На прошлой неделе мы выпустили WPML 4.6.13 и WooCommerce Multilingual 5.3.7, чтобы исправить проблему безопасности, о которой сообщила Wordfence. Мы хотим поделиться дополнительными сведениями об этом исправлении и о том, что оно означает для безопасности ваших сайтов.
Хронология событий
В WPML безопасность является нашим главным приоритетом, и мы стремимся к тому, чтобы ваши веб-сайты оставались в безопасности. Для этого исправления мы тесно сотрудничали с Wordfence, одним из самых уважаемых имен в сообществе безопасности WordPress.
Wordfence связалась с нами по поводу проблемы WPML в июле, но, к сожалению, сообщение попало в папку со спамом и некоторое время оставалось незамеченным. К счастью, они прислали нам повторное письмо в августе, и мы взялись за дело, немедленно исправив уязвимость и предоставив Wordfence исправленную версию для проверки.
Будучи отличными партнерами и экспертами, Wordfence сообщили о еще одной незначительной XSS-уязвимости в процессе, которую мы также немедленно исправили.
Тем временем мы также получили отчет от Patchstack об аналогичной уязвимости в WooCommerce Multilingual.
После получения от них подтверждения того, что исправление прошло все проверки, 20 августа мы выпустили WPML 4.6.13 и WooCommerce 5.3.7.
Ключевая роль Wordfence
Мы хотели бы воспользоваться этой возможностью, чтобы поблагодарить Wordfence за их огромную помощь в выявлении и исправлении этих уязвимостей. Важность их работы для нас и всей экосистемы WordPress невозможно переоценить.
Их усердие в отслеживании первоначального отчета и их сотрудничество на протяжении всего процесса исправления является свидетельством их приверженности сообществу WordPress.
Как работает этот эксплойт и что это значит для вас
В некоторых онлайн-статьях эта проблема описывается как “критическая уязвимость”, затрагивающая более миллиона сайтов. Хотя мы полностью согласны с тем, что безопасность — это серьезный вопрос, важно уточнить, как именно этот эксплойт работает в реальных ситуациях.
Эта уязвимость требует, чтобы злоумышленник имел права на редактирование на сайте WordPress. Это означает, что у них должна быть роль пользователя уровня «Автор» или выше на целевом сайте.
Тем не менее, серьезность зависит от того, какие типы пользователей у вас есть на вашем сайте. Если вы и ваша команда являетесь единственными администраторами/авторами/редакторами на сайте, то никто, кроме вас или вашей команды, не сможет использовать эту уязвимость.
С другой стороны, если вы управляете сайтом с пользователями, имеющими доступ уровня «Автор», и вы не знаете этих людей лично, вы можете подвергаться большему риску.
Наконец, мы хотим подчеркнуть, что большинство пользователей WPML никогда не подвергались риску. Исправление было разработано, протестировано и выпущено в тесном сотрудничестве с Wordfence, и проблема была полностью решена.
Как всегда, мы настоятельно рекомендуем поддерживать WPML и WooCommerce Multilingual в актуальном состоянии на ваших сайтах.
В случае каких-либо опасений
Нашим пользователям и партнерам, которые могли быть обеспокоены недавними сообщениями, мы хотим заверить вас, что нет причин для беспокойства. Проблема была быстро и эффективно решена, и нет никаких доказательств того, что она была использована в дикой природе.
Если у вас есть какие-либо вопросы или опасения, пожалуйста, не стесняйтесь связаться с нами.
Мы по-прежнему привержены безопасности ваших веб-сайтов и нашему постоянному сотрудничеству с Wordfence и другими экспертами по безопасности.
Благодарим за ваше неизменное доверие к WPML,
Команда WPML