Ostrzeżenie o luce w popularnej wtyczce do WordPress – Contact Form 7. W dniu 2020-12-17 opublikowano informację o podatności w wersjach 5.3.1 i starszych. Zalecamy pilną aktualizację, jeśli korzystasz z tej wtyczki.
Contact Form 7 – co to jest?
Contact Form 7 to jedna z najbardziej popularnych wtyczek do obsługi formularzy kontaktowych na świecie, legitymująca się ponad 5 milionami instalacji na całym świecie. Przy pomocy Contact Form 7 możesz łatwo i szybko przygotować formularze obsługujące zarówno proste pola tekstowe, jak i rozwijane listy czy pola wyboru. Jedną z funkcji obsługiwanych przez to rozszerzenie jest także wgrywanie plików przez użytkowników strony.
Contact Form 7 – na czym polega atak?
Wykryta podatność pozwalała wstrzyknąć złośliwy kod, jeśli na Twojej stronie była wykorzystana ta wtyczka oraz jeśli korzystałeś z komponentu do wgrywania plików. Wykorzystując tę lukę, osoba przesyłająca formularz może ominąć sanityzację nazwy pliku w formularzu kontaktowym 7 i przesłać plik, który można uruchomić jako plik skryptu na Twoim serwerze.
To bardzo niebezpieczna podatność, ponieważ atakujący może w ten sposób wykonać praktycznie dowolny kod, dlatego zalecamy natychmiastową aktualizację do wersji 5.3.2, w której ta luka została usunięta.
Taka strona może zostać również zainfekowana, a usuwanie wirusów z WordPress może nie być takie łatwe, dlatego warto skorzystać z usług firm, które mają doświadczenie w takich działaniach.
Contact Form 7 – jak wykonać aktualizację?
Po zalogowaniu do kokpitu Twojego WordPress’a wybierz po lewej stronie
WTYCZKI -> Contact Form 7 -> Uruchom aktualizację
Jeśli nie widzisz wtyczki Contact Form 7 – prawdopodobnie po prostu jej nie używasz, w takim razie nie musisz obawiać się podatności. Jeśli cokolwiek pójdzie nie tak – pamiętaj, że poprzedniej nocy wykonaliśmy kopię zapasową Twojej strony – w razie problemów zawsze możesz do niej sięgnąć.
Aktualność Twoich wtyczek możesz sprawdzić automatycznym audytem bezpieczeństwa WordPress, jeśli korzystasz z naszego hostingu WordPress – odpowiednia opcja audytu znajduje się w panelu Direct Admin.
proszę o zdjęcie dot tego opisu: „Po zalogowaniu do kokpitu Twojego WordPress’a wybierz po lewej stronie
WTYCZKI -> Contact Form 7 -> Uruchom aktualizację”
Proszę, dodane.
dziękuję za przypomnienie, już lecę aktualizować swój blog, wczoraj widziałem na FB ale już było późno, dobrze że mailing wysłaliście też 🙂 dzięki cyberfolks !
czyli jak ktoś używa tylko pół imię, nazwisko (input text) BEZ załączania plików, to jest bezpieczny? ps.dzieki za alert
Ujawniona luka dotyczy tylko wgrywania plików, nie ma żadnych doniesień o tym, aby inne typy pól były niebezpieczne.
Dzięki za tego niusa i wartościowy mailing Panowie!
Dzięki za info, wtyczka właśnie zupdateowana 🙂
Czy naprawdę nie ma już webmasterów, którzy bez gotowych cmsow i wtyczek, zrobią formularz na stronie?
Są, ale drodzy. WordPress pomaga obniżyć koszty 🙂
Czy nie ma już wynalazców którzy ponownie wymyślą koło?
Dzięki za informację!!!
Czy jest jakiś sposób sprawdzenia czy nie doszło do naruszenia kodu WP (przed tym jak zrobiłem update)?
Możesz spróbować przeskanować stronę narzędziami typu https://sitecheck.sucuri.net/ czy https://wpsec.com/. Mogą one pomóc rozpoznać infekcję na stronie, lecz niestety nie każdą i nie zawsze.
Pytanie czy jak ktoś ma wersję 5.2.2 i nie wyskakuje mu możliwość aktualizacji to musi się martwić ?
Wspomnniana w tekście podatność istnieje w wersji 5.3.1 i niższej wtyczki CF7. W kokpicie WordPressa, w zakładce wtyczki, możemy sprawdzić w jakiej wersji mamy zainstalowaną daną wtyczkę. Jeśli jest to wersja z podatnością – to tak, jest to niepokojące. Wtyczkę trzeba jak najszybciej zaktualizować (lub usunąć). Nawet jeśli nie pokazuje się powiadomienie o aktualizacji. Takie powiadomienie może zostać ukryte programistycznie i niektórzy wykonawcy te powiadomienia ukrywają. Nie oznacza to jednak, że jeśli nie ma powiadomienia to nie trzeba aktualizować wtyczki. Jeśli mamy wtyczkę w starszej wersji to powinno się ją zaktualizować, niezależnie od tego czy wyświetlają się powiadomienia czy nie.
Super, że dbacie o takie sprawy i informujecie o nich swoich klientów.
a co w sytuacji gdy ktoś wgrywa pliki przez formularz CF7, ale do wgrywania plików jest wykorzystywana inna wtyczka? np. taka https://wordpress.org/plugins/drag-and-drop-multiple-file-upload-contact-form-7/
Jeśli ta inna wtyczka jest tylko zapewnieniem interfejsu, a przetwarzaniem załączonego pliku wciąż zajmuje się Contact Form 7 – lepiej zaktualizować. Tu jednak zalecam sprawdzenie na wersji deweloperskiej Twojej strony, czy wskazane rozwiązanie nie będzie „kolidować” z nowszą wersją CF7.
Dziękuję za informacje, pytanie dodatkowe.
Czy jeżeli mam włączone automatyczne aktualizacje to warto wykonywać wcześniej je ręcznie czy czekać aż sam się zainstaluje nowy patch do wtyczki?
Są dwie szkoły. Jedna mówi, że każdą aktualizację warto wgrywać jak najszybciej i po to są automaty. Druga mówi, że lepiej sprawdzić najpierw co dokładnie wnosi aktualizacja, bo może się okazać, że coś przestanie po niej działać – na przykład powstaną niekompatybilności między różnymi wtyczkami, albo jakaś aktualizacja wymaga innej wersji PHP, a po jej zmianie przestało działać coś innego. Dlatego dobrze jest sprawdzić na testowej wersji strony, jaki jest realny wpływ aktualizacji. Polecam podcast Maćka Kuchnika „Rób WordPressa” – Krzysztof Dróżdż w odcinku o utrzymaniu stron www ciekawie opowiada o podejściu do aktualizacji (https://maciejkuchnik.pl/058/).
Nie znając Twojej sytuacji trudno doradzić z całą pewnością, ale jeśli nie masz wielu innych wtyczek, które bazowałyby na C7, skłaniałbym się raczej ku szybszej aktualizacji. Ta luka jest poważna, jest o niej głośno, a co za tym idzie – należy sądzić, że w sieci już krążą żądania próbujące ją wykorzystać.
Właśnie odwirusowałem jedną stronę. W każdym folderze skopiowany plik htaccess i kilka podejrzanych plików php. Dostawca hostingu potwierdził to wysyłając skan.
A więc niestety – są pierwsze ofiary. Oby jak najmniej takich przypadków! Jakbyś chciał porównać stan plików z tym przed infekcji, to – jeśli to strona u nas – masz backup do 28 dni wstecz, więc na pewno będzie do czego porównać.
Gdzie znajduje się automatyczny audyt bezpieczeństwa WordPress w Direct Adminie ? Nie mogę tego znaleźć.
Ta funkcja jest dostępna dla pakietów hostingu WordPress. Po zalogowaniu do DA: Wybór domeny -> Zaawansowane -> Audyt WordPress (pierwsza kolumna, czwarta opcja).
U mnie nie ma takiej opcji.
Prawdopodobnie wynika to ze starszej wersji WordPress. Autorzy wtyczek mogą uzależnić możliwość wykonania aktualizacji od tego, jaka jest wersja rdzenia WordPress, bo nowe wersje wtyczek mogą wymagać konkretnej minimalnej wersji rdzenia. Sprzyja to zachowaniu stabilności całej strony. Brak widoczności opcji często oznacza, że nie są spełnione wymagania techniczne w postaci odpowiednio wysokiej wersji WordPress.
Super, że informujecie 🙂
Aktualizacja zrobiona natomiast w dniu dzisiejszym otrzymuje spam gdzie nagłówek wiadomości do złudzenia przypomina normalne zamówienie z woocommerce. Co wcześniej nie mialo miejsca… Czy dane klientow z zamówień w woo sa zagrożone ? Czy luka pozwala na „import danych z woo, i następnie rozsyłanie na tej bazie – złośliwego oprogramowania- spamu -linków ?”
Z góry dziekuje za informację
Luka pozwalała na wykonanie dowolnego złośliwego kodu, umieszczonego poprzez pole do uploadu plików. Jeśli w Twojej instalacji było takie pole, umożliwiające użytkownikowi załączanie plików, to istnieje ryzyko, że ktoś mógł wykonać złośliwy kod, a jeśli nie było takiego pola – to prawdopodobieństwo tego konkretnego zdarzenia uznałbym za niskie. Strona mogła ulec też innej infekcji, niezwiązanej z podatnością w Contact Form 7. Jeśli to instalacja na naszych serwerach, to admini mogą pomóc w określeniu np. kiedy doszło do ostatnich zmian w plikach, co może być wskazówką. W tym celu zapraszam do kontaktu w Biurem Obsługi Klienta.
Problemem jest wersja wordpressa 4.9.16 (wydana pod koniec listopada 2020). Wtyczka contact form 7 w wersji najnowszej nie jest kompatybilna ze starszym WP w najnowszej nawet wesji. Niestety z pewnych względów, nie mogę przejść na WP 5. Więc albo trzeba szukać alternatywnej wtyczki, albo używać dalej tej licząc na to, że bez pola do ulploadu plików będzie ok.
Umówmy się – większość formularzy nie ma opcji dołączenia plików, więc potencjał 5 mln zarażonych stron to przesada. Aczkolwiek bardzo słuszny wpis i cenne informację!
Dzień dobry.
Wow, nie wiedziałem o tej luce. Czyli wystarczy updejtować wtyczkę i już po kłopocie?
Bezpieczeństwo to raczej ciągły proces niż jednorazowe działanie. W tym wypadku aktualizacja likwiduje tę konkretną podatność, natomiast o stronę warto po prostu porządnie dbać w długim terminie. Garść przydatnych wskazówek znajdziesz we wpisie o bezpieczeństwie WordPress: https://cyberfolks.pl/blog/zabezpieczenia-wordpress-co-trzeba-wiedziec/
Dzięki za informacje!
Dzięki za informację :[] Na pewno się przyda
Dziś contact-form-7 a jutro..? przy wordpressie lepiej trzymać rękę na pulsie i często aktualizować bo dość często coś ma luki.
Wielkie dzięki za informacje, gdzie znajdę info na temat aktualnych tarapatów w WP?
Informujemy zawsze na naszych socialach. Zajrzyj na naszego Facebooka: https://www.facebook.com/cyberFolksPolska 🙂
Oprócz samego problemu z bezpieczeństwem cf7 ostatnio źle współpracuję z recaptchą v3, co obniża znacząco wydajność stron na wordpressie. Może warto poruszyć ten temat? 🤔
Przydatne informację!
Bardzo cenny post, używam, a w zasadzie używałem tej wtyczki na kilku swoich stronach. Trzeba często przeprowadzać aktualizacje WordPressa i wszystkich wtyczek, to bardzo ważne w kwestiach bezpieczeństwa.