Alexander Demidov
15 subscribers

Уязвимость в плагине для WordPress - GDPR Cookie Consent

GDPR Cookie Consent - плагин для WordPress, который показывает стандартный текст про куки и соблюдение GDPR. 700.000 активных инсталляций. И уязвимость, которая позволяет любому зарегистрированному пользователю делать почти все, что угодно, на сайте.

Уязвимость в плагине для WordPress - GDPR Cookie Consent

С одной стороны, ну, ерунда же - вывести плашку с одной кнопкой. Зачем плагин, если можно сделать самим?

С другой - одна мелочь, другая, третья... А владельцу сайта хочется заниматься своим бизнесом или хобби, а не с сайтом ковыряться. И вот он берет один плагин для одной задачи, второй - для другой, третий... И вот уже на сайте несколько десятков плагинов! Все полезные и нужные!

Только, вот, написаны они совершенно разными людьми. Разной квалификации. И каждый новый плагин - это новая потенциальная "дырка".

И если вы думаете, что такие проблемы могут быть только у обычных пользователей - ошибаетесь. Те же разработчики тянут в свои проекты кучу сторонних модулей и библиотек, не очень напрягаясь по поводу качества кода в них.

Что делать? Наверное, соблюдать разумный баланс. Проверять и тестировать собственный код. Периодически рефакторить. В идеале - проводить аудит. Берешь сторонний модуль - смотри на историю версий, поддерживается ли разработка, авторитет автора, скорость выпуска обновлений и т.п.

Подробности об уязвимости: https://threatpost.com/critical-wordpress-plugin-bug-afflicts-700k-sites/152871/