Ostrzeżenie o luce w popularnej wtyczce do WordPress – Contact Form 7. W dniu 2020-12-17 opublikowano informację o podatności w wersjach 5.3.1 i starszych. Zalecamy pilną aktualizację, jeśli korzystasz z tej wtyczki.

Contact Form 7 – co to jest?

Contact Form 7 to jedna z najbardziej popularnych wtyczek do obsługi formularzy kontaktowych na świecie, legitymująca się ponad 5 milionami instalacji na całym świecie. Przy pomocy Contact Form 7 możesz łatwo i szybko przygotować formularze obsługujące zarówno proste pola tekstowe, jak i rozwijane listy czy pola wyboru. Jedną z funkcji obsługiwanych przez to rozszerzenie jest także wgrywanie plików przez użytkowników strony.

Contact Form 7 – na czym polega atak?

Wykryta podatność pozwalała wstrzyknąć złośliwy kod, jeśli na Twojej stronie była wykorzystana ta wtyczka oraz jeśli korzystałeś z komponentu do wgrywania plików. Wykorzystując tę ​​lukę, osoba przesyłająca formularz może ominąć sanityzację nazwy pliku w formularzu kontaktowym 7 i przesłać plik, który można uruchomić jako plik skryptu na Twoim serwerze.

To bardzo niebezpieczna podatność, ponieważ atakujący może w ten sposób wykonać praktycznie dowolny kod, dlatego zalecamy natychmiastową aktualizację do wersji 5.3.2, w której ta luka została usunięta.

Taka strona może zostać również zainfekowana, a usuwanie wirusów z WordPress może nie być takie łatwe, dlatego warto skorzystać z usług firm, które mają doświadczenie w takich działaniach.

Contact Form 7 – jak wykonać aktualizację?

Po zalogowaniu do kokpitu Twojego WordPress’a wybierz po lewej stronie

WTYCZKI -> Contact Form 7 -> Uruchom aktualizację

Contact Form 7 - aktualizacja

Jeśli nie widzisz wtyczki Contact Form 7 – prawdopodobnie po prostu jej nie używasz, w takim razie nie musisz obawiać się podatności. Jeśli cokolwiek pójdzie nie tak – pamiętaj, że poprzedniej nocy wykonaliśmy kopię zapasową Twojej strony – w razie problemów zawsze możesz do niej sięgnąć.

Aktualność Twoich wtyczek możesz sprawdzić automatycznym audytem bezpieczeństwa WordPress, jeśli korzystasz z naszego hostingu WordPress – odpowiednia opcja audytu znajduje się w panelu Direct Admin.

Artur Pajkert z kubkiem cyber_Folks
>
Artur Pajkert
Od 18 lat dzieli się wiedzą i poradami w sprawach e-marketingu i hostingu, jako menedżer, autor publikacji, prelegent, bloger, wykładowca akademicki.

38 odpowiedzi na "Ważna luka w Contact Form 7"

  1. AM pisze:

    proszę o zdjęcie dot tego opisu: „Po zalogowaniu do kokpitu Twojego WordPress’a wybierz po lewej stronie

    WTYCZKI -> Contact Form 7 -> Uruchom aktualizację”

    1. Artur Pajkert pisze:

      Proszę, dodane.

  2. Grzegorz pisze:

    dziękuję za przypomnienie, już lecę aktualizować swój blog, wczoraj widziałem na FB ale już było późno, dobrze że mailing wysłaliście też 🙂 dzięki cyberfolks !

  3. marcin pisze:

    czyli jak ktoś używa tylko pół imię, nazwisko (input text) BEZ załączania plików, to jest bezpieczny? ps.dzieki za alert

    1. Artur Pajkert pisze:

      Ujawniona luka dotyczy tylko wgrywania plików, nie ma żadnych doniesień o tym, aby inne typy pól były niebezpieczne.

  4. Konrad pisze:

    Dzięki za tego niusa i wartościowy mailing Panowie!

  5. Piotr pisze:

    Dzięki za info, wtyczka właśnie zupdateowana 🙂

  6. Fun pisze:

    Czy naprawdę nie ma już webmasterów, którzy bez gotowych cmsow i wtyczek, zrobią formularz na stronie?

    1. budy pisze:

      Są, ale drodzy. WordPress pomaga obniżyć koszty 🙂

    2. lolol pisze:

      Czy nie ma już wynalazców którzy ponownie wymyślą koło?

  7. M pisze:

    Dzięki za informację!!!
    Czy jest jakiś sposób sprawdzenia czy nie doszło do naruszenia kodu WP (przed tym jak zrobiłem update)?

    1. Magdalena Paciorek pisze:

      Możesz spróbować przeskanować stronę narzędziami typu https://sitecheck.sucuri.net/ czy https://wpsec.com/. Mogą one pomóc rozpoznać infekcję na stronie, lecz niestety nie każdą i nie zawsze.

  8. jaddi pisze:

    Pytanie czy jak ktoś ma wersję 5.2.2 i nie wyskakuje mu możliwość aktualizacji to musi się martwić ?

    1. Magdalena Paciorek pisze:

      Wspomnniana w tekście podatność istnieje w wersji 5.3.1 i niższej wtyczki CF7. W kokpicie WordPressa, w zakładce wtyczki, możemy sprawdzić w jakiej wersji mamy zainstalowaną daną wtyczkę. Jeśli jest to wersja z podatnością – to tak, jest to niepokojące. Wtyczkę trzeba jak najszybciej zaktualizować (lub usunąć). Nawet jeśli nie pokazuje się powiadomienie o aktualizacji. Takie powiadomienie może zostać ukryte programistycznie i niektórzy wykonawcy te powiadomienia ukrywają. Nie oznacza to jednak, że jeśli nie ma powiadomienia to nie trzeba aktualizować wtyczki. Jeśli mamy wtyczkę w starszej wersji to powinno się ją zaktualizować, niezależnie od tego czy wyświetlają się powiadomienia czy nie.

  9. FotoGuzik pisze:

    Super, że dbacie o takie sprawy i informujecie o nich swoich klientów.

  10. Michał pisze:

    a co w sytuacji gdy ktoś wgrywa pliki przez formularz CF7, ale do wgrywania plików jest wykorzystywana inna wtyczka? np. taka https://wordpress.org/plugins/drag-and-drop-multiple-file-upload-contact-form-7/

    1. Artur Pajkert pisze:

      Jeśli ta inna wtyczka jest tylko zapewnieniem interfejsu, a przetwarzaniem załączonego pliku wciąż zajmuje się Contact Form 7 – lepiej zaktualizować. Tu jednak zalecam sprawdzenie na wersji deweloperskiej Twojej strony, czy wskazane rozwiązanie nie będzie „kolidować” z nowszą wersją CF7.

  11. Piotrek1990 pisze:

    Dziękuję za informacje, pytanie dodatkowe.
    Czy jeżeli mam włączone automatyczne aktualizacje to warto wykonywać wcześniej je ręcznie czy czekać aż sam się zainstaluje nowy patch do wtyczki?

    1. Artur Pajkert pisze:

      Są dwie szkoły. Jedna mówi, że każdą aktualizację warto wgrywać jak najszybciej i po to są automaty. Druga mówi, że lepiej sprawdzić najpierw co dokładnie wnosi aktualizacja, bo może się okazać, że coś przestanie po niej działać – na przykład powstaną niekompatybilności między różnymi wtyczkami, albo jakaś aktualizacja wymaga innej wersji PHP, a po jej zmianie przestało działać coś innego. Dlatego dobrze jest sprawdzić na testowej wersji strony, jaki jest realny wpływ aktualizacji. Polecam podcast Maćka Kuchnika „Rób WordPressa” – Krzysztof Dróżdż w odcinku o utrzymaniu stron www ciekawie opowiada o podejściu do aktualizacji (https://maciejkuchnik.pl/058/).
      Nie znając Twojej sytuacji trudno doradzić z całą pewnością, ale jeśli nie masz wielu innych wtyczek, które bazowałyby na C7, skłaniałbym się raczej ku szybszej aktualizacji. Ta luka jest poważna, jest o niej głośno, a co za tym idzie – należy sądzić, że w sieci już krążą żądania próbujące ją wykorzystać.

  12. Filip pisze:

    Właśnie odwirusowałem jedną stronę. W każdym folderze skopiowany plik htaccess i kilka podejrzanych plików php. Dostawca hostingu potwierdził to wysyłając skan.

    1. Artur Pajkert pisze:

      A więc niestety – są pierwsze ofiary. Oby jak najmniej takich przypadków! Jakbyś chciał porównać stan plików z tym przed infekcji, to – jeśli to strona u nas – masz backup do 28 dni wstecz, więc na pewno będzie do czego porównać.

  13. Jacek pisze:

    Gdzie znajduje się automatyczny audyt bezpieczeństwa WordPress w Direct Adminie ? Nie mogę tego znaleźć.

    1. Artur Pajkert pisze:

      Ta funkcja jest dostępna dla pakietów hostingu WordPress. Po zalogowaniu do DA: Wybór domeny -> Zaawansowane -> Audyt WordPress (pierwsza kolumna, czwarta opcja).

      1. Robert pisze:

        U mnie nie ma takiej opcji.

        1. Artur Pajkert pisze:

          Prawdopodobnie wynika to ze starszej wersji WordPress. Autorzy wtyczek mogą uzależnić możliwość wykonania aktualizacji od tego, jaka jest wersja rdzenia WordPress, bo nowe wersje wtyczek mogą wymagać konkretnej minimalnej wersji rdzenia. Sprzyja to zachowaniu stabilności całej strony. Brak widoczności opcji często oznacza, że nie są spełnione wymagania techniczne w postaci odpowiednio wysokiej wersji WordPress.

  14. Adam pisze:

    Super, że informujecie 🙂

  15. Ewa pisze:

    Aktualizacja zrobiona natomiast w dniu dzisiejszym otrzymuje spam gdzie nagłówek wiadomości do złudzenia przypomina normalne zamówienie z woocommerce. Co wcześniej nie mialo miejsca… Czy dane klientow z zamówień w woo sa zagrożone ? Czy luka pozwala na „import danych z woo, i następnie rozsyłanie na tej bazie – złośliwego oprogramowania- spamu -linków ?”
    Z góry dziekuje za informację

    1. Artur Pajkert pisze:

      Luka pozwalała na wykonanie dowolnego złośliwego kodu, umieszczonego poprzez pole do uploadu plików. Jeśli w Twojej instalacji było takie pole, umożliwiające użytkownikowi załączanie plików, to istnieje ryzyko, że ktoś mógł wykonać złośliwy kod, a jeśli nie było takiego pola – to prawdopodobieństwo tego konkretnego zdarzenia uznałbym za niskie. Strona mogła ulec też innej infekcji, niezwiązanej z podatnością w Contact Form 7. Jeśli to instalacja na naszych serwerach, to admini mogą pomóc w określeniu np. kiedy doszło do ostatnich zmian w plikach, co może być wskazówką. W tym celu zapraszam do kontaktu w Biurem Obsługi Klienta.

  16. Artur pisze:

    Problemem jest wersja wordpressa 4.9.16 (wydana pod koniec listopada 2020). Wtyczka contact form 7 w wersji najnowszej nie jest kompatybilna ze starszym WP w najnowszej nawet wesji. Niestety z pewnych względów, nie mogę przejść na WP 5. Więc albo trzeba szukać alternatywnej wtyczki, albo używać dalej tej licząc na to, że bez pola do ulploadu plików będzie ok.

  17. Maciej pisze:

    Umówmy się – większość formularzy nie ma opcji dołączenia plików, więc potencjał 5 mln zarażonych stron to przesada. Aczkolwiek bardzo słuszny wpis i cenne informację!

  18. Zero pisze:

    Dzień dobry.

    Wow, nie wiedziałem o tej luce. Czyli wystarczy updejtować wtyczkę i już po kłopocie?

    1. Artur Pajkert pisze:

      Bezpieczeństwo to raczej ciągły proces niż jednorazowe działanie. W tym wypadku aktualizacja likwiduje tę konkretną podatność, natomiast o stronę warto po prostu porządnie dbać w długim terminie. Garść przydatnych wskazówek znajdziesz we wpisie o bezpieczeństwie WordPress: https://cyberfolks.pl/blog/zabezpieczenia-wordpress-co-trzeba-wiedziec/

  19. GRAY pisze:

    Dzięki za informację :[] Na pewno się przyda

  20. Adrian pisze:

    Dziś contact-form-7 a jutro..? przy wordpressie lepiej trzymać rękę na pulsie i często aktualizować bo dość często coś ma luki.

  21. Natalia pisze:

    Wielkie dzięki za informacje, gdzie znajdę info na temat aktualnych tarapatów w WP?

    1. Adrianna Szałańska pisze:

      Informujemy zawsze na naszych socialach. Zajrzyj na naszego Facebooka: https://www.facebook.com/cyberFolksPolska 🙂

Skomentuj FotoGuzik Anuluj pisanie odpowiedzi

Twój adres e-mail nie zostanie opublikowany. Wymagane pola są oznaczone *

Polecane dla Ciebie

Szukasz dalej?