Raport opublikowany przez Patchstack pokazuje czarno na białym, że choć problemy technicznie zostały rozwiązane jeszcze w 2024 roku, to w praktyce wiele witryn nie doczekało się aktualizacji. A to wystarczyło, by cyberprzestępcy rozpoczęli szeroko zakrojoną kampanię ataków. W grze są cztery konkretne luki – każda z nich klasyfikowana jako krytyczna, każda umożliwiająca przejęcie kontroli nad stroną lub wykonanie złośliwego kodu. To nie są potencjalne zagrożenia, lecz realne przypadki, w których hakerzy podejmowali tysiące prób włamania. Wszystko to przy wykorzystaniu powszechnie dostępnych narzędzi i skryptów.
Hakerzy wracają do znanych luk
Chociaż każda z podatności została już oficjalnie załatana, skala ataków pokazuje, że nie wszyscy administratorzy zareagowali na czas. Najczęściej atakowaną wtyczką była WordPress Automatic, zainstalowana na ponad 40 tysiącach witryn. Luka oznaczona jako CVE-2024-27956 umożliwiała wykonanie dowolnego zapytania SQL przez nieuwierzytelnionych użytkowników. Pierwsze przypadki jej wykorzystania w realnych atakach zgłoszono już w połowie 2024 roku, ale fala prób nie zatrzymała się wraz z końcem roku. Nie mniejsze zagrożenie stwarzała wtyczka Startklar Elementor Addons, szczególnie popularna wśród użytkowników budujących strony na kreatorze Elementor. Brak weryfikacji typu przesyłanego pliku pozwalał na umieszczenie na serwerze złośliwego kodu i przejęcie witryny. Zagrożenie to nie dotyczyło marginalnej liczby użytkowników – chodzi o ponad 5 tysięcy aktywnych instalacji. Ataki powtarzały się, mimo że stosowna poprawka była dostępna od dłuższego czasu. Na celowniku hakerów znalazł się również motyw Bricks, w którym luka umożliwiała zdalne wykonanie kodu PHP. Wystarczyło wykorzystać słabo zabezpieczoną trasę REST API oraz pozyskać jednorazowy token, by przejąć kontrolę nad stroną. Dla 30 tysięcy użytkowników tego motywu, ignorowanie aktualizacji mogło skończyć się katastrofalnie. Najwięcej instalacji – ponad 100 tysięcy – miała jednak wtyczka GiveWP, służąca do zbierania darowizn. Luka umożliwiała wstrzyknięcie szkodliwych obiektów poprzez deserializację parametrów darowizn. Taki atak dawał pełny dostęp do zaplecza WordPressa, a skutki jego wykorzystania mogły być trudne do cofnięcia.
Brak aktualizacji? Otwierasz drzwi napastnikom
Choć wiele ataków udaje się zatrzymać dzięki rozwiązaniom typu firewall czy wirtualnym łatkom, to podstawą bezpieczeństwa pozostaje szybka reakcja po stronie właściciela witryny. Każda niezałatana luka to potencjalne zaproszenie dla atakującego. Problem dotyczy nie tylko małych stron czy blogów – w praktyce każda witryna, która działa na nieaktualnym dodatku, może zostać zaatakowana. Eksperci od lat powtarzają, że aktualizacje to nie opcja – to konieczność. Oprócz regularnego instalowania łatek, równie ważne jest usuwanie nieużywanych dodatków, ograniczanie dostępu do panelu administracyjnego i wdrażanie uwierzytelniania dwuskładnikowego. To wszystko razem tworzy ekosystem, w którym znane luki – nawet te szeroko omawiane w raportach – nie są już zagrożeniem.
