Otkriven sigurnosni propust u W3 Total Cache pluginu

23.09.2016. ekipa iz WP Media objavila je kako je otkriven sigurnosni propust u popularnom pluginu W3 Total Cache koji web strancu izlaže riziku od XSS napada.

Sigurnosni propust ocijenjen je kao visoko rizični, no do 26.09.2016. nije bilo druge pomoći osim deaktivirati plugin.

Plugin je trenutno aktivan na više od milijun web stranica koje pogoni WordPress, a sigurnosni propust može biti zloupotrijebljen kad je na stranici prijavljen korisnik sa administratorskim dopuštenjima.

Napadačima nije potrebno posebno znanje kako bi zloupotrijebili ovaj propust, te vrlo lako na stranicu s navedenim sigurnosnim propustom mogu ubaciti iframe, maliciozni JavaScript kod i sl.

Ako na svojoj stranici koristite navedeni plugin, obavezno izvršite nadogradnju budući da je izdana zakrpa koja rješava navedeni sigurnosni propust, no vodite računa o tome da prije nadogradnje napravite backup stranice budući da su neki korisnici javili kako su imali problema nakon nadogradnje. Problemi nakon nadogradnje javljaju se u pravilu na stranicama koje koriste starije verzije PHP-a.

Uvijek redovito ažurirajte stranicu i sve pluginove, a pluginove koje ne koristite obavezno deaktivirajte i obrišite.