Уязвимости WordPress: брешь в Ultimate Member на 8.8 балла угрожает 200 000 сайтов

Уязвимости WordPress давно перестали быть проблемой только крупных порталов. Ultimate Member, плагин для создания сообществ, личных кабинетов и каталогов пользователей, стоит на сотнях тысяч сайтов, в том числе у небольших авторов и предпринимателей. Информацию о бреши опубликовала команда Wordfence, крупнейшего сервиса безопасности для WordPress.

Три ошибки, которые складываются в одну атаку

Уязвимость это не одна дыра, а цепочка из трёх логических ошибок в коде плагина. По отдельности каждая выглядит незначительной, вместе они дают полный доступ к сайту.

• Подмена каталога пользователей. Атакующий заставляет плагин считать произвольную запись легитимным каталогом участников. Плагин перенаправляет внутренние функции на контент, который контролирует злоумышленник.
• Обход защиты метаданных. WordPress хранит служебную информацию (метаданные) о каждом пользователе, и обычные посетители не должны до неё добираться. Ошибка в проверке позволяет обойти этот запрет.
• Утечка ссылки сброса пароля. При генерации карточки пользователя плагин не проверяет, какие поля запрашиваются. Атакующий запрашивает внутреннее поле со ссылкой сброса пароля, и плагин отдаёт его открыто.

Ссылка сброса пароля по сути является временным ключом входа. Она должна приходить только владельцу аккаунта. Получив такую ссылку, злоумышленник сбрасывает пароль любого пользователя, включая администратора, и получает полный контроль над сайтом.

Уязвимость позволяет аутентифицированным атакующим с правами контрибьютора и выше извлечь действующие ссылки сброса паролей для всех пользователей в ответе каталога участников, включая администраторов. : Wordfence

Оценка опасности 8.8 из 10 баллов, по данным Wordfence, подтверждает: эксплуатация проста, а последствия критичны. При этом атака требует хотя бы минимальной авторизации на сайте (уровень контрибьютора), то есть анонимный посетитель воспользоваться ею напрямую не может.

Как защитить свой сайт прямо сейчас?

1. Откройте панель WordPress, перейдите в раздел «Плагины», найдите Ultimate Member и обновите его до версии 2.12.0 или новее. Именно эта версия содержит патч с усиленной проверкой каталогов и допустимых полей данных.
2. Проверьте список пользователей с ролью «Контрибьютор» и выше. Если среди них есть незнакомые аккаунты, деактивируйте их и смените пароль администратора вручную.
3. Установите плагин безопасности (например, Wordfence в бесплатной версии), чтобы получать уведомления о подозрительных действиях и будущих уязвимостях WordPress.

Есть ли аналог проблемы на российских платформах?

Уязвимости WordPress актуальны для владельцев сайтов в РФ и СНГ, потому что WordPress остаётся самой популярной CMS (система управления сайтом) в русскоязычном сегменте. Российские конструкторы сайтов, Tilda и «Нубекс», не используют сторонние плагины с открытым кодом тем же способом, поэтому подобные цепочки атак через плагины им не свойственны. Но и гибкости в создании сообществ у них меньше.

Если ваш сайт работает на WordPress и вы используете любые плагины для регистрации пользователей, уязвимости WordPress касаются вас напрямую, независимо от хостинга и страны.

Что делать с этим прямо сейчас, по ролям

Автору на Дзене с сайтом-визиткой на WordPress. Проверьте, стоит ли у вас Ultimate Member. Даже если вы не помните, что устанавливали его, он мог остаться от темы или шаблона. Зайдите в «Плагины» и обновите или удалите, если не используете.

Маркетологу, который ведёт клиентские сайты. Пройдитесь по всем проектам на WordPress. Один необновлённый плагин на забытом сайте клиента может стать точкой входа для атаки, а отвечать будете вы.

Предпринимателю с интернет-магазином или сообществом. Если на сайте есть регистрация и личные кабинеты через Ultimate Member, обновление до версии 2.12.0 является не рекомендацией, а необходимостью. Захват администраторского аккаунта означает потерю контроля над сайтом целиком.

Частые вопросы

Могут ли взломать мой сайт, если у меня нет зарегистрированных пользователей?

Риск значительно ниже. Уязвимость требует, чтобы атакующий уже имел учётную запись с правами контрибьютора. Если регистрация на сайте закрыта и вы единственный пользователь, эксплуатация маловероятна. Тем не менее обновить плагин стоит, потому что ситуация может измениться.

Достаточно ли просто обновить плагин?

Обновление до версии 2.12.0 закрывает саму уязвимость. Но если брешь уже была использована, злоумышленник мог сменить пароли или создать скрытые аккаунты. После обновления проверьте список пользователей и смените пароль администратора.

Что если я не использую Ultimate Member, но у меня другие плагины для регистрации?

Эта конкретная уязвимость касается только Ultimate Member версий до 2.11.4. Другие плагины регистрации имеют собственные риски. Общее правило: обновляйте все плагины, удаляйте неиспользуемые и следите за отчётами Wordfence.