Ostrzeżenie o luce w popularnej wtyczce do WordPressWordPress to najczęściej wybierany CMS na świecie. W oparciu o niego powstała niemal połowa istniejących stron internetowych. WordPress jest doceniany przez użytkowników ze względu na prostotę, intuicyjność i łatwość zarządzania. Ze względu na charakter open source, WordPress może być rozwijany i udoskonalany na potrzeby konkretnych, indywidualnych projektów. Jak zacząć korzystać z WordPressa? Aby rozpocząć przygodę z WordPressem, najpierw potrzebujesz hostingu dla WordPress. Hosting zapewnia miejsce na serwerze, gdzie będą przechowywane wszystkie pliki...Czym jest WordPress? – Contact Form 7. W dniu 2020-12-17 opublikowano informację o podatności w wersjach 5.3.1 i starszych. Zalecamy pilną aktualizację, jeśli korzystasz z tej wtyczki.

Contact Form 7 – co to jest?

Contact Form 7 to jedna z najbardziej popularnych wtyczek do obsługi formularzy kontaktowych na świecie, legitymująca się ponad 5 milionami instalacji na całym świecie. Przy pomocy Contact Form 7 możesz łatwo i szybko przygotować formularze obsługujące zarówno proste pola tekstowe, jak i rozwijane listy czy pola wyboru. Jedną z funkcji obsługiwanych przez to rozszerzenie jest także wgrywanie plików przez użytkowników strony.

Contact Form 7 – na czym polega atak?

Wykryta podatność pozwalała wstrzyknąć złośliwy kod, jeśli na Twojej stronie była wykorzystana ta wtyczka oraz jeśli korzystałeś z komponentu do wgrywania plików. Wykorzystując tę ​​lukę, osoba przesyłająca formularz może ominąć sanityzację nazwy pliku w formularzu kontaktowym 7 i przesłać plik, który można uruchomić jako plik skryptu na Twoim serwerze.

To bardzo niebezpieczna podatność, ponieważ atakujący może w ten sposób wykonać praktycznie dowolny kod, dlatego zalecamy natychmiastową aktualizację do wersji 5.3.2, w której ta luka została usunięta.

Taka strona może zostać również zainfekowana, a usuwanie wirusów z WordPress może nie być takie łatwe, dlatego warto skorzystać z usług firm, które mają doświadczenie w takich działaniach.

Contact Form 7 – jak wykonać aktualizację?

Po zalogowaniu do kokpitu Twojego WordPress’a wybierz po lewej stronie

WTYCZKI -> Contact Form 7 -> Uruchom aktualizację

Contact Form 7 - aktualizacja

Jeśli nie widzisz wtyczki Contact Form 7 – prawdopodobnie po prostu jej nie używasz, w takim razie nie musisz obawiać się podatności. Jeśli cokolwiek pójdzie nie tak – pamiętaj, że poprzedniej nocy wykonaliśmy kopię zapasową Twojej strony – w razie problemów zawsze możesz do niej sięgnąć.

Aktualność Twoich wtyczek możesz sprawdzić automatycznym audytem bezpieczeństwa WordPress, jeśli korzystasz z naszego hostingu dla WordPress – odpowiednia opcja audytu znajduje się w panelu Direct Admin.

Artur Pajkert z kubkiem cyber_Folks
>
Artur Pajkert
Od 18 lat dzieli się wiedzą i poradami w sprawach e-marketingu i hostingu, jako menedżer, autor publikacji, prelegent, bloger, wykładowca akademicki.

40 odpowiedzi do "Ważna luka w Contact Form 7"

  1. AM pisze:

    proszę o zdjęcie dot tego opisu: „Po zalogowaniu do kokpitu Twojego WordPress’a wybierz po lewej stronie

    WTYCZKI -> Contact Form 7 -> Uruchom aktualizację”

    1. Artur Pajkert pisze:

      Proszę, dodane.

  2. Grzegorz pisze:

    dziękuję za przypomnienie, już lecę aktualizować swój blog, wczoraj widziałem na FB ale już było późno, dobrze że mailing wysłaliście też 🙂 dzięki cyberfolks !

  3. marcin pisze:

    czyli jak ktoś używa tylko pół imię, nazwisko (input text) BEZ załączania plików, to jest bezpieczny? ps.dzieki za alert

    1. Artur Pajkert pisze:

      Ujawniona luka dotyczy tylko wgrywania plików, nie ma żadnych doniesień o tym, aby inne typy pól były niebezpieczne.

  4. Konrad pisze:

    Dzięki za tego niusa i wartościowy mailing Panowie!

  5. Piotr pisze:

    Dzięki za info, wtyczka właśnie zupdateowana 🙂

  6. Fun pisze:

    Czy naprawdę nie ma już webmasterów, którzy bez gotowych cmsow i wtyczek, zrobią formularz na stronie?

    1. budy pisze:

      Są, ale drodzy. WordPress pomaga obniżyć koszty 🙂

    2. lolol pisze:

      Czy nie ma już wynalazców którzy ponownie wymyślą koło?

  7. M pisze:

    Dzięki za informację!!!
    Czy jest jakiś sposób sprawdzenia czy nie doszło do naruszenia kodu WP (przed tym jak zrobiłem update)?

    1. Magdalena Paciorek pisze:

      Możesz spróbować przeskanować stronę narzędziami typu https://sitecheck.sucuri.net/ czy https://wpsec.com/. Mogą one pomóc rozpoznać infekcję na stronie, lecz niestety nie każdą i nie zawsze.

  8. jaddi pisze:

    Pytanie czy jak ktoś ma wersję 5.2.2 i nie wyskakuje mu możliwość aktualizacji to musi się martwić ?

    1. Magdalena Paciorek pisze:

      Wspomnniana w tekście podatność istnieje w wersji 5.3.1 i niższej wtyczki CF7. W kokpicie WordPressa, w zakładce wtyczki, możemy sprawdzić w jakiej wersji mamy zainstalowaną daną wtyczkę. Jeśli jest to wersja z podatnością – to tak, jest to niepokojące. Wtyczkę trzeba jak najszybciej zaktualizować (lub usunąć). Nawet jeśli nie pokazuje się powiadomienie o aktualizacji. Takie powiadomienie może zostać ukryte programistycznie i niektórzy wykonawcy te powiadomienia ukrywają. Nie oznacza to jednak, że jeśli nie ma powiadomienia to nie trzeba aktualizować wtyczki. Jeśli mamy wtyczkę w starszej wersji to powinno się ją zaktualizować, niezależnie od tego czy wyświetlają się powiadomienia czy nie.

  9. FotoGuzik pisze:

    Super, że dbacie o takie sprawy i informujecie o nich swoich klientów.

  10. Michał pisze:

    a co w sytuacji gdy ktoś wgrywa pliki przez formularz CF7, ale do wgrywania plików jest wykorzystywana inna wtyczka? np. taka https://wordpress.org/plugins/drag-and-drop-multiple-file-upload-contact-form-7/

    1. Artur Pajkert pisze:

      Jeśli ta inna wtyczka jest tylko zapewnieniem interfejsu, a przetwarzaniem załączonego pliku wciąż zajmuje się Contact Form 7 – lepiej zaktualizować. Tu jednak zalecam sprawdzenie na wersji deweloperskiej Twojej strony, czy wskazane rozwiązanie nie będzie „kolidować” z nowszą wersją CF7.

  11. Piotrek1990 pisze:

    Dziękuję za informacje, pytanie dodatkowe.
    Czy jeżeli mam włączone automatyczne aktualizacje to warto wykonywać wcześniej je ręcznie czy czekać aż sam się zainstaluje nowy patch do wtyczki?

    1. Artur Pajkert pisze:

      Są dwie szkoły. Jedna mówi, że każdą aktualizację warto wgrywać jak najszybciej i po to są automaty. Druga mówi, że lepiej sprawdzić najpierw co dokładnie wnosi aktualizacja, bo może się okazać, że coś przestanie po niej działać – na przykład powstaną niekompatybilności między różnymi wtyczkami, albo jakaś aktualizacja wymaga innej wersji PHP, a po jej zmianie przestało działać coś innego. Dlatego dobrze jest sprawdzić na testowej wersji strony, jaki jest realny wpływ aktualizacji. Polecam podcast Maćka Kuchnika „Rób WordPressa” – Krzysztof Dróżdż w odcinku o utrzymaniu stron www ciekawie opowiada o podejściu do aktualizacji (https://maciejkuchnik.pl/058/).
      Nie znając Twojej sytuacji trudno doradzić z całą pewnością, ale jeśli nie masz wielu innych wtyczek, które bazowałyby na C7, skłaniałbym się raczej ku szybszej aktualizacji. Ta luka jest poważna, jest o niej głośno, a co za tym idzie – należy sądzić, że w sieci już krążą żądania próbujące ją wykorzystać.

  12. Filip pisze:

    Właśnie odwirusowałem jedną stronę. W każdym folderze skopiowany plik htaccess i kilka podejrzanych plików php. Dostawca hostingu potwierdził to wysyłając skan.

    1. Artur Pajkert pisze:

      A więc niestety – są pierwsze ofiary. Oby jak najmniej takich przypadków! Jakbyś chciał porównać stan plików z tym przed infekcji, to – jeśli to strona u nas – masz backup do 28 dni wstecz, więc na pewno będzie do czego porównać.

  13. Jacek pisze:

    Gdzie znajduje się automatyczny audyt bezpieczeństwa WordPress w Direct Adminie ? Nie mogę tego znaleźć.

    1. Artur Pajkert pisze:

      Ta funkcja jest dostępna dla pakietów hostingu WordPress. Po zalogowaniu do DA: Wybór domeny -> Zaawansowane -> Audyt WordPress (pierwsza kolumna, czwarta opcja).

      1. Robert pisze:

        U mnie nie ma takiej opcji.

        1. Artur Pajkert pisze:

          Prawdopodobnie wynika to ze starszej wersji WordPress. Autorzy wtyczek mogą uzależnić możliwość wykonania aktualizacji od tego, jaka jest wersja rdzenia WordPress, bo nowe wersje wtyczek mogą wymagać konkretnej minimalnej wersji rdzenia. Sprzyja to zachowaniu stabilności całej strony. Brak widoczności opcji często oznacza, że nie są spełnione wymagania techniczne w postaci odpowiednio wysokiej wersji WordPress.

  14. Adam pisze:

    Super, że informujecie 🙂

  15. Ewa pisze:

    Aktualizacja zrobiona natomiast w dniu dzisiejszym otrzymuje spam gdzie nagłówek wiadomości do złudzenia przypomina normalne zamówienie z woocommerce. Co wcześniej nie mialo miejsca… Czy dane klientow z zamówień w woo sa zagrożone ? Czy luka pozwala na „import danych z woo, i następnie rozsyłanie na tej bazie – złośliwego oprogramowania- spamu -linków ?”
    Z góry dziekuje za informację

    1. Artur Pajkert pisze:

      Luka pozwalała na wykonanie dowolnego złośliwego kodu, umieszczonego poprzez pole do uploadu plików. Jeśli w Twojej instalacji było takie pole, umożliwiające użytkownikowi załączanie plików, to istnieje ryzyko, że ktoś mógł wykonać złośliwy kod, a jeśli nie było takiego pola – to prawdopodobieństwo tego konkretnego zdarzenia uznałbym za niskie. Strona mogła ulec też innej infekcji, niezwiązanej z podatnością w Contact Form 7. Jeśli to instalacja na naszych serwerach, to admini mogą pomóc w określeniu np. kiedy doszło do ostatnich zmian w plikach, co może być wskazówką. W tym celu zapraszam do kontaktu w Biurem Obsługi Klienta.

  16. Artur pisze:

    Problemem jest wersja wordpressa 4.9.16 (wydana pod koniec listopada 2020). Wtyczka contact form 7 w wersji najnowszej nie jest kompatybilna ze starszym WP w najnowszej nawet wesji. Niestety z pewnych względów, nie mogę przejść na WP 5. Więc albo trzeba szukać alternatywnej wtyczki, albo używać dalej tej licząc na to, że bez pola do ulploadu plików będzie ok.

  17. Maciej pisze:

    Umówmy się – większość formularzy nie ma opcji dołączenia plików, więc potencjał 5 mln zarażonych stron to przesada. Aczkolwiek bardzo słuszny wpis i cenne informację!

  18. Zero pisze:

    Dzień dobry.

    Wow, nie wiedziałem o tej luce. Czyli wystarczy updejtować wtyczkę i już po kłopocie?

    1. Artur Pajkert pisze:

      Bezpieczeństwo to raczej ciągły proces niż jednorazowe działanie. W tym wypadku aktualizacja likwiduje tę konkretną podatność, natomiast o stronę warto po prostu porządnie dbać w długim terminie. Garść przydatnych wskazówek znajdziesz we wpisie o bezpieczeństwie WordPress: https://cyberfolks.pl/blog/zabezpieczenia-wordpress-co-trzeba-wiedziec/

  19. CyberTutorials.pl pisze:

    Dzięki za informacje!

  20. GRAY pisze:

    Dzięki za informację :[] Na pewno się przyda

  21. Adrian pisze:

    Dziś contact-form-7 a jutro..? przy wordpressie lepiej trzymać rękę na pulsie i często aktualizować bo dość często coś ma luki.

  22. Natalia pisze:

    Wielkie dzięki za informacje, gdzie znajdę info na temat aktualnych tarapatów w WP?

    1. Adrianna Szałańska pisze:

      Informujemy zawsze na naszych socialach. Zajrzyj na naszego Facebooka: https://www.facebook.com/cyberFolksPolska 🙂

  23. Oprócz samego problemu z bezpieczeństwem cf7 ostatnio źle współpracuję z recaptchą v3, co obniża znacząco wydajność stron na wordpressie. Może warto poruszyć ten temat? 🤔

  24. CryptoSmart pisze:

    Bardzo cenny post, używam, a w zasadzie używałem tej wtyczki na kilku swoich stronach. Trzeba często przeprowadzać aktualizacje WordPressa i wszystkich wtyczek, to bardzo ważne w kwestiach bezpieczeństwa.

Dodaj komentarz

Twój adres e-mail nie będzie opublikowany.

Szukasz dalej?

Przeglądaj wg dat
  • Przeglądaj wg dat
  • styczeń 2025
  • grudzień 2024
  • listopad 2024
  • październik 2024
  • wrzesień 2024
  • sierpień 2024
  • lipiec 2024
  • czerwiec 2024
  • maj 2024
  • kwiecień 2024
  • marzec 2024
  • luty 2024
  • styczeń 2024
  • grudzień 2023
  • listopad 2023
  • październik 2023
  • wrzesień 2023
  • sierpień 2023
  • lipiec 2023
  • czerwiec 2023
  • maj 2023
  • kwiecień 2023
  • marzec 2023
  • luty 2023
  • styczeń 2023
  • grudzień 2022
  • listopad 2022
  • październik 2022
  • wrzesień 2022
  • sierpień 2022
  • lipiec 2022
  • czerwiec 2022
  • maj 2022
  • kwiecień 2022
  • marzec 2022
  • luty 2022
  • styczeń 2022
  • grudzień 2021
  • listopad 2021
  • październik 2021
  • wrzesień 2021
  • sierpień 2021
  • lipiec 2021
  • czerwiec 2021
  • maj 2021
  • kwiecień 2021
  • marzec 2021
  • luty 2021
  • styczeń 2021
  • grudzień 2020
  • listopad 2020
  • październik 2020
  • wrzesień 2020
  • sierpień 2020
  • lipiec 2020
  • czerwiec 2020
  • maj 2020
  • kwiecień 2020
  • marzec 2020
  • luty 2020
  • styczeń 2020
  • grudzień 2019
  • listopad 2019
  • październik 2019
  • wrzesień 2019
  • sierpień 2019
  • lipiec 2019
  • czerwiec 2019
  • maj 2019
  • kwiecień 2019
  • marzec 2019
  • styczeń 2019
  • grudzień 2018
  • listopad 2018
  • październik 2018
  • sierpień 2018
  • lipiec 2018
  • maj 2018
  • kwiecień 2018
  • marzec 2018
  • styczeń 2018
  • grudzień 2017
  • październik 2017
  • czerwiec 2017
  • kwiecień 2017
  • marzec 2017
  • luty 2017
  • styczeń 2017
  • grudzień 2016
  • listopad 2016
  • październik 2016
  • wrzesień 2016
  • sierpień 2016
  • lipiec 2016
  • czerwiec 2016
  • maj 2016
  • kwiecień 2016
  • marzec 2016
  • lipiec 2015
  • maj 2015
  • grudzień 2014
  • sierpień 2014
  • lipiec 2014
  • czerwiec 2014
  • kwiecień 2014