Áthágható ellenőrzés, teljes kontroll
A probléma gyökere az alone_import_pack_install_plugin() függvényben található, amely nem tartalmaz megfelelő ellenőrzést (nonce-ellenőrzést), ráadásul anonim felhasználók számára is elérhető. A hackerek ezt kihasználva feltölthetnek ZIP-állományba rejtett webshellt, jelszóval védett PHP-hátsó kaput vagy akár teljes értékű fájlkezelőt is, így távolról irányíthatják a webhely adatbázisát és rendszerét.
Gyanús jelek, veszélyes IP-k
A fertőzésre utaló jelek lehetnek új adminisztrátor fiók megjelenése, ismeretlen ZIP- vagy bővítménymappák, illetve olyan kérések, amelyekben szerepel az admin-ajax.php?action=alone_import_pack_install_plugin. A Wordfence már több tízezer támadást blokkolt, főként a következő IP-címekről: 193.84.71.244, 87.120.92.24, 146.19.213.18, illetve 2a0b:4141:820:752::2 – ezeket mindenképpen érdemes azonnal tiltani.
Frissítés és védelem
Az Alone WordPress témát főként nonprofit szervezetek, alapítványok, jótékonysági csoportok használják világszerte. A Wordfence már május végén jelezte a hibát a Bearsthemes fejlesztőinek, de választ nem kapott, ezért június 12-én értesítették az Envato csapatát, akik négy nap alatt kiadták a javítást. Minden felhasználónak érdemes a 7.8.5-ös verzióra frissítenie a biztonság érdekében.
Egyre több támadás a WordPress ellen
Alig egy hónapja egy másik prémium téma, a Motors (Motors – Motorok) is hasonló módon lett feltörve, ott adminisztrátori fiókokat vettek át az MI által kihasznált hibával. Eközben a jelszótárolók elleni rosszindulatú támadások háromszorosára nőttek, legtöbbször lopakodó, Tökéletes rablás (Perfect Heist) típusú forgatókönyvek szerint.
