Luka bezpieczeństwa we wtyczce WP GDPR Compliance w wersji 1.4.2 – sprawdź czy strona nie jest zainfekowana

  • Poziom trudności:

Wczoraj portale WordPressowe obiegła informacja o luce bezpieczeństwa we wtyczce odpowiadającej za spełnienie wymogów RODO na stronach internetowych. W wersji 1.4.2 wykryta została podatność pozwalająca dowolnej osobie na założenie konta administratora, a wiadomo – kto ma konto admina ten ma władze nad stroną.

Brak aktualizacji w tym przypadku kosztował wiele osób utratę dostępu do strony. Odnotowano też przypadki, że zamiast strony głównej pojawiał się biały ekran.

Jak się zabezpieczyć przed niepożądanym działaniem wtyczki?

Rozwiązanie jest proste. Trzeba ją zaktualizować do najnowszej wersji (minimum 1.4.3). Aby to zrobić przejdź do sekcji Wtyczki -> Zainstalowane wtyczki i kliknij na „uruchom aktualizację”.

Następnym krokiem jaki warto zrobić jest sprawdzenie, czy na liście użytkowników nie widnieją podejrzane profile. Wszystkie za wyjątkiem Twojego i Twoich współpracowników usuń:

Jeśli masz jakiekolwiek wątpliwości czy nie doszło przypadkiem do złamania zabezpieczeń WP możesz zrobić następujące rzeczy:

1. Zmień hasło dostępowe do Twojej strony. WP daje narzędzie do łatwego resetowania hasła. Możesz o nim przeczytać tutaj.

2. Ściągnij wtyczkę Wordfence Security – Firewall & Malware Scan i przeskanuj swoją stronę. Sama wtyczka nie zapewnia pełnego bezpieczeństwa WP ale całkiem dobrze radzi sobie ze sprawdzeniem czy pliki Twojej witryny nie zostały zmodyfikowane.

3. Stwórz testowego Użytkownika i sprawdź czy dostałeś maila z informacją o jego rejestracji. Ci, którzy mieli nieaktualną wtyczkę dostali wiadomość o treści:

co pozwoliło im zareagować natychmiast. Sprawdź czy mail na który wysyłane są powiadomienia jest aktualny. Możesz to zweryfikować w sekcji Ustawienia -> Ogólne

4. Jeśli na Twojej stronie nie ma możliwość zalogowania się i jesteś pewien, że rejestracja nowych użytkowników jest wyłączona to wpisz poniżej adres swojej strony:

a następnie:

Jeśli po kliknięciu okaże się, że pojawi się komunikat:

to znaczy, że wszystko działa poprawnie i WordPress blokuje rejestrację nowych użytkowników.

Niezależnie od tego, czy problem dotyczy bezpośrednio Ciebie – szalenie ważne jest aktualizowanie wtyczek, WordPressa i motywu. Warto to robić z głową, po wykonaniu kopii zapasowej całej strony. Jeśli jesteś zainteresowany przewodnikiem pokazującym jak radzić sobie z aktualizacjami, zapraszam Cię do artykułu pt. „Jak wykonać kopię zapasową i zaktualizować witrynę?”.

UDOSTĘPNIJ
WordPress dla początkujących