szukaj

25.12.2012 | 14:58

avatar

Adam Haertle

Masz WordPressa z W3 Total Cache? Lepiej sprawdź konfigurację.

Czasem niektóre problemy z zakresu bezpieczeństwa informacji nie wynikają z błędów w programach, a z ich niewłaściwej konfiguracji. Jeden z internautów zauważył, że konfiguracja popularnej wtyczki WordPressa może ujawniać poufne informacje.

Wczoraj na liście Full Disclosure pojawiła się informacja o możliwych problemach z konfiguracją wtyczki W3 Total Cache. Wtyczka ta, pobrana przez ponad milion użytkowników, poprawia wydajność WordPressa poprzez tworzenie i przechowywanie statycznych kopii najczęściej serwowanych fragmentów serwisu. Pozwala to odciążyć bazę danych oraz obsłużyć większą liczbę użytkowników naraz. Wygląda także na to, że nie zawsze poprawnie konfiguruje ona dostęp do kluczowych katalogów.

Wtyczka przechowuje statyczne kopie danych w katalogu /wp-content/w3tc. Można tam odnaleźć nie tylko kopie stron www, ale także elementy zapytań do bazy danych, które czasem mogą zawierać na przykład hashe haseł użytkowników lub inne poufne informacje. Przykładowy ujawniony plik może wyglądać tak:

a:6:{s:10:"last_error”;s:0:”";s:10:”last_query”;s:41:”SELECT * FROM wp_users WHERE ID = ’10′”;s:11:”last_result”;a:1:{i:0;O:8:”stdClass”:10:{s:2:”ID”;s:2:”15″;s:10:”user_login”;s:21:”Guest”;s:9:”user_pass”;s:34:”$P$BPtuFcIxGXXXX2MJbBCN4dxJ1″;s:13:”user_nicename”;..

W domyślnej konfiguracji wtyczka ta nie wyłącza indeksowania katalogów, umożliwiając ich przeglądanie wyszukiwarkom oraz ciekawskim internautom. Mimo, iż wtyczka modyfikuje zawartość pliku .htaccess, to nie umieszcza tam reguł uniemożliwiających indeksowanie katalogów.

W przypadku, gdy katalogi nie mają włączone indeksowania, pliki z kopiami zapytań do bazy danych dalej są dostępne dla każdego użytkownika. Co prawda zlokalizowanie poufnych danych wymaga sporej ilości zapytań, ale można ułatwić sobie zadanie korzystając z gotowego skryptu wykonującego czarną robotę. Poniżej krótka demonstracja jego działania.

Kliknij tutaj, aby wyświetlić treść z YouTube.
Dowiedz się więcej w polityce prywatności.

Użytkownikom wtyczki proponujemy szybką weryfikację uprawnień do plików i folderów (i dopisanie deny from all do .htaccess w katalogu /wp-content/w3tc/dbcache). Autor wtyczki wie już o problemie i obiecuje szybką aktualizację.

PS. Serdecznie pozdrawiamy użytkownika hosta dynamic-78-8-67-xxx.ssp.dialog.net.pl, który już pół godziny temu testował podatność naszego serwisu na ten błąd.

Powrót

Komentarze

  • avatar
    2012.12.25 20:25 Kamil

    Kurde, ładny ten kod :/ Zazdroszczę twórcy skilla.

    Odpowiedz
  • avatar
    2012.12.27 00:13 DOgi

    To chyba dobrze, że Was testował ;)

    Odpowiedz
  • avatar
    2012.12.27 16:55 Artur

    nie w /wp-content/w3tc a w /wp-content/w3tc/dbcache, inaczej polegnie funkcjonalność kompresowania JS i CSS (w w3tc w katalogu min znajduje się zawartość która musi być wystawiana na zewnątrrz
    Artur

    Odpowiedz
    • avatar
      2012.12.27 16:58 Adam

      Słuszna uwaga, poprawione

      Odpowiedz
  • avatar
    2012.12.28 11:23 Jarek

    inurl:/wp-content/w3tc/dbcache

    uuu ostroo….

    Odpowiedz

Zostaw odpowiedź

Jeśli chcesz zwrócić uwagę na literówkę lub inny błąd techniczny, zapraszamy do formularza kontaktowego. Reagujemy równie szybko.

Masz WordPressa z W3 Total Cache? Lepiej sprawdź konfigurację.

Komentarze