Themegrill demo importer что за плагин
Уязвимость в WordPress-плагине ThemeGrill Demo Importer угрожает 200 000 сайтов
Специалисты WebARX предупредили, что пользователям WordPress нужно срочно обновить плагин ThemeGrill Demo Importer, разрабатываемый компанией ThemeGrill, которая создает и продает коммерческие темы для WordPress.
Согласно официальной статистике, ThemeGrill Demo Importer установлен более чем на 200 000 сайтов. Плагин позволяет владельцам ресурсов импортировать демонстрационный контент, виджеты и настройки для тем ThemeGrill.
Эксперты WebARX пишут, что из-за уязвимости удаленные и неаутентифицированные злоумышленники имеют возможность отправить на уязвимый сайт специальный пейлоад, при помощи которого будет задействована определенная функция плагина. Так, в продукте ThemeGrill есть функция, которая полностью обнуляет весь контент на сайте, эффективно стирая все содержимое ресурса с активной темой ThemeGrill и заменяя его демонстрационными данными.
Кроме того, если БД сайта содержит пользователя с именем admin, атакующий может получить доступ к этой учетной записи и все соответствующие права.
По словам исследователей, перед проблемой уязвимы все версии ThemeGrill Demo Importer от 1.3.4 до 1.6.1, то есть проблема присутствовала в коде около трех лет.
В настоящее время разработчики ThemeGrill уже устранили ошибку и выпустили обновленную версию плагина (1.6.2), обновиться до которой настоятельно рекомендуется все пользователям. На данный момент специалисты WebARX зафиксировали и отразили уже более 16 000 попыток атак на свежую проблему.
Уязвимость в WordPress-плагине ThemeGrill Demo Importer угрожает 200 000 сайтов
Linux для хакера
Специалисты WebARX предупредили, что пользователям WordPress нужно срочно обновить плагин ThemeGrill Demo Importer, разрабатываемый компанией ThemeGrill, которая создает и продает коммерческие темы для WordPress.
Согласно официальной статистике, ThemeGrill Demo Importer установлен более чем на 200 000 сайтов. Плагин позволяет владельцам ресурсов импортировать демонстрационный контент, виджеты и настройки для тем ThemeGrill.
Эксперты WebARX пишут, что из-за уязвимости удаленные и неаутентифицированные злоумышленники имеют возможность отправить на уязвимый сайт специальный пейлоад, при помощи которого будет задействована определенная функция плагина. Так, в продукте ThemeGrill есть функция, которая полностью обнуляет весь контент на сайте, эффективно стирая все содержимое ресурса с активной темой ThemeGrill и заменяя его демонстрационными данными.
Кроме того, если БД сайта содержит пользователя с именем admin, атакующий может получить доступ к этой учетной записи и все соответствующие права.
По словам исследователей, перед проблемой уязвимы все версии ThemeGrill Demo Importer от 1.3.4 до 1.6.1, то есть проблема присутствовала в коде около трех лет.
В настоящее время разработчики ThemeGrill уже устранили ошибку и выпустили обновленную версию плагина (1.6.2), обновиться до которой настоятельно рекомендуется все пользователям. На данный момент специалисты WebARX зафиксировали и отразили уже более 16 000 попыток атак на свежую проблему.
Плагин WordPress под названием «ThemeGrill Demo Importer» раскрыл 200 000 веб-сайтов хакерам
Системы управления контентом (CMS), такие как WordPress, полностью изменили процесс создания и поддержки веб-сайта. Прямо сейчас создать сайт можно так же просто, как настроить установку WordPress и добавить некоторый контент. Люди, которые когда-то писали целые сайты с нуля, теперь создают темы и плагины CMS, которые помогут вам настроить и настроить свой собственный веб-сайт всего несколькими щелчками мыши. Это гораздо удобнее и, что более важно, немного дешевле, чем раньше. Хотя есть компромисс.
Люди, которые пишут темы и плагины для таких платформ, как WordPress, время от времени допускают ошибки, и когда они это делают, ошибки затрагивают не только один сайт. Одна ошибка может вызвать проблемы для тысяч веб-сайтов, и если проблема связана с безопасностью, последствия могут быть довольно разрушительными. Недавно обнаруженная уязвимость в плагине ThemeGrill Demo Importer для WordPress показала нам, насколько плохими могут быть проблемы.
ThemeGrill оставил ошибку, которая могла позволить хакерам стереть целые сайты
ThemeGrill разрабатывает премиальные темы для WordPress, а также предлагает плагин под названием ThemeGrill Demo Importer, который позволяет администраторам легко импортировать темы и настройки непосредственно на свои веб-сайты. Если у вас есть веб-сайт на WordPress и вы используете ThemeGrill Demo Importer, вы должны убедиться, что плагин обновлен до последней версии. Исследователи из WebARX обнаружили, что все воплощения плагина между ThemeGrill Demo Importer 1.3.4 и ThemeGrill Demo Importer 1.6.1 подвержены критической уязвимости безопасности, которая может позволить хакерам нанести полный ущерб.
Проблема заключается в функции reset_wizard_actions, которая загружается, когда плагин обнаруживает активную тему ThemeGrill. Функция подключается к admin_init, который обычно работает только в среде администратора. Однако он также может вызывать /wp-admin/admin-ajax.php, и исследователи обнаружили, что при взаимодействии с этим файлом reset_wizard_actions не проверяет, прошел ли пользователь аутентификацию.
Используя тщательно созданные полезные данные, хакеры могут либо стереть весь контент на уязвимом веб-сайте, либо они могут взять на себя административные права и делать с ним более или менее все, что хотят.
ThemeGrill исправил плагин
Отчет WebARX показывает, что раскрытие проблемы и помощь в исправлении не были самым приятным опытом, но мы должны отметить, что мы видели намного хуже. Исследователи отправили свой первый отчет 6 февраля. Не получив ответов в течение пяти дней, они снова попытались связаться с ThemeGrill. 14 февраля разработчик наконец-то ответил, и в течение двух дней была выпущена новая версия, посвященная этой проблеме.
Тот факт, что уязвимость исправлена, является хорошей новостью, но это только половина истории. ThemeGrill Demo Importer 1.3.4, версия, которая представила ошибку, была выпущена колоссально три года назад, и каждый сайт, который использовал плагин с того времени до воскресенья, когда был выпущен патч, был выставлен. Хотя нет никаких доказательств использования в дикой природе, многие из 200 тысяч веб-сайтов, на которых установлен ThemeGrill Demo Importer, по-прежнему используют уязвимые версии плагина, а это значит, что мы очень скоро сможем увидеть жертв этой уязвимости.
Вот где лежит большая проблема. Согласно W3Techs, WordPress поддерживает более 35% всех сайтов в мире. Существует целая экосистема, поддерживающая CMS, и миллионы людей используют ее, потому что поддерживать веб-сайт с ним так же просто, как и получить. К сожалению, опыт научил нас тому, что обновления и исправления для системы безопасности не слишком высоки во многих приоритетных списках этих людей. Если интернет станет более безопасным, это должно измениться.
WordPress.org
Русский
Theme Demo Importer
Описание
Quickly import theme live demo content, widgets and settings. This provides a basic layout to build your website and speed up the development process.
This plugin will create a page in APPEARANCE > Import Demo Content.
If the theme you are using does not have any predefined import files, then you will be presented with three file upload inputs.
First one is required and you will have to upload a demo content XML file, for the actual demo import.
The second one is optional and will ask you for a WIE or JSON file for widgets import. You create that file using the Widget Importer & Exporter plugin.
The third one is also optional and will import the customizer settings, select the DAT file which you can generate from Customizer Export/Import plugin (the customizer settings will be imported only if the export file was created from the same theme).
This plugin is based off the ‘One Click Demo Import’ plugin by @capuderg and @cyman, https://github.com/proteusthemes/one-click-demo-import.
As well as the improved WP Import 2.0 plugin by @humanmade, https://github.com/humanmade/WordPress-Importer.
License
Theme Demo Import uses ‘One Click Demo Import’ plugin script
https://github.com/proteusthemes/one-click-demo-import
(C) 2016 ProteusThemes.com
Licensed under the GNU General Public License v2.0,
http://www.gnu.org/licenses/gpl-2.0.html
Theme Demo Import uses ‘WordPress Importer’ plugin script
https://github.com/humanmade/WordPress-Importer
(C) 2016 @humanmade
Licensed under the GNU General Public License v2.0,
http://www.gnu.org/licenses/gpl-2.0.html
Copyright
Theme Demo Import, Copyright 2016 Ishmael ‘Hans’ Desjarlais
Theme Demo Import is distributed under the terms of the GNU GPL
This program is free software; you can redistribute it and/or modify
it under the terms of the GNU General Public License as published by
the Free Software Foundation; either version 2 of the License, or
(at your option) any later version.
This program is distributed in the hope that it will be useful,
but WITHOUT ANY WARRANTY; without even the implied warranty of
MERCHANTABILITY or FITNESS FOR A PARTICULAR PURPOSE. See the
GNU General Public License for more details.
You should have received a copy of the GNU General Public License along
with this program; if not, write to the Free Software Foundation, Inc.,
51 Franklin Street, Fifth Floor, Boston, MA 02110-1301 USA.
Установка
From your WordPress dashboard
Часто задаваемые вопросы
I have activated the plugin. Where is the «Import Demo Content» page?
Where are the demo import files and the log files saved?
How to predefine demo imports?
This question is for theme authors. To predefine demo imports, you just have to add the following code structure, with your own values to your theme (using the theme-demo-import/import_files filter):
You can set content import, widgets, and customizer import files. You can also define a preview image, which will be used only when multiple demo imports are defined, so that the user will see the difference between imports.
How to automatically assign «Front page», «Posts page» and menu locations after the importer is done?
You can do that, with the theme-demo-import/after_import action hook. The code would look something like this:
What about using local import files (from theme folder)?
How to handle different «after import setups» depending on which predefined import was selected?
This question might be asked by a theme author wanting to implement different after import setups for multiple predefined demo imports. Lets say we have predefined two demo imports with the following names: ‘Demo Import 1’ and ‘Demo Import 2’, the code for after import setup would be (using the theme-demo-import/after_import filter):
Can I add some code before the widgets get imported?
Of course you can, use the theme-demo-import/before_widgets_import action. You can also target different predefined demo imports like in the example above. Here is a simple example code of the theme-demo-import/before_widgets_import action:
I’m a theme author and I want to change the plugin intro text, how can I do that?
You can change the plugin intro text by using the theme-demo-import/plugin_intro_text filter:
To add some text in a separate «box», you should wrap your text in a div with a class of ‘TDI__intro-text’, like in the code example above.
How to disable generation of smaller images (thumbnails) during the content import
This will greatly improve the time needed to import the content (images), but only the original sized images will be imported. You can disable it with a filter, so just add this code to your theme function.php file:
How to change the location, title and other parameters of the plugin page?
I can’t activate the plugin, because of a fatal error, what can I do?
Update: There is now a admin error notice, stating that the minimal PHP version required for this plugin is 5.3.2.
You want to activate the plugin, but this error shows up:
Plugin could not be activated because it triggered a fatal error
This happens, because your hosting server is using a very old version of PHP. This plugin requires PHP version of at least 5.3.x, but we recommend version 5.6.x. Please contact your hosting company and ask them to update the PHP version for your site.
Опасные уязвимости в WordPress-плагинах ThemeREX и ThemeGrill используются для атак
Linux для хакера
Уязвимости нулевого и первого дня в популярных плагинах для WordPress уже находятся под атаками. С их помощью злоумышленники создают новые учтенные записи администратора и захватывают сайты.
Аналитики ИБ-компании Wordfence предупредили, что злоумышленники эксплуатируют уязвимость нулевого дня в плагине ThemeREX Addons, который поставляется вместе со всеми коммерческими темами компании ThemeREX. Данный плагин помогает пользователям продукции ThemeREX создавать новые сайты и контролировать различные настройки тем. По оценкам Wordfence, он установлен на более чем 44 000 сайтов.
Проблема заключается в том, что плагин настраивает эндпойнт WordPress REST-API, но не проверяет, от авторизованных ли пользователей (то есть от владельца сайта) поступают команды, отправляемые на этот REST API. В итоге оказывается, что удаленный код может быть выполнен любым желающим, даже если тот не прошел аутентификацию на сайте. Хуже того, злоумышленники получают возможность создать новую учетную запись администратора, что и наблюдали специалисты в ходе атак, начавшихся 18 февраля 2020 года.
Эксперты призвали пользователей срочно удалить ThemeREX Addons версий старше 1.6.50, и не пользоваться плагином до выхода патча.
Однако проблемы могут возникнуть не только у пользователей ThemeREX Addons. Еще один проблемный плагин под атаками, это ThemeGrill Demo Importer, о котором мы рассказывали на днях. Такие атаки называют атаками на уязвимость первого дня, то есть на совсем свежий, недавно устраненный баг.
Напомню, что из-за уязвимости удаленные и неаутентифицированные злоумышленники имеют возможность отправить на сайт специальный пейлоад, при помощи которого будет задействована определенная функция плагина. Так, в продукте ThemeGrill есть функция, которая полностью обнуляет весь контент на сайте, эффективно стирая все содержимое ресурса с активной темой ThemeGrill и заменяя его демонстрационными данными. Кроме того, если БД сайта содержит пользователя с именем admin, атакующий может получить доступ к этой учетной записи и все соответствующие права.
По информации WebARX и судя по сообщениям, опубликованным в Twitter, хакеры уже начали эксплуатировать уязвимость в продукте ThemeGrill. Причем пока атаки носят нарочито деструктивный характер, то есть хакеры стремятся не захватить контроль над ресурсом, но хотят стереть БД сайтов и уничтожить данные. Специалисты советуют пользователям обновиться как можно скорее, установив обновленную версию плагина (1.6.2).