WordPress Statistics Plugin - update den hvis du bruger den - nu!

Det er lige kommet frem, at ovennævnte plugin, som efter sigende er installeret på over 600.000 WordPress-sider indeholder et sikkerhedshul i kategorien SQL Injection - og som kan anvendes af hackere UDEN på den ene eller anden måde være godkendt som bruger på den pågældende side. Altså ALLE brugere kan i teorien gøre det, hvis de bare ved hvordan. Jeg kommer med et eksempel om lidt - men bare rolig, det eksempel vil ikke virke i virkeligheden.

Har du WordPress Statistics Plugin, så rådes det på det kraftigste at du opdaterer det til den nyeste version, for at undgå at dit website bliver hacket!!!

Kort om SQL Injection:

SQL er det "sprog" der benyttes til at kommunikere mellem websitet og den bagliggende database. Når der er brug for at få data ud af databasen, eller ændre i databasen, sendes der en såkaldte QUERY, som indeholder noget af de informationer, der skal bruges af databasen. Så sæt nu at der er en søgefunktion på hjemmesiden, og der er ikke beskyttet mod SQL Injection. Du har indtastet et søgeord "Hej", så indeholder denne QUERY ordet "Hej". Her er det vigtigt, at søgeordet bliver "renset", for at undgå at databasen bliver manipuleret.

Den normale QUERY ville (meget forenklet) se ud i retningen af: SELECT * FROM `wpa_posts` WHERE `post_content` LIKE '%Hej%'

Det betyder at der ledes i en tabel der hedder wpa_posts, hvor feltet "post_content" indeholder ordet "Hej".

Men sæt nu at søgeordet ikke er "Hej" men ...

Hej%' AND 1=2  UNION ALL SELECT ID,user_login,user_pass,ID,ID,ID,ID,ID,ID,ID,ID,ID,ID,ID,ID,ID,ID,ID,ID,ID,ID,ID,ID FROM wpa_users;-- 

Og søgeordet vil ikke blive "renset".

Så vil det FØRSTE søgeresultat jeg ser, være det krypterede password af den første bruger i systemet ...

Bemærk: i ovenstående eksempel har jeg ændret noget, der gør at det ikke vil virke i 99,9999999% af alle WordPress-opsætninger.

Derfor: opdater din WordPress!!