Уязвимость в Slider Revolution затронула более 1000 WordPress-тем на рынке Envato

Несколько дней назад мы писали о критической уязвимости безопасности, которая была найдена в популярном плагине Slider Revolution и незаметно устранена его разработчиками. Envato Market решил пойти дальше и провести свое исследование, поскольку товары, размещаемые на этом рынке, вполне могли быть укомплектованы уязвимым плагином.

envato

Компания выявила более 1000 тем, проданных через рынок, которые потенциально могли быть затронуты данной уязвимостью. В то время как многие продукты уже были обновлены, некоторые авторы тем до сих пор ничего не сделали. В знак признания серьезности этой уязвимости и простоты ее эксплуатирования рынок временно отключил темы, которые не были исправлены:

«Мы начинаем временно отключать темы, которые поставлены под угрозу и которые не были обновлены до сих пор, и связываться с их разработчиками, чтобы они обновили свою тему как можно быстрее. Это потребует времени, поскольку все темы проверяются вручную»

Даже если продукты и были обновлены, следующая задача, которая стоит перед разработчиками – заставить пользователей обновиться. Многие темы до сих пор не включили систему автоматического обновления, позволяющую уведомлять пользователей о вышедших обновлениях. Да и сами пользователи WordPress не всегда ставят обновления сразу после их выхода, боясь что-то сломать или повредить. Envato Market уведомляет пользователей по почте о важной уязвимости:

«Мы будем связываться со всеми покупателями потенциально уязвимых тем через их почтовый адрес, указанный на Envato Market, чтобы убедиться в том, что они прочитали и приняли к сведению эту информацию»

Рынок Envato Market опубликовал подробные инструкции, чтобы помочь пользователям определить, нужно ли обновлять их тему и была ли она затронута уязвимостью.

Опасность поставки тем с привязанными плагинами

Когда уязвимость системы безопасности потенциально затрагивает более 1000 товаров, тихое исправление неприемлемо. Компании ThemePunch нужно было публично объявить об этом еще тогда, когда такая уязвимость была найдена, что, возможно, воспрепятствовало бы распространению этой уязвимости по разным сайтам.

В самом конце записи разработчики Envato Market акцентируют внимание на том, что именно они сделали, чтобы предотвратить появление таких угроз:

«Мы планируем выпускать разные руководства и инструкции, чтобы проблемы, такие как эта, доходили до нас как можно быстрее, и чтобы авторы смогли убедить покупателей как можно быстрее обновиться.

Мы также хотим пересмотреть тот способ, которым обрабатываются обновления в темам с привязанными плагинами и в готовых наборах»

К сожалению, «разные инструкции и руководства» не способны справиться с корнем проблемы. Эта уязвимость демонстрирует опасность привязки плагинов к продаваемым темам. Рынку Envato Market не пришлось бы перечислять 1000+ потенциально уязвимых тем, если бы они запретили добавление плагинов к темам.

Так как подавляющее большинство самых продаваемых тем на Envato не придерживаются лучших практик, принятых в данной индустрии, запрет на привязку плагинов лишил бы их разработчиков части прибыли. Как оказалось, стимула в виде найденной уязвимости оказалось мало, чтобы Envato Market сделал из этого правильный вывод и перешел к поддержке лучших практик.

Уважаемые профессионалы в сообществе WordPress обратились к авторам с просьбой отделить плагины от тем. Эта ситуация вновь подняла жаркие споры.

Исторически так сложилось, что Envato никогда особо не старался придерживаться лучших практик создания тем. Прошлогоднее добавление возможности GPL лицензирования, а также обновленные требования представления тем стали хорошим шагом вперед, однако авторы тем нашли способ обойти эти требования. Джастин Тэдлок раскрыл свои представления по поводу этой практики после своего эксперимента с Themeforest:

«Если отталкиваться от того, что я видел на форумах, то многие авторы просто ищут возможность делать то, что они уже делали, просто поместив все это в плагин, который поставляется вместе с темой. В основном они не хотят, чтобы кто-то «украл их код», но при этом они отказываются от качественного опыта взаимодействия. Если вы внесли вашу функциональность в плагин, который будет полезен только в контексте вашей темы, то вы поступаете неправильно. Надеюсь, что Envato  поборется с подобным положением дел. В противном случае мы столкнемся с теми же самыми методами, но уже в новом виде»

Этот опыт подтолкнул Тэдлока к созданию автономных плагинов, поддержка которых может быть легко реализована авторами тем. В итоге авторы смогут больше времени посвятить самой теме и добиться улучшенной мобильности данных через подключение плагинов. Применение стандартов, касающихся функциональности плагинов, позволяет снизить объемы работ для авторов тем и в большей степени ориентироваться на пользователей. Не понадобится напрасно тратить время на обновление своих тем, чтобы избавиться от уязвимости в слайдере.

Система WordPress сегодня используется на 23%+ сайтов по всему миру, и она всегда будет являться целью для хакеров, разыскивающих очередные уязвимости для эксплуатации. Если Envato Market не будет бороться с авторами тем, внедряющими плагины в свои решения, то в таком случае рынок продолжит сталкиваться с теми же самыми проблемами безопасности, которыми пестрили заголовки статей на этой неделе.

Блог про WordPress
Комментарии: 3
  1. Андрей

    ДА, как раз столкнулся недавно с этой уязвимостью на своем сайте. Написал им письмо, пока ответа не было.

  2. Дуо

    Текущая версия ревслайдера 4.6, дыра была исправлена уже в 4.2. Что-то авторы некоторых тем совсем мышей не ловят.

    1. Дмитрий (автор)

      Особенно странно это для коммерческих тем, авторы которых еще и деньги берут за это.

Добавить комментарий

Получать новые комментарии по электронной почте.