Hul i WordPress står åbent

Artiklen blev oprindeligt publiceret den 27/5/2014

Hvis man logger ind på et WordPress-websted fra et åbent netværk, kan andre overtage ens session. WordPress planlægger at lukke hullet i næste version.

Sårbarheden skyldes, at WordPress sender sessions-cookies ukrypteret. Hvis man logger ind på sin WordPress-blog på et åbent trådløst netværk, kan andre aflytte kommunikationen. Her kan de opsnappe sessions-cookien og derefter være logget ind på serveren.

Angribere kan så skrive indlæg i offerets navn, se private indlæg og poste på andres blogs som offeret. Det er dog ikke muligt at skifte password.

Angrebet virker også, selvom offeret har logget ud – den oprindelige cookie giver stadig adgang.

Sikkerhedsforsker Yan Zhu har offentliggjort detaljer om sårbarheden. WordPress svarer, at de vil lukke hullet i næste version.

Hvis man selv kører WordPress, kan man undgå sårbarheden ved at aktivere SSL og sørge for, at alle cookies krypteres.

Sikkerhedsforsker Robert David Graham har opdaget et potentielt endnu mere alvorligt problem: Det ser ud til, at login-siden på WordPress.com vises ukrypteret. Dermed kan en angriber ikke bare få fat i en sessionscookie, men direkte opsnappe brugernavn og password til tjenesten.

Anbefaling
Brug VPN til kommunikation med WordPress-websteder, der ikke anvender kryptering. Slå kryptering og sikre cookies til, hvis I selv står for driften af WordPress.

Links

• Don’t forget to secure cookies ppl, blogindlæg af Yan Zhu
• WordPress: unsafe at any speed, blogindlæg af Robert David Graham
• Unsafe cookies leave WordPress accounts open to hijacking, 2-factor bypass, artikel fra Ars Technica