קהילת הוורדפרס (WordPress) העולמית נמצאת בכוננות שיא לאחר שחוקרי האבטחה של חברת Wordfence חשפו פרצה חמורה בתוסף הפופולרי Advanced Custom Fields: Extended (ACF Extended).
הפרצה, המסווגת כ"העלאת הרשאות" (Privilege Escalation), מאפשרת למשתמשים בעלי הרשאות נמוכות מאוד, כמו מנויים פשוטים, להפוך את עצמם למנהלי אתר (Administrators) בעלי שליטה מלאה. עם למעלה מ-100,000 אתרים פעילים המשתמשים בתוסף, מדובר באחד האיומים המשמעותיים ביותר שנחשפו בתקופה האחרונה.
מה זה Privilege Escalation ולמה זה מסוכן לכם?
המושג "העלאת הרשאות" נשמע טכני, אך המשמעות שלו בשטח פשוטה ומפחידה: זוהי היכולת של פורץ "לדלג" מעל הגדרות האבטחה של האתר. בפרצה הנוכחית, הבעיה נובעת מחוסר בבדיקת הרשאות תקינה (Missing Capability Check) באחד מתהליכי ה-AJAX של התוסף. תוקף שכלל אינו זקוק לידע טכני מורכב יכול לשלוח בקשה זדונית לשרת ולשנות את תפקיד המשתמש שלו למנהל. ברגע שזה קורה, יש לו גישה מלאה למסדי הנתונים, ליכולת למחוק את האתר, להשתיל תוכנות כופר או לגנוב פרטי לקוחות רגישים.
התוסף שעל הכוונת: Advanced Custom Fields: Extended
חשוב להבהיר: הפרצה לא נמצאת בתוסף ה-ACF המקורי (של חברת WP Engine), אלא בגרסת ה-Extended, תוסף הרחבה פופולרי שמוסיף יכולות מתקדמות לניהול שדות מותאמים אישית. חוקרי Wordfence גילו כי התוסף מאפשר לעדכן נתוני משתמש (Meta Data) ללא אימות מספק. מכיוון שבוורדפרס הסטטוס של "מנהל" נשמר בתוך נתוני המשתמש, הפרצה הזו פותחת דלת רחבה לכל מי שרשום לאתר שלכם, אפילו כ"מנוי" (Subscriber) פשוט שרק נרשם לניוזלטר או לתגובות.
צעדים מיידיים להגנה על האתר שלכם
אם אתם מנהלים אתר וורדפרס, אל תחכו למחר.
הנה מה שאתם צריכים לעשות עכשיו כדי לוודא שאתם לא הקורבן הבא:
- עדכון גרסה מיידי: המפתח של התוסף כבר שחרר עדכון אבטחה (Patch). בדקו בלוח הבקרה שלכם אם קיימת גרסה חדשה והתקינו אותה ברגע זה.
- סריקת משתמשים: עברו על רשימת המשתמשים באתר וודאו שלא נוספו מנהלים חדשים שלא אתם הגדרתם.
- התקנת פיירוול: כלי אבטחה כמו Wordfence או Sucuri יכולים לחסום ניסיונות ניצול של פרצות כאלו עוד לפני שהן מגיעות לקוד של האתר.
- צמצום הרשמות: אם האתר שלכם אינו מחייב הרשמת משתמשים, שקלו לבטל את האופציה "כל אחד יכול להירשם" בהגדרות הכלליות של וורדפרס.
