Wtyczka Anti-Malware Security and Brute-Force Firewall ma chronić strony przed atakami hakerów. Tymczasem to ona sama stała się bramą do wrażliwych danych. Luka odkryta w jej kodzie pozwala zwykłemu subskrybentowi na odczytanie dowolnych plików z serwera, w tym tych newralgicznych — jak choćby konfiguracja bazy danych.
Wtyczka Anti-Malware Security and Brute-Force Firewall jest zainstalowana na ponad 100 000 stronach. Jej zadaniem jest ochrona WordPressa przed atakami typu brute-force, SQL injection i złośliwymi skryptami. Jednak w wersjach do 4.23.81 włącznie ukryty jest błąd, który otwierał bardzo szeroko wrota wszelkiej maści cyberprzestępcom.
Źródłem problemu okazała się funkcja GOTMLS_ajax_scan(), odpowiedzialna za przetwarzanie żądań AJAX w panelu administratora. Programista zapomniał dodać mechanizm kontroli uprawnień użytkownika — przez co osoba o tych minimalnych (np. subskrybent) mogła wywołać tę funkcję i odczytać dowolny plik na serwerze.
Od subskrypcji do przejęcia danych
Z pozoru nic groźnego — przecież użytkownik musi być zalogowany. Nic bardziej mylnego i wynika to wprost z konstrukcji samego CMS-a. Wiele stron WordPressa pozwala każdemu zarejestrować konto, np. by komentować lub zapisywać się do newslettera. To dziś już trochę archaizm, ale czasami używany przez szczególnie „stare” strony. Taki użytkownik, wykorzystując lukę CVE-2025-11705, mógłby uzyskać dostęp do pliku wp-config.php, w którym znajdują się dane logowania do bazy — nazwa, hasło, klucze i tzw. salt zabezpieczający autoryzację.
Z takimi danymi można już znacznie więcej: wyciągnąć adresy e-mail użytkowników, hashe haseł, treści postów, a nawet klucze API. Nie trzeba więc być hakerem z niesamowitą wiedzą i customowymi narzędziami — wystarczy konto subskrybenta i odrobina wiedzy o strukturze WordPressa.
Reakcja szybka, ale czy skuteczna?
Błąd odkrył Dmitrii Ignatyev, który zgłosił go firmie Wordfence — znanemu dostawcy zabezpieczeń dla WordPressa. Ta przekazała raport wraz z dokumentacją zawierającą dowód skutecznego użycia luki w warunkach laboratoryjnych do zespołu bezpieczeństwa WordPress.org oraz autora wtyczki, znanego jako Eli.
Reakcja była szybka. Już 15 października pojawiła się wersja 4.23.83, w której dodano funkcję GOTMLS_kill_invalid_user() — tym razem z poprawnym sprawdzeniem uprawnień użytkownika. Problem w tym, że z danych WordPress.org wynika, iż ponad 50 000 stron nadal korzysta z podatnej wersji. Połowa witryn korzystających ze starej wersji wciąż jest potencjalnie otwarta na atak.
Poważna, ale… nie „krytyczna”
Eksperci Wordfence uznają podatność za średniego poziomu ryzyka, bo wymaga zalogowania użytkownika. Jednak w świecie WordPressa to małe pocieszenie. Strony z otwartą rejestracją, forami czy strefami dla klientów spełniają ten warunek niejako z automatu. Wyobraźcie sobie miejsca, w których — by móc przeglądać ofertę sklepu opartego na WordPressie — należy się zalogować. Takie miejsca nie będą w stanie wyłączyć mechanizmu rejestracji dla „postronnych”, bo jest on im koniecznie potrzebny do „życia”.
Na razie nie wykryto przypadków aktywnego wykorzystania tej luki, ale publiczne ujawnienie szczegółów niemal gwarantuje, że to jedynie kwestia czasu. Gdy exploit trafia do sieci, pojawiają się boty automatycznie skanujące strony w poszukiwaniu celów.
Czytaj również: Przestępcy nie wierzą własnym oczom. Na ofiary już to nie działa
Co powinni zrobić administratorzy
Jeśli Twoja strona na WordPressie korzysta z tej wtyczki, należy natychmiast zaktualizować ją do wersji 4.23.83 lub nowszej.
Warto też:
-
sprawdzić logi serwera pod kątem nietypowych żądań AJAX,
-
zresetować hasła i klucze bezpieczeństwa w pliku wp-config.php,
-
ograniczyć możliwość rejestracji nowych użytkowników, jeśli nie jest to konieczne,
-
regularnie aktualizować wszystkie wtyczki i motywy — nawet te z pozoru „bezpieczne”.
Niestety: proste, otwarte i przyjazne CMS-y, mają swoją ciemniejszą stronę. Aby czuć się absolutnie pewnie w tym świecie (wszak z WordPressa korzystają również ogromne firmy, a także Antyweb), dobrze jest mieć niemałe zaplecze techniczne i programistyczne oraz odpowiednie budżety na prace ekspertów. Mniejsi twórcy stron zazwyczaj polegają na darmowych lub niedrogich, gotowych rozwiązaniach i czasami jest to dla nich zgubne. Aczkolwiek większym też zdarzają się niemałe wpadki z zabezpieczeniami. Oby w tym przypadku nie doszło za jakiś czas do masowego przejmowania witryn.
