Dezvoltatori de teme WordPress au folosit de mult timp constructorul vizual WPBakery pentru a oferi clienților opțiuni de design fără cod. Recent a apărut o informație importantă pentru administratorii de site-uri: s-a emis o avertizare de securitate referitoare la o vulnerabilitate din WPBakery Page Builder prezentă în mii de teme.
WPBakery este un plugin drag-and-drop care permite crearea de pagini și layout-uri fără cunoștințe de programare, motiv pentru care este frecvent inclus în pachetele premium ale temelor. Problema identificată ține de modulul Custom JS al pluginului: validarea inputului și escaparea la afișare nu sunt suficiente. Pe scurt, datele introduse de utilizatori nu sunt filtrate corespunzător înainte de a fi stocate, iar la afișare anumite caractere cu semnificație HTML nu sunt convertite în formă sigură. Aceste deficiențe pot facilita inserarea și rularea de cod malițios în paginile vizitate.
Consecințele tehnice includ riscul de Cross-Site Scripting (XSS) și, în general, alte atacuri care exploatează inserarea de cod necurățat. În practică, atacatorii care au cel puțin acces de contributor pe un site vulnerabil pot injecta scripturi arbitrare care se vor executa la încărcarea paginii compromise. Vulnerabilitatea afectează versiunile WPBakery până la 8.6.1 inclusiv.
Recomandarea pentru administratorii de site-uri este să verifice versiunea pluginului și să actualizeze la cea mai recentă versiune disponibilă; la momentul avertizării, versiunea curentă este 8.7. Dacă tema folosită include o copie a WPBakery furnizată de dezvoltator, este important să confirmați că și acea copie a fost actualizată, pentru că multe probleme provin din pachete de teme care nu sunt sincronizate imediat cu release-urile oficiale. Pe lângă actualizare, merită inspectat istoricul utilizatorilor cu drepturi medii (contributors, editors) și eliminate eventualele scripturi suspecte din modulele care permit introducerea de cod personalizat.
Modulul Custom JS oferă flexibilitate, însă, ca orice instrument puternic, flexibilitatea fără controale adecvate poate deveni o cale de atac. Trecerea la versiunea 8.7 reduce riscul imediat, dar bune practici adiționale precum restricționarea drepturilor de editare, audituri periodice ale conținutului ce acceptă cod personalizat și implementarea politicilor de securitate a conținutului (Content Security Policy) sporesc reziliența site-ului.
WPBakery Page Builder, raportat ca fiind vulnerabil până la versiunea 8.6.1, trebuie actualizat la 8.7 pentru remediere. Această actualizare este cu atât mai importantă pentru site-urile cu multiple conturi ce pot edita conținut sau adăuga scripturi.
WPBakery ilustrează cum un instrument foarte răspândit poate genera riscuri pe măsură ce ajunge în mii de teme; o actualizare oficială (8.7) corectează problema semnalată, dar protecția efectivă implică și controale administrative: cine are acces de contributor, ce module permit injectarea de cod și dacă temele folosite sunt sincronizate cu versiunea oficială a pluginului. Ce măsuri ați implementat pe site-ul vostru pentru a controla ce cod pot introduce utilizatorii?
Fii primul care comentează