Tidligere på måneden offentliggjorde Sucuri, at de havde fundet et stort sikkerhedshul i Wordress 4.7.1. Hullet gør det muligt for hackere at ændre indholdet på en hvilken som helst side eller indlæg via den indbyggede WordPress REST API. Hullet blev lukket i opdateringen til Wordress 4.7.2.
Er du udsat?
REST API’en er standard og aktiveret siden WP 4.7.0 versionen, hvorfor mange WordPress-ejere er udsatte, hvis de har opdateret til den version, men ikke har opdateret sin side for nyligt. Kører du WordPress 4.7.0 eller 4.7.1 er du derfor ekstremt udsat. Er du en af dem bør du derfor få opdateret din side med det samme. Efter Sucuri har offentliggjort sikkerhedshullet er de første automatiske hacks begyndt at blive igangsat, hvorfor det kun kan gå for langsomt med at få opdateret. De automatiske hacks gennemgår systematisk WordPress-sider og tjekker om din side er sårbar. En WordPress-hacker går således ikke specifikt efter din side, men er din side sårbar vil du alligevel være i risikogruppen.
Hvordan gøres det?
Sucuri har offentliggjort en detaljeret teknisk forklaring på, hvordan buggen i API’en ser ud. Basalt set kan en hacker / et program tilgå en adresse på din WordPress-side med en række parametre og ændre indholdet på din side. Eksempelvis ville eksempelside.dk/wp-json/wp/v2/posts/123?id=456ABC lade hackeren ændre indholdet på indlægget med ID 456.
Hullet er derfor et af de største længe, da det gør det muligt for en hacker at indsætte plugin-specifikke koder, scripts mv. på din side. Udover at ødelægge din side nu og her kan det også have længerevarende konsekvenser, hvis du er blevet hacket og ikke har opdaget det. Hvis en hacker ændrer dit indhold inden du opdaterer vil det også være ændret hvis du opdaterer siden efterfølgende. Det kan betyde, at du kan miste din SEO på den lange bane, hvis ikke du er opmærksom.
Er der noget jeg skal være opmærksom på?
Når man opdaterer sin side er der en del ting der kan gå galt. Plugins kan eksempelvis være inkompatible med WordPress-versionen. Du bør derfor altid have en teknisk ansvarlig til at opdatere siden for dig eller som minimum have en backup inden du går i gang. Uanset hvordan du gør det bør du dog få opdateret med det samme.
Et sidste godt råd er, at du holder dig opdateret omkring sikkerhedshuller på din hjemmeside fremadrettet. Det kan du bl.a. gøre ved at kigge på bloggen her eller melde dig til vores nyhedsbrev ude til venstre.