Μια εξαιρετικά σοβαρή ευπάθεια αποκαλύφθηκε σε πρόσθετο διαχείρισης μελών του WordPress, θέτοντας σε κίνδυνο χιλιάδες ιστοσελίδες που βασίζονται σε αυτό. Το κενό ασφαλείας επιτρέπει σε επιτιθέμενους να δημιουργούν λογαριασμούς διαχειριστή χωρίς καμία εξουσιοδότηση, αποκτώντας πλήρη πρόσβαση στο backend.

Η ευπάθεια εντοπίστηκε στο User Registration & Membership της WPEverest και σχετίζεται με τον τρόπο που το plugin χειρίζεται τα δεδομένα εγγραφής νέων χρηστών. Μέσω ειδικά τροποποιημένων HTTP requests, ένας hacker μπορεί να παρακάμψει τους ελέγχους ρόλων και να δημιουργήσει admin λογαριασμό, εκμεταλλευόμενος την απουσία σωστής επικύρωσης εισόδου.

Γιατί είναι τόσο επικίνδυνο

Από τη στιγμή που ο εισβολέας αποκτήσει πρόσβαση στο wp‑admin, μπορεί να:

• τροποποιήσει αρχεία και ρυθμίσεις,
• εγκαταστήσει backdoors,
• εισάγει κακόβουλο κώδικα,
• υποκλέψει δεδομένα χρηστών,
• εκτελέσει ransomware επιθέσεις.

Η απειλή είναι ιδιαίτερα κρίσιμη για την ελληνική αγορά, όπου μεγάλο ποσοστό εταιρικών sites και e‑shops βασίζονται σε WordPress και WooCommerce.

Επιπτώσεις για ελληνικά e‑shops

Η παραβίαση μπορεί να οδηγήσει σε:

• διαρροή προσωπικών δεδομένων (με άμεσες συνέπειες βάσει GDPR),
• υποκλοπή οικονομικών στοιχείων,
• οικονομική ζημιά και απώλεια εμπιστοσύνης πελατών,
• πιθανή νομική έκθεση της επιχείρησης.

Τι πρέπει να κάνουν άμεσα οι διαχειριστές

• Ενημέρωση του plugin στην τελευταία έκδοση.
• Έλεγχος όλων των admin λογαριασμών για ύποπτες εγγραφές.
• Ενεργοποίηση 2FA για λογαριασμούς υψηλών δικαιωμάτων.
• Χρήση WAF για φιλτράρισμα κακόβουλων αιτημάτων.
• Έλεγχος των logs για ύποπτη δραστηριότητα.

Η μεγάλη εικόνα

Το περιστατικό αναδεικνύει ένα χρόνιο πρόβλημα: την άκριτη χρήση πολλών plugins χωρίς αξιολόγηση της ποιότητας ή του ιστορικού ασφαλείας τους. Η ασφάλεια δεν είναι κάτι που αντιμετωπίζεται μόνο όταν «κάτι πάει στραβά». Απαιτεί συνεχή συντήρηση, τακτικές ενημερώσεις και προληπτικούς ελέγχους.