WordPress ostaja najbolj raz\u0161irjen sistem za upravljanje vsebin na svetu, saj poganja ve\u010d kot 40 odstotkov vseh spletnih strani na internetu. Od spletnih strani malih podjetij in osebnih blogov do velikih podjetni\u0161kih platform in infrastrukture e-trgovine, CMS je postal hrbtenica sodobnega spleta. Njegova priljubljenost izhaja iz njegove prilagodljivosti, odprtega ekosistema in ogromnega \u0161tevila vti\u010dnikov, ki so na voljo za raz\u0161iritev njegove funkcionalnosti.<\/p>\n\n\n\n
Vendar je ta isti ekosistem postal tudi eden najve\u010djih varnostnih izzivov za WordPress.<\/p>\n\n\n\n
V podjetju Ferber Enterprises na\u0161a ekipa za kibernetsko varnost nenehno spremlja gro\u017enje, ki vplivajo na ekosistem WordPressa, saj se ranljivosti v vti\u010dnikih, predlogah ali dobavnih verigah lahko hitro razvijejo v obse\u017ene varnostne kr\u0161itve, ki prizadenejo tiso\u010de spletnih strani po vsem svetu. V zadnjih letih napadalci vse pogosteje ciljajo na razvijalce vti\u010dnikov in distribucijsko infrastrukturo namesto na posamezne spletne strani, kar omogo\u010da \u0161irjenje zlonamerne kode prek zaupanja vrednih posodobitev programske opreme in uradnih kanalov za prenos.<\/p>\n\n\n\n
Ta teden je izbruhnila velika polemika v zvezi s podjetjem WPFactory, znanim razvijalcem vti\u010dnikov za WordPress, katerega izdelki so name\u0161\u010deni na ve\u010d kot 170.000 spletnih straneh po vsem svetu. Ve\u010d kot 80 vti\u010dnikov, povezanih s tem podjetjem, je bilo za\u010dasno umaknjenih s spletne strani WordPress.org, potem ko je na\u0161a ekipa za kibernetsko varnost pri WPFactory odkrila sumljivo zadnja vrata v premium razli\u010dici enega od njihovih vti\u010dnikov.<\/p>\n\n\n\n
Incident je spro\u017eil resne pomisleke v skupnosti WordPress glede varnosti dobavne verige programske opreme, procesov pregledovanja vti\u010dnikov in vse ve\u010dje prefinjenosti napadov na ekosistem odprtokodnih re\u0161itev.<\/p>\n\n\n\n
Ta te\u017eava se je prvi\u010d pojavila, ko je na\u0161a ekipa za kibernetsko varnost pri Ferber Enterprises med testiranjem premium razli\u010dice vti\u010dnika \u00bbEU VAT for WooCommerce Pro\u00ab, ki se distribuira neposredno z njihove uradne spletne strani, opazila nenavadno delovanje.<\/p>\n\n\n\n
Sprva se je preiskava za\u010dela po tem, ko je vti\u010dnik med namestitvijo povzro\u010dil kriti\u010dno napako. Med odpravljanjem te\u017eave so na\u0161i analitiki identificirali sumotivo datoteko PHP z imenom class-alg-wc-eu-vat-customer.php. Zdelo se je, da datoteka izvaja vedenje, ki je popolnoma v neskladju s pri\u010dakovano funkcionalnostjo vti\u010dnika WooCommerce VAT.<\/p>\n\n\n\n\n\n