Wtyczka Duplicator to ogólnodostępna wtyczka WordPress służąca do tworzenia kopii zapasowej całej strony i jej migracji. Wtyczka ta należy do bardzo popularnych rozwiązań bo została już pobrana ponad 15 mln razy.

Jednak we wtyczce Duplicator (wersja darmowa i pro) znaleziono krytyczną dziurę, która ma wpływ na bezpieczeństwo nawet jednego miliona stron internetowych.

Ta luka pozwala pobrać dowolny plik z instalacji WordPress na serwerze. Najczęściej atakowany jest plik konfiguracyjny wp-config.php. Co to oznacza? Strona się rozsypuje…

Dziura nie występuje we wtyczce Duplicator, a znajduje się w plikach jakie są generowane do przeniesienia strony na inny serwer.

Hackerzy za pomocą pozostawionego pliku installer.php (lub installer-backup.php) mogą wgrać na serwer np. konie trojańskie i uzyskać dostęp do plików na serwerze oraz bazy danych.

Do czego mają dostęp atakujący?

Jeśli na Twoim serwerze panował bałagan, a co gorsza pozostały tam pliki jakie tworzy Duplicator podczas migracji strony, to hakerzy mogą mieć dostęp do wszystkich danych związanych z Twoją stroną.

Przykładowe pliki zostawione po migracji strony za pomocą Duplicatora:

  • installer.php
  • installer-backup.php
  • 20180906_examplepl_8b5c33bcbb1d027b1870180906225049_archive.zip
  • installer-data.sql
  • installer-log.txt

Plik zip zawiera kopię wszystkich plików strony a sql, bazę danych. Po migracji wszystkie wyżej wymienione pliki, powinny zostać skasowane.

Jak się zabezpieczyć?

Jeżeli pobrane zostało archiwum stworzone przez Duplicatora, to należy uznać, że atakujący ma dostęp do bazy danych oraz plików strony. Należy przywrócić przede wszystkim stronę z kopii zapasowej oraz zmienić wszystkie hasła z nią związaną.

Po migracji strony za pomocą Duplicatora, należy skasować wszystkie jego pliki. Sama wtyczka to umożliwia, zaraz po zalogowaniu się do panelu admina WordPressa.

Po kliknięciu w link: Remove installation Files Now! warto jeszcze sprawdzić, czy faktycznie wszystkie pliki instalacyjne zostały usunięte. W przypadku opisanego wyżej ataku mogło być tak, że przez błąd we wtyczce pliki nie były usuwane.