דף הבית » חדשות ועדכונים, סקירת תוספים

חורי אבטחה חמורים התגלו בתוסף המטמון הפופולרי W3 Total Cache

31 בדצמבר 2012 | מאת רמי | 5 תגובות | תגיות: , , ,

התגלו חורי אבטחה חמורים באחד מתוספי המטמון הפופולריים של וורדפרס – W3 Total Cache. התוסף נמצא בשימוש במאות אלפי אתרים והוא אחד מתוספים הפופולריים ביותר של וורדפרס.

תוסף המטמון W3 Total Cache

תוסף המטמון W3 Total Cache

תוסף מטמון מומלץ ביותר

התוסף, כמו כל תוספי המטמון, מאיץ את זמן הגישה הממוצע לנתונים ומשפר את ביצועי האתר באמצעות מגוון שיטות והוא מאפשר לבצע אינטגרציה שקופה לשירותי CDN.

מדובר באחד מתוספי המטמון הפופולריים ביותר שנמצא בשימוש בעשרות אלפי אתרי וורדפרס גדולים ברשת כמו mashable.com, smashingmagazine.com, webdesignerdepot.com, css-tricks.com, mattcutts.com, yoast.com ורבים אחרים. התוסף מומלץ לשימוש על ידי חברות אכסון הגדולות MediaTemple, Host Gator, Page.ly, WP Engine ואחרים.

מיותר לציין שזהו תוסף המטמון המועדף עליי.

בעיות באבטחה

ג'ייסון דוננפילד (Jason Donenfeld) פרסם באתר האבטחה SecList.org שני חורי אבטחה:

When I set it up by going to the WordPress panel and choosing "add plugin" and selecting the plugin from the WordPress Plugin Catalog (or whatever), it left two avenues of attack open:

1) Directory listings were enabled on the cache directory, which means anyone could easily recursively download all the database cache keys, and extract ones containing sensitive information, such as password hashes. A simple google search of "inurl:wp-content/plugins/w3tc/dbcache" and maybe some other magic reveals this wasn't just an issue for me. As W3 Total Cache already futzes with the .htaccess file, I see no reason for it not to add "Options -Indexes" to it upon installation. I haven't read any W3 documentation, so it's possible this is a known and documented misconfiguration, but maybe not.

2) Even with directory listings off, cache files are by default publicly downloadable, and the key values / file names of the database cache items are easily predictable. Again, it seems odd that "deny from all" isn't added to the .htaccess file. Maybe it's documented somewhere that you should secure your directories, or maybe it isn't; I'm not sure.

בפורום התמיכה של התוסף כבר מתקיים דיון בנושא. מפתחי הליבה של וורדפרס מעורבים בתמונה ויוצרי התוסף עובדים על פתרון.

מאת רמי

אחראי על אתר וורדפרס בעברית ועל תרגום ושחרור גרסאות וורדפרס בעברית. מפתח ליבה, בכל גרסה החל מגרסה 2.8, מפתח מוביל בגרסה 4.4 ובגרסה 4.6. מספק שירותי פיתוח אתרים, פיתוח תוספי וורדפרס לסטרטאפים ופיתוח כלים למפתחי וורדפרס - GenerateWP.com.

5 תגובות »

  • שי כותב :

    נשמח לעדכון כאשר החורים האלו יעברו תיקון

  • רמי כותב :

    על פי ה-Changelog בעמוד התוסף במאגר התוספים, יצאה גרסה חדשה (0.9.2.5).

    מי שמשתמש בגרסאות ישנות, מומלץ לעדכן, ואם לא ניתן לעדכן אז מומלץ לנטרל את האפשרות Database Cache של תוסף המטמון.

  • ניצן כותב :

    הפיתרון הפשוט, הוא גם המתבקש ביותר, חסימה בעזרת קובץ htaccess של directory listing. ראיתי שגם דיברו על כך באתר עצמו אליו קישרת.
    מה שאותי מעניין, זה שיש שלל כללים די פשוטים שאפשר לשלב בתוך ה htaccess שיספקו הגנה די טובה ונוחה משלל מרעין בישין, ומדוע בוורדפרס לא מכניסים את התוספות הללו באופן אוטומטי אל תוך המערכת.

  • רמי כותב :

    שאלה טובה. לדעתי בגלל השוני בין השרתים והתכנות המותקנות בהם, על גרסאותיהן השונות. מבחינת ההגדרות, מה שמתאים לאחד לא בהכרח יתאים לאחר.

    למה בכלל להתעסק עם זה ברמת ה-CORE ולכפות על אתרים, כשאפשר להשאיר את זה פתוח לשיקול דעתו של בעל האתר?! הרי אם אתה מציין מונח כמו htaccess אתה כנראה מבין בתחום ולא נרתע מקצת קוד, אבל אחרים יקבלו חום רק מקריאת המילה.

    ראה גם את פילוסופיית הפיתוח של וורדפרס במיוחד את הפרק Design for the Majority, שעולה מחדש ב-Trac כאשר מציעים להוסיף פיצ'רים שונים למערכת.

  • שרירים.נט כותב :

    בגלל דברים שכאלה צריך לבדוק טוב טוב אילו תוספים אנחנו מכניסים לבלוגים אותם אנחנו מנהלים ולא להכניס כל תוסף שנראה לעין.

הוסף תגובה !

נא לא לשאול שאלות שלא קשורות לפוסט, זהו לא פורום תמיכה. לבעיות אישיות ונושאים מורכבים אפשר ליצור איתי קשר.

תגיות HTML מורשות לשימוש:
<a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>