Iltalehti uutisoi eilen, että “Useita suomalaissivustoja hakkeroitu – joukossa Satakunnan Kansa, Warkauden Lehti, Iisalmen Sanomat…” ja tänään muut lehdet toistivat samaa viestiä. Yksi hakkeroiduista sivuista oli Iisalmen Sanomat, joka laittoi sivunsa kuntoon jo samana päivänä. Lehti uutisoi hakkeroinnista otsikolla “Iisalmen Sanomat hakkeroitiin – jäljet siivottu”. Yksikään uutinen ei kertonut, että kaikki hakkeroinnin kohteeksi joutuneet sivut olivat WordPressillä tehtyjä. Osa siivosi nopeasti hakkeroinnin jäljet sivuillaan ja osalla sivustolla näkyy vieläkin hakkerin aiheuttama sotku. Sivuilla on teksti, jossa hakkeriryhmä ilmoittaa nimensä eli “HaCkeD By MuhmadEmad”. Lisäksi siellä on mm piirretty kuva, jossa kaveri heiluttaa kurdistanin lippua.
Päivitä WordPress
Yllättäen mistään ei meinannut löytyä tietoa, että mistä on kyse. Sitten työkaveri vinkkasi Tivin artikkelin “WordPress jätti kertomatta kriittisen aukon paikkaamisesta – syy kuitenkin melko hyvä“. Hakkerointi tapahtui luultavasti hyödyntämällä WordPressin versioiden 4.7.0 ja 4.7.1 haavoittuvuutta. Haavoittuvuus vaikuttaa vain WordPressin versioihin 4.7 ja 4.7.1, joissa rest-rajapinta on käytössä oletusarvoisesti. Vanhemmissa versioissa ei edes ole kyseistä rajapintaa eli REST API. Haavoittuvuus mahdollista sivujen päivittämisen ilman, että sinne oli kirjauduttu.
Sucuri kertoo omilla sivuillaan tarkemmin löydöksestään otsikolla “Content Injection Vulnerability in WordPress” ja tiivistettynä viesti on, että kannattaa päivittää heti versioon 4.7.2.






Kiitos hyvästä yhteenvedosta. Ihan tarkistin omat sivuni ja olihan siellä tuo mainitsemasi WP uusin versio. Onneksi on tullut laitettua “Jatkossa tietoturvapäivitykset tehdään automaattisesti” -toiminto päälle.