Ars Technica'nın bildirdiğine göre, son birkaç gün içinde milyonlarca WordPress sitesi zorunlu bir yama aldı. Bunun nedeni, kullanıcıların web sitesi yedeklemeleri oluşturmasına ve geri yüklemesine olanak tanıyan popüler bir eklenti olan UpdraftPlus'taki bir güvenlik açığıdır. Güvenlik açığı, hesabı olan herkesin bir web sitesinin tüm veritabanını indirmesine izin vereceğinden, UpdraftPlus geliştiricileri zorunlu yamayı talep etti.
Hata, eklentinin güvenlik denetimi sırasında Jetpack güvenlik araştırmacısı Marc Montpas tarafından keşfedildi. Ars Technica'ya, "Bu hatanın istismar edilmesi oldukça kolaydır, eğer istismar edilirse çok kötü sonuçlar doğurur" dedi. "Düşük ayrıcalıklı kullanıcıların bir sitenin ham veritabanı yedeklerini içeren yedeklerini indirmesini mümkün kıldı."
UpdraftPlus geliştiricilerine geçen hafta Salı günü hatayı anlattı, bir gün sonra düzelttiler ve bundan kısa bir süre sonra yamayı zorla yüklemeye başladılar. Perşembe günü, 3 milyondan fazla kullanıcıdan 1,7 milyon site bunu aldı.
Ana kusur, UpdraftPlus'ın kullanıcıların yönetici ayrıcalıklarına sahip olup olmadığını kontrol ederek WordPress'in "hearbeat" işlevini doğru şekilde uygulamamasıydı.Başka bir sorun da yöneticileri doğrulamak için kullanılan ve güvenilmeyen kullanıcılar tarafından değiştirilebilen bir değişkendi.Jetpack bunun nasıl yapılacağı hakkında daha fazla ayrıntı verdi. bir hack, bir blog gönderisinde işe yarayabilir.
WordPress daha önce bu yılın başlarında ihlal edilmişti, ancak bu, 1,2 milyon hesabı açığa çıkaran bir GoDaddy saldırısı yoluyla dolaylı olarak yapıldı. WordPress'i UpdraftPlus eklentisi ile çalıştırıyorsanız, eklentinin ücretsiz sürümde otomatik olarak 1.22.4 veya sonraki sürümlere veya premium uygulamada 2.22.4 ve sonraki sürümlere güncellendiğini kesinlikle onaylamalısınız.