мера, но очень эффективная) Для сайта маленького города!
Опять же Вы часто бываете в Китае? Или юзаете VPN Китая? - а взломов от них идёт чуть ли не 70%

No comments. Гнилые отмазки.

Simiys написал(а):

За что это? Если сайт для одного города и не работает в мире, зачем ему нужны посетители из Китая?


Оу господи, про оперу турбо слышали? Сжимает трафик через свои сервера, про работу интернета мобильных операторов, мой мтс определяется то саратов, то нижний новгород, сказать как далеко я от обоих городов... ограничить по регионам...

RealKludge написал(а):

А зачем тогда совет даёшь, если не уверен, что он подействует?


Плагин создан именно для закрытие дыр по безопасности в wordpress. Вот что выдаёт выдача самого wordpress (https://href.li/?https://ru.wordpress.org/plugins/tags/ddos/)

BigJeff написал(а):

Плагин создан именно для закрытие дыр по безопасности в wordpress. Вот что выдаёт выдача самого wordpress (https://href.li/?https://ru.wordpress.org/plugins/tags/ddos/)

Не имеет значения, для чего этот плагин, если он не закрывает конкретную дыру.

manzilla написал(а):

Оу господи, про оперу турбо слышали? Сжимает трафик через свои сервера, про работу интернета мобильных операторов, мой мтс определяется то саратов, то нижний новгород, сказать как далеко я от обоих городов... ограничить по регионам...


Вы читали, что я написал? 1. Если маленькая контора и какая то CMR то почему бы не ограничить её? 2. Если сайт Российский - то почему не забанить страны в зоне риска типа Китая? Часто у Вас IP Китайские?

Simiys написал(а):

Вы читали, что я написал? 1. Если маленькая контора и какая то CMR то почему бы не ограничить её? 2. Если сайт Российский - то почему не забанить страны в зоне риска типа Китая? Часто у Вас IP Китайские?


Просто кто-то не осилил {ip,nf}tables в линухе, да?
Там прекрасно ограничивается доступ к ip-адресам в случае резкого скачка трафика с определенного ip.
Но блокировать доступ к сайту (мы не рассматриваем местечковые сервисы, которые доступны только внутри компаний) - неуважение к пользователям.

Sorcus написал(а):

Просто кто-то не осилил {ip,nf}tables в линухе, да?
Там прекрасно ограничивается доступ к ip-адресам в случае резкого скачка трафика с определенного ip.
Но блокировать доступ к сайту (мы не рассматриваем местечковые сервисы, которые доступны только внутри компаний) - неуважение к пользователям.


А по Вашему у всех владельцев по серваку? И они его сами настраивают? Большинство юзают обычный выделенный хостинг

Simiys написал(а):

Часто у Вас IP Китайские?


UC браузер, для телефончиков, китайский браузер если что использует айпишники из поднебесной, ограничение по ip это прямо скажу решение для криворуких

Может кто знает какие плагины для сканирования сайта wordpress на предмет уязвимостей?

Kamekadza написал(а):

WP никогда не любил, он сильно нагружает сервер


что используешь?

DegtWz написал(а):

что используешь?


Чистый HTML, Adobe Muse, OpenCart, ModX, по разному, как придётся

cnw96426 написал(а):

Может кто знает какие плагины для сканирования сайта wordpress на предмет уязвимостей?


Как вариант, использовать несколько.
Exploit Scanner

Sucuri Security

Anti-Malware

Также можно ограничить доступ к критичным файлам и к wp-admin по стандартной ссылке.

Что же с теми сайтами, которые не обновляют уже лет 5...подумать страшно. там этих дыр за это время просто тьма. а ставить обновления автоматически это как рулетка, встанет не встанет....

m4rkell написал(а):

Что же с теми сайтами, которые не обновляют уже лет 5...подумать страшно. там этих дыр за это время просто тьма. а ставить обновления автоматически это как рулетка, встанет не встанет....


Человечество давно придумало такие инструменты как backup (резервная копия) и logs (журналирование действий). Делаешь копию, ставишь обновления, заработало - хорошо. Нет - возвращаешься к копии и смотришь логи, что пошло не так.

Полезная информация. На моем сайте на Drupal'e тоже зачем-то пытаются ломиться по несуществующему wp-login.php))

Да, надо будет поставить баш

Эту уезвимость будут побеждать люди, работающие в сфере защиты информации

Блин вот теперь зная что у меня сайт с дыркой, хочется всё снести, переставить всё на другой движок и больше не читать новости про уязвимости...

SanGer написал(а):

Блин вот теперь зная что у меня сайт с дыркой, хочется всё снести, переставить всё на другой движок и больше не читать новости про уязвимости...


все программы с дырками. только одни намеренно делаются, а другие нет

DegtWz написал(а):

а тебе не кто не говорил, что эту инфу про плагины надо закрывать + изменить версию WP с 4.9** на 3.8 или другую версию. это надо делать с самого начала и каждый раз после обновления WP




Даже когда скроешь инфу про плагины и сменишь версию, это не защита...
НА гите куча авто-эксплоит скриптов для разных популярных cms.
Лучша своя сms или переделанная.
Уж очень много внимания на данные CMS...

Я тоже начал переживать по этому поводу, хочу на DLE перейти.
Понятно, что проблемы есть везде, но у wp это закономерность, похоже

Все бесплатные cms имеют определенные уязвимости, хотя ворпрес в этом плане не самая плохая c cms.

Privod написал(а):

Все бесплатные cms имеют определенные уязвимости, хотя ворпрес в этом плане не самая плохая c cms.


Wordpress - самая часто взламывая CMS по статистике.

Хотя, бороться со взломами WP очень просто:
1. запрещаете запись в каталоги с кодом (wp-content, wp-admin и тд),
2. Запрещаете исполнение кода из каталогов с разрешенной записью (upload etc)
3. Ставите пароль на админку через htpasswd.
4. Профит!
Очень простая и очень надежная защита от 99,9 % атак
(от sql иньекций, это конечно не защитит, но, без доступа к бд ее и не сделаешь. Известные эксплоиты уже давно закрыты)

strannik_nuendo написал(а):

Wordpress - самая часто взламывая CMS по статистике.


Не потому что она самая дырявая, потому что самая популярная.
Вот график популярности в мире от BuiltWith, W3tech

https://sdvv.ru/upload/medialibrary/d54/d54c3f05b9873fbeb693acd100887bdc.jpg

Divman написал(а):

Не потому что она самая дырявая, потому что самая популярная.


Совершенно верно. Плюс, из-за его распространенности, WP ломают ботами а не вручную.
офтоп (удивляет высокий процент Drupal в списке, кто сейчас на них делает сайты?)

не забывайте что многие не покупают шаблоны и плагины, а качают с сомнительных сайтов. при его активации все пароли передаются другим людям

DegtWz написал(а):

не забывайте что многие не покупают шаблоны и плагины, а качают с сомнительных сайтов. при его активации все пароли передаются другим людям


Тут ничего не сделаешь, но, даже в этом случае можно защитить файлы указанным мной способом.

Я бы ещё рекомендовал запрет доступа к некоторым папкам через .htaccess

Divman написал(а):

Не потому что она самая дырявая, потому что самая популярная.
Вот график популярности в мире от BuiltWith, W3tech

https://sdvv.ru/upload/medialibrary/d54/d54c3f05b9873fbeb693acd100887bdc.jpg


Интресно было бы узнать какой процент самописных cms

aakafake написал(а):

Интресно было бы узнать какой процент самописных cms


Самописные - странный термин.
Сайты без CMS или на редких CMS занимают 52% от общего количества сайтов в мире.

Simiys написал(а):

Если у Вас не построен многомиллионный бизнес на сайте - шансов, что кто то будет заморачиваться что бы уронить Ваш сайт - 0. Рекомендую не тратить время.



Однозначно дыру нужно закрывать, ненужно чтобы туда тыкали все кому не лень.

Роботы постоянно сканят админку сайта.
Если не ставить сомнительных плагинов и установить сложный пароль от админки, то вас не взломают.

наичаще ломают через крякнутые плагины (скорее всего)

Corbandolz написал(а):

наичаще ломают через крякнутые плагины (скорее всего)


и темы + неизвестные хостинги

Вообще, по статистике, первым по частоте из причин взломов являются прописанные пароли в FTP-клиенте.

Toff написал(а):

Вообще, по статистике, первым по частоте из причин взломов являются прописанные пароли в FTP-клиенте.


Всё-таки по статистике, на 1 месте ненадёжные пароли ВП. На втором - уязвимости самого ВП и не обновление.

manzilla написал(а):

ну и как этот сканер победит эту уязвимость?

Код:



https://roem.ru/wp-admin/load-scripts.php?c=0&load%5B%5D=hoverIntent,common,admin-bar,underscore,shortcode,backbone,wp-util,wp-backbone,media-models,wp-plupload,jquery-ui-core,jquery-ui&load%5B%5D=-widget,jquery-ui-mouse,jquery-ui-sortable,mediaelement,wp-mediaelement,media-views,media-editor,media-audiovideo,mce-view,imgar&load%5B%5D=easelect,image-edit,media-grid,media,svg-painter,heartbeat,wp-auth-check&ver=4.3.1


Так от этих скриптов нет толку, их можно увидеть и в исходнике.

Сильные пароли в администраторах и обновлениях необходимы

Пара клиентов пострадала, самая частая проблема - ломаные плагины и лень относительно обновления cms, а для ВП это особо критично

работал с клиентом, у него пароли были от учеток прям на ftp. для таких даже уязвимости движка не нужны

Столкнулся с проблемой при пустом поисковом запросе скрипт выдаёт ошибку
"Fatal error: Allowed memory size of 134217728 bytes exhausted (tried to allocate 20480 bytes)"
Кто-нибудь встречался с таким, это не баг а фича?

needtoknow написал(а):

Столкнулся с проблемой при пустом поисковом запросе скрипт выдаёт ошибку
"Fatal error: Allowed memory size of 134217728 bytes exhausted (tried to allocate 20480 bytes)"
Кто-нибудь встречался с таким, это не баг а фича?


В wp-config, пропиши:

Код:



define( 'WP_MEMORY_LIMIT', '256M' );

Проблема осталась... может тут проблемы на стороне сервера?
/wp-includes/wp-db.php on line 1924

needtoknow написал(а):

Проблема осталась... может тут проблемы на стороне сервера?
/wp-includes/wp-db.php on line 1924

скорее всего это не связано с вп
1) в php.ini есть строка memory_limit .. что указано?
2) .htaccess посмотри нет ли там параметра memory_limit .. если есть поставь побольше (хотя возможно что проблема решится в первом пункте)

markosd написал(а):

скорее всего это не связано с вп
1) в php.ini есть строка memory_limit .. что указано?
2) .htaccess посмотри нет ли там параметра memory_limit .. если есть поставь побольше (хотя возможно что проблема решится в первом пункте)


1) memory_limit 128M - этого мало для wp? или это зависит от наполнения сайта (в магазине много позиций)
2) в хэ-тэшке ничего лишнего

Поставил 256:
Fatal error: Allowed memory size of 134217728 bytes exhausted (

Вообще-то это не нормально когда WP использует такие объемы. Даже с шопом. Это проблема, скорее всего связанная или с темой или с каким-то из плагинов. Ее нужно устранять не увеличением лимита, а более глубокими методами. Просто представьте себе на секунду, что на этот запрос зашло 10 человек одновременно. Сколько памяти ему потребуется? Хватит ли ее на сервере (учитывая мускул и прочие сервисы)? Поэтому пробуйте искать истинную причину раздувания. Нужно посмотреть где именно возникает проблема и затем подумать нужен ли вам этот плагин или тема или нет. Увеличение memory_limit это только временная мера.

Например WP_DEBUG, логи сервера/хостинга...

opheus написал(а):

это все еще работает?


в новых версиях уже нет. но всегда надо следить за обновлениями

Ну так это же WP, движок на котором работает пол интернета... С открытым кодом... конечно ломать будут его в первую очередь. А помимо ядра, есть еще миллион плагинов, которые еще дырявей...