Руководитель отдела разработки компании Paragon Initiative Enterprises Скотт Арцишевски рассказал об угрозах, которые связаны с применением механизма доставки обновлений для WordPress. Арцишевски передал информацию об ошибках разработчикам WordPress, но он так и не смог их убедить в серьезности выявленных проблем.
Всего экспертом были обнаружены три ошибки. Одна из них связана с функционалом, который отвечает за связь WordPress с сервером и загрузку обновлений. Этот функционал проводит проверку подлинности загружаемых файлов лишь по контрольной сумме MD5, не используя криптографическую подпись. Информация о проблеме появилась еще в 2013 году, но данная ошибка все еще является актуальной.
Вторая проблема относится к серверам, с которых осуществляется загрузка обновлений. Серверы – это единая точка отказа во всей архитектуре WordPress. Как утверждает Арцишевски, 25% всех интернет-сайтов работают с WordPress. Таким образом, киберпреступник, имеющий доступ к серверу, может принудить миллионы сайтов осуществить загрузку вредоносных обновлений.
Третья ошибка присутствует в версии PHP 5.2.4. Арцишевски рекомендует пользоваться PHP 5.6.0, которая имеет лучшую реализацию SSL/TLS.