Skip to content

WordPress’ning mashhur plagini kiberhujum ostida: Millionlab saytlarga xavf soluvchi zaiflik aniqlangan

Hozirgi davrda veb-saytlarning xavfsizligi tobora dolzarb masalaga aylanib bormoqda. Xususan, WordPress platformasida keng qo‘llaniladigan plaginning zaifligi tufayli millionlab veb-saytlar kiberhujumlarga uchrashi mumkinligi aniqlandi. Gap Essential Addons for Elementor plagini haqida ketmoqda. Mazkur plaginda aniqlangan zaiflik (CVE-2025-24752) orqali tajovuzkorlar zararli kodlarni saytga joylashtirishlari va foydalanuvchilarni aldashlari mumkin.

Kashf qilingan zaiflik plagin foydalanuvchi kiritgan ma’lumotlarni yetarli darajada tekshirmaganidan kelib chiqqan. Plaginning src/js/view/general.js faylidagi popup-selector parametrida noto‘g‘ri sanitizatsiya (tozalash) amalga oshirilgan. Ya’ni, foydalanuvchi URL orqali zararli JavaScript kodlarini kiritishi va u sayt foydalanuvchilariga qaytarilishiga sabab bo‘lishi mumkin.

Bunday zaiflik orqali tajovuzkorlar:

  • Sessiyalarni o‘g‘irlash (Session Hijacking): Sayt foydalanuvchilari login ma’lumotlarini nazoratga olishlari mumkin.
  • Phishing hujumlarini amalga oshirish: Sayt foydalanuvchilarini soxta sahifalarga yo‘naltirish orqali ularning maxfiy ma’lumotlarini olish mumkin.
  • Administrator huquqlariga ega bo‘lish: Plagin orqali WordPress boshqaruv paneliga ruxsatsiz kirish ehtimoli bor.

Aniqlangan zaiflikning xavfsizlik baholash tizimi (CVSS) bo‘yicha reytingi 7.1 bo‘lib, bu uni yuqori xavf darajasidagi zaiflik sifatida tasniflaydi. Bunday zaifliklarning keng tarqalgan plaginda aniqlanishi katta tahdiddir, chunki Essential Addons for Elementor dunyo bo‘ylab 2 milliondan ortiq veb-saytlarda faol ishlatiladi.

Tadqiqotchi xssium tomonidan Patchstack Alliance orqali aniqlangan ushbu muammo WPDeveloper jamoasi tomonidan 6.0.15 versiyasida bartaraf etildi. Ular quyidagi choralarni ko‘rishdi:

  • Kirish ma’lumotlarini qat’iy tekshirish (Input Validation): popup-selector parametriga faqatgina belgilangan alifbo va sonlar (hamda ba’zi cheklangan belgilar - va .) kiritilishi mumkin bo‘ldi.
  • Kirish ma’lumotlarini to‘g‘ri filtratsiya qilish: Tajovuzkorlar tomonidan ishlatilishi mumkin bo‘lgan zararli belgilar butkul olib tashlandi.
  • Server va mijoz tomonidagi himoya choralari: Kodinga kiritilgan o‘zgartirishlar faqat brauzerda emas, balki serverda ham tekshirishni ta’minlaydi.

Ushbu hodisa veb-xavfsizlik sohasida muhim saboqlarni beradi:

  1. Kirish ma’lumotlarini qat’iy nazorat qilish lozim.
    • Har qanday foydalanuvchi kiritgan matn yoki parametrlar qat’iy “oq ro‘yxat” (whitelist) asosida tekshirilishi kerak.
    • Faqatgina zararli belgilarni bloklash emas, balki faqat ruxsat etilganlarni qabul qilish muhim.
  2. Uchinchi tomon plaginlarining xavfsizlik monitoringi zarur.
    • Mashhur plaginlar tez-tez hujumga uchraydi, shuning uchun muntazam yangilab borish shart.
    • WordPress xavfsizlik plaginlaridan foydalanish orqali xavflarni kamaytirish mumkin.
  3. Himoya qatlamlarini ko‘paytirish lozim.
    • Plagin va mavzular server hamda brauzer tomonida qo‘shimcha tekshirilishi kerak.
    • Web Application Firewall (WAF) kabi himoya vositalaridan foydalanish tavsiya etiladi.

Agar sizning WordPress saytingizda Essential Addons for Elementor plagini o‘rnatilgan bo‘lsa, quyidagi choralarni ko‘rishingiz shart:

Plagin versiyasini darhol 6.0.15 yoki undan keyingisiga yangilang.

Veb-saytingizda kutilmagan script kiritish (XSS) harakatlarini aniqlash uchun skanerlash o‘tkazing.

Web Application Firewall (WAF) yoki xavfsizlik plaginlaridan foydalanib, xakerlik urinishlarini cheklang.

Administrator hisobingiz va boshqa muhim akkauntlar uchun ikki bosqichli autentifikatsiyani yoqing.

Internet tobora murakkablashib borayotgan vaqtda veb-xavfsizlikka e’tibor qaratish har qachongidan ham muhimdir. Essential Addons for Elementor plaginida aniqlangan zaiflik bizga xavfsizlikni birinchi o‘ringa qo‘yish zarurligini yana bir bor isbotladi. WordPress foydalanuvchilari va administratorlari saytlarini himoya qilish uchun muntazam yangilanishlarni amalga oshirishlari, kiberxavfsizlik choralarini ko‘rishlari va uchinchi tomon plaginlarining ishonchliligiga e’tibor qaratishlari lozim.

Dasturchilar esa foydalanuvchi kiritgan har qanday ma’lumotni qat’iy filtrlash va xavfsiz ishlov berish tamoyillariga amal qilishlari shart. Faqat shundagina internet muhitida xavfsizlikni ta’minlash mumkin bo‘ladi.