Новая функция безопасности WordPress может поставить под угрозу сайты и блоги
Функционал может предоставить злоумышленникам возможность отключить межсетевые экраны, двухфакторную аутентификацию и защиту от брутфорс-атак.
Новая функция безопасности, которую разработчики WordPress намерены реализовать в версии WordPress 5.1, запланированной к выходу весной текущего года, может подвергнуть риску сайты и блоги на данной платформе, предупреждают эксперты в области безопасности. Речь идет о функции под названием «WSOD (white-screen-of-death) Protection» («Защита от белого экрана смерти»), призванной предупредить о фатальных ошибках PHP и плагинах и темах их вызывающих. При возникновении подобной ситуации WSOD Protection приостановит работу темы или плагина, предоставляя администратору сайта возможность разобраться в проблеме.
Работу над новым функционалом команда WordPress начала несколько месяцев назад в рамках стратегии по переводу сайтов с использования устаревших версий PHP 5.x на более свежие выпуски PHP 7.x.
Однако, по мнению ряда экспертов, злоумышленники могут воспользоваться функционалом в своих целях. В частности, ИБ-специалист Славко Михайлоски (Slavco Mihajloski) указал , что атакующие могут использовать низкопробные эксплоиты в плагинах WordPress для инициирования фатальных ошибок PHP. В таком случае WSOD Protection приостановит работу плагина, предоставив злоумышленнику возможность отключить межсетевые экраны, двухфакторную аутентификацию, защиту от брутфорс-атак и другие обеспечивающие безопасность плагины на сайтах.
С мнением Михайлоски согласен и специалист компании WordFence Мэтт Руснак (Matt Rusnak). Он описал несколько сценариев атаки, где функционал может оказаться на руку атакующим. К примеру, работа плагина может быть приостановлена в связи с использованием другими плагинами слишком большого количества памяти, что может вызвать проблемы с безопасностью. Во втором сценарии атакующие могут воспользоваться уязвимостями локального внедрения файлов в плагинах/темах для массовой остановки плагинов в нужное время.
Разработчики WordPress намерены добавить опцию WP_DISABLE_FATAL_ERROR_HANDLER в конфигурационный файл wp-config.php, которая позволит владельцам сайтов отключить новую функцию защиты. На данный момент неясно, будет ли WSOD Protection включена по умолчанию в WordPress 5.1.
Специалисты рекомендуют включать данную функцию только временно при обновлении PHP сервера, ядра WordPress или плагинов, а в остальное время деактивировать ее.