Obľúbený plugin OptinMonster pre redakčný systém WordPress obsahoval vážnu bezpečnostnú chybu, ktorá umožňovala inštaláciu škodlivého kódu na webové stránky. Chyba mohla byť v plugine aj niekoľko mesiacov a vývojári pluginu dôrazne odporúčajú aktualizáciu pluginu na najnovšiu verziu.
Podľa údajov z repozitáru pluginov WordPressu používa aktívne plugin OptinMonster viac ako milión webových stránok. Vývojárom sa navyše prvá oprava problému nepodarila a museli vydať ďalšiu záplatu. Tá je už dostupná a môžete ju inštalovať cez aktualizačný mechanizmus WordPress.
Chyba spočívala v možnosti zneužitia niektorých API, ktoré mohol útočník zneužiť na inštaláciu škodlivého kódu priamo na stránku s pluginom OptinMonster. Škodlivý kód sa potom aktivoval vždy, keď návštevník webu aktivoval plugin OptinMonster. Potencionálne v ohrození boli stovky tisíc webových stránok.
Vývojári navyše oznámili, že vzhľadom na objavenú chybu plánujú kompletne prepracovať prácu s API. V nasledujúcich dňoch a týždňoch teda možno čakať častejšie vydávanie nových aktualizácii pluginu OptinMonster. Každú aktualizáciu tohto pluginu by ste teda mali inštalovať ihneď po vydaní. Nezabúdajte, že WordPress umožňuje aj aktiváciu automatických aktualizácii pluginov a nemusíte teda pluginy aktualizovať manuálne cez administračné rozhranie.
Pokiaľ ste na vašej stránke mali alebo máte nainštalovaný plugin OptinMonster odporúčame vykonať kontrolu webovej stránky na prítomnosť škodlivého kódu. Využiť na to môžete napríklad plugin Wordfence, ktorá umožňuje skontrolovať prítomnosť škodlivého kódu na vašej stránke. Platená verzia pluginu umožňuje napríklad obmedzenie dostupnosti stránky z vybraných krajín, zapnutie dvojfaktorového prihlasovania, ale tiež napríklad sledovanie zmien v súboroch na stránke.