Якщо ви отримали від мене листа з посиланням на цю сторінку, то тому, що ваш сайт, судячи з усього, використовує вразливу версію Burst Statistics (плагін WordPress burst-statistics, орієнтований на приватність плагін аналітики). На цій сторінці пояснюється, чому це важливо і як це виправити.

Це повідомлення стосується вразливості CVE-2026-8181, критичної, активно експлуатованої вразливості (CVSS 9.8), яка дозволяє зловмиснику захопити ваш сайт як адміністратор без входу в систему. Вона зачіпає вузький діапазон випусків, версії 3.4.0, 3.4.1 та 3.4.1.1, і усунена у версії 3.4.2. Версії до 3.4.0 ніколи не були уражені. Якщо ви використовуєте уражену версію, оновіть Burst Statistics до 3.4.2 або новішої якнайшвидше. Оскільки ця вразливість надає зловмиснику повний контроль над сайтом і експлуатується у великих масштабах, вам також слід перевірити сайт на ознаки несанкціонованого доступу (див. Якщо ви використовували уражену версію нижче).

Це вразливість плагіна, а не ядра WordPress. Повністю актуальний WordPress не захищає вас, якщо сам плагін Burst Statistics перебуває на ураженій версії.

Чи є це повідомлення справжнім?

Так. Це добросовісне повідомлення в рамках відповідального розкриття інформації від незалежного дослідника безпеки. Я не прошу у вас грошей, паролів чи доступу до вашого сайту і не намагався проникнути до нього, щось завантажити чи щось експлуатувати.

Усе, що я зробив: переглянув публічно доступні файли, які ваш сайт надає кожному відвідувачу (так само, як публічна ваша головна сторінка), і зазначив номер версії, який плагін Burst Statistics публікує у своєму публічному файлі readme.txt. Уразливої функції я спеціально не торкався, і ніщо в цій перевірці не зачіпає ваші дані, вашу адміністративну панель чи будь-яку приватну частину вашого сайту.

Якщо ви хочете переконатися в тому, хто я, ознайомтеся з контактними даними внизу цієї сторінки та на сторінці Про мене.

Чому це важливо

Burst Statistics є широко використовуваним, орієнтованим на приватність плагіном аналітики (близько 200 000 активних установок). У версії 3.4.0 він додав інтеграцію з панеллю віддаленого керування MainWP, і код, який автентифікує ці запити, містить помилку: він некоректно перевіряє результат пароля застосунку вхідного запиту, тому запит, який не несе жодного дійсного пароля, все одно може бути прийнятий.

Практичний наслідок полягає в тому, що віддалений зловмисник, який просто знає ім’я користувача будь-якого адміністратора на вашому сайті, може надіслати один звичайний вебзапит, який плагін приймає як цього адміністратора, без пароля і без входу в систему. Це дає зловмиснику всю повноту влади облікового запису адміністратора: він може створювати нових користувачів-адміністраторів, встановлювати плагін чи тему (поширений спосіб встановити бекдор), змінювати контент чи читати дані.

Вразливість отримала оцінку 9,8 з 10 (критична серйозність). Її виявила дослідницька команда Wordfence, і Wordfence повідомляє, що її активно експлуатують у реальних умовах у великих масштабах, порядку тисяч спроб атак на день, з доступним публічним кодом proof-of-concept. Якщо в моєму листі згадувалася ця проблема, це означає, що версія, про яку повідомляє ваш сайт, потрапляє в уражений діапазон. Я не перевіряв, чи вразливий ваш конкретний сайт чи вже скомпрометований, лише те, що він повідомляє про уражену версію.

Хороша новина: оновлення до виправленої версії закриває пролом, а саме оновлення нескладне.

Як перевірити свою версію

Вам не обов’язково вірити мені на слово щодо того, яку версію ви використовуєте.

З публічного маніфесту (вхід у систему не потрібен): відкрийте у браузері yourdomain.com/wp-content/plugins/burst-statistics/readme.txt. Рядок Stable tag: поблизу початку містить версію, про яку повідомляє ваша установка Burst Statistics, і це той самий публічний файл, який прочитав я.

З адміністративної панелі WordPress (якщо у вас є доступ):

  1. Увійдіть до панелі керування WordPress (зазвичай за адресою yourdomain.com/wp-admin).
  2. Перейдіть до Plugins потім Installed Plugins.
  3. Знайдіть Burst Statistics і запишіть версію, показану під його назвою.

Якщо версія 3.4.0, 3.4.1 або 3.4.1.1, ви використовуєте уражену версію і вам слід оновитися. Версії 3.4.2 і новіші виправлені, а версії до 3.4.0 ніколи не були уражені.

Як оновитися

Найбезпечніший шлях: оновлення через сам WordPress, попередньо створивши резервну копію:

  1. Створіть резервну копію вашого сайту (файли та база даних) перед внесенням змін. Більшість хостинг-провайдерів пропонують резервне копіювання в один клік, або скористайтеся плагіном резервного копіювання WordPress.
  2. В адмініструванні WordPress перейдіть до Dashboard потім Updates або Plugins потім Installed Plugins. Якщо оновлення Burst Statistics вказано у списку, встановіть його звідси.
  3. Якщо там не з’являється оновлення, ви можете отримати останній випуск безпосередньо зі сторінки плагіна в каталозі WordPress.org, Burst Statistics, і оновити через Plugins потім Add New Plugin потім Upload Plugin.
  4. Після оновлення підтвердьте новий номер версії (3.4.2 або новіша), дотримуючись наведених вище кроків, і перевірте, що ваш сайт завантажується нормально.

Раз уже ви цим зайнялися, варто переконатися, що ядро WordPress та ваші інші плагіни актуальні, оскільки той самий принцип застосовується до всіх із них.

Якщо ви використовували уражену версію

Оскільки цю вразливість активно експлуатують для захоплення сайтів, сайт, на якому працювала уражена версія, не повинен вважати, що простого оновлення достатньо. Оновлення усуває вразливість, але воно не скасовує доступ, який зловмисник міг уже отримати. Вам (або вашому вебмайстру) слід перевірити це на своєму власному сайті:

  • Перегляньте свої облікові записи адміністраторів. У Users потім All Users відфільтруйте за Administrator і видаліть будь-який обліковий запис, який ви не впізнаєте. Зловмисники зазвичай додають нового користувача-адміністратора, щоб зберегти доступ.
  • Перегляньте нещодавно встановлені чи змінені плагіни та теми. Шукайте те, чого ви не встановлювали самі, а також плагіни із загальними чи незнайомими назвами: шкідливий плагін чи тема є поширеним способом встановити бекдор.
  • Перегляньте паролі застосунків. Для кожного користувача (Users потім Profile користувача) перевірте розділ Application Passwords і відкличте будь-який запис, який ви не створювали.
  • Слідкуйте за іншими ознаками. Несподіваний новий контент чи сторінки, зміни в налаштуваннях адміністративної електронної пошти чи URL сайту, а також незнайомі заплановані завдання варто дослідити.

Якщо ви виявите свідчення несанкціонованого доступу, вважайте сайт скомпрометованим: видаліть будь-яких шкідливих користувачів, плагіни чи теми, змініть свої облікові дані (адміністрування WordPress, база даних та панель хостингу) і розгляньте відновлення із завідомо чистої резервної копії, зробленої до вторгнення. Якщо у вашої організації є команда з IT-безпеки, залучіть їх.

Хочу прояснити: я не перевіряв ваш сайт на жоден із цих індикаторів, і я не знаю, чи був ваш сайт уражений. Цей список наведено тут, щоб ви могли перевірити самі.

У мене немає вебмайстра / я застряг

Якщо ви не та людина, яка обслуговує сайт, будь ласка, перешліть цю сторінку тому, хто це робить (вашому веброзробнику, агенції чи хостинг-провайдеру). Вони швидко впізнають наведені вище кроки.

Якщо ви обслуговуєте сайт самостійно і застрягли, я з радістю безкоштовно допоможу вам знайти правильний напрямок. Зв’яжіться зі мною, використовуючи контактні дані нижче.

Контакти

Evan Harris, дослідник безпеки

Я звертаюся з подібних питань виключно для того, щоб допомогти операторам захистити їхні сайти. Якщо ви віддаєте перевагу тому, щоб з вами більше не зв’язувалися, просто повідомте мені про це, і я поважатиму це.

Джерела

Офіційні повідомлення та відстеження

Виробник / плагін