Ett populärt tillägg till WordPress har allvarliga sårbarheter som öppna berörda sajter för hackerattacker. Det är så allvarligt att obehöriga med enkelhet kan få full åtkomst och i princip ta över kontrollen helt.
- Två sårbarheter hotar alla sajter som använder tillägget
- Ger full administratörsrättighet och obehöriga kan rensa databasen
- Sårbarheterna fixades snabbt efter avslöjandet
- Lästips: 12 bästa tilläggen till WordPress
Tillägget i fråga heter WP Database Reset och det används för att göra en full återställning av WordPress-databasen, utan att du behöver krångla med WordPress inbyggda installationsprocess när du vill börja om med en sajt.
Sårbarheterna i WP Database Reset påverkar så många som 80 000 användare. Det är antalet installationer som anges i det officiella WordPress-biblioteket med tillägg. Siffran är sannolikt något i underkant då tillägget även finns att installera från andra håll med.
Enligt säkerhetsteamet på Wordfence som hittade sårbarheterna är de som använder tillägget mycket utsatta.
En WordPress-databas lagrar all data som skapar en sajt, inklusive inlägg, sidor, användare, inställningar, kommentarer och mer. Med några enkla klick och ett antal sekunder kan en obehörig användare rensa en hel WordPress-installation om sajten använder en påverkad version av tillägget.
Wordfence
Den första kritiska sårbarheten som identifierades kallas CVE-2020-7048 och den andra heter CVE-2020-7047. Den förstnämnda kan användas för att rensa hela databasen utan auktorisering medan den andra ger obehöriga användare full administratörsrättigheter i WordPress.
Säkerhetsteamet på Wordfence kontaktade utvecklaren av tillägget WP Database Reset med sina fynd den 8 januari 2020 och fick svar den 13 januari 2020. I svaret utlovades buggfixar som löser de båda sårbarheterna.
Om du använder WP Database Reset är det extremt viktigt att du har en uppdaterad version som är minst v3.15 och gärna senare om sådan finns.
Ett tips är att ta bort alla tillägg för WordPress som du inte använder regelbundet. Så fort du har använt klart ett tillägg, exempelvis för att rensa databasen, så bör du ta bort det (inte bara avaktivera, utan ta bort helt). Då minimerar du belastningen på sajten och undviker onödiga sårbarheter likt de i WP Database Reset.
