Найден серьезный баг в плагине All In One WordPress Security and Firewall

Опубликовано: 20.10.2017

Пиппин Вильямсон, создатель плагина AffliateWP, обнаружил серьезную ошибку в плагине All In One WordPress Security and Firewall . В соответствии с темой на форуме, созданной Вильямсоном, плагин All In One WordPress Security and Firewall автоматически определяет id опций с fwp как вредоносные и удаляет их.

Known WP Pharma Hack Entry: fwp and option_id: 1101143 The options table entry with known pharma hack for option_id 1101143 with option_name affwp_settings was successfully deleted

Фарма-хак набрал свой ход в начале 2011 года, однако в сообществе WordPress стал известен только тогда, когда Крис Пирсон опубликовал детально руководство, описывающее то, как обнаружить и удалить связанный с таким хаком вредоносный код. Даже учитывая тот факт, что fwp – это часто используемый id опций в фарма-хаке, он применяется также и во вполне легитимных плагинах для WordPress. Как отметил Вильямсон, слепая проверка и удаление fwp в таблице опций является опасным действием.

«Да, сайты, которые попадали под фарма-атаку, часто содержали в именах опций «fwp», однако это далеко не самая убедительная проверка.

Слепое предположение о том, что опция, которая содержит в себе «fwp», является вредоносной, в корне неверно. Точно так же это неверно и по отношению к нормальным настройкам, которые хранятся в базе данных и содержат в себе текст «fwp».

К примеру, все ваши настройки хранятся в БД с префиксом affwp_. Это означает, что каждая опция в вашей БД тут же будет помечена плагином как вредоносная и будет удалена без каких-либо вопросов или любых дополнительных доказательств.

Точное число плагинов, на которые могла негативно повлиять такая попытка выявления вредоносных строк, неизвестно. «wp» используется в огромном количестве плагинов и зачастую комбинируется с буквами или словами, обозначающими плагин, поэтому вполне может произойти так, что другие плагины тоже будут иметь опции с «fwp» в своем имени».

Хотя я не использую AffliateWP, я решил установить WordPress All In One Security and Firewall на свой локальный компьютер и использовал сканер базы данных, чтобы посмотреть, найдутся ли какие-либо id опций, содержащие fwp. Во время сканирования базы данных плагин обнаружил id опции sfwpavatar и быстро удалил ее из БД. Опция sfwpavatar связана с плагином Simple Forums, который обрабатывает аватары. Id опции не имеет никакого отношения к фарма-хаку.

Опция 150, как можно видеть в БД.

В новой версии сканер базы данных временно отключен

Команда разработчиков выпустила новую версию плагина , которая позволяет справиться с проблемой, описанной выше. Вы должны были уже увидеть уведомление в вашей консоли. В соответствии с журналом изменений , обновление временно отключает сканер базы данных.

Источник: wptavern.com

rss