
| Nazwa wtyczki | Bookory |
|---|---|
| Rodzaj podatności | Lokalne włączenie plików |
| Numer CVE | CVE-2025-68530 |
| Pilność | Wysoki |
| Data publikacji CVE | 2026-01-05 |
| Adres URL źródła | CVE-2025-68530 |
Lokalna Inkluzja Plików w Motywie WordPress Bookory (CVE-2025-68530) — Co właściciele stron muszą wiedzieć i zrobić teraz
Opublikowany: 1 stycznia 2026
Autor: Zespół ds. bezpieczeństwa WP‑Firewall
Niedawno ujawniona podatność na Lokalną Inkluzję Plików (LFI) wpływająca na motyw WordPress Bookory (wszystkie wersje do i włącznie 2.2.7, naprawione w 2.2.8) ma potencjał do ujawnienia wrażliwych plików z systemu plików strony i prowadzenia do ujawnienia danych uwierzytelniających, kompromitacji strony lub dalszych exploitów łańcuchowych. Podatność została przypisana CVE‑2025‑68530.
Jako twórcy zarządzanego zapory aplikacji internetowej WordPress (WAF) i usług bezpieczeństwa, chcemy wyjaśnić w praktycznych, nietechnicznych terminach:
- czym jest ta podatność i jak działa na wysokim poziomie,
- kto jest dotknięty i dlaczego ryzyko różni się między stronami,
- jak wykrywać próby i potwierdzić, czy Twoja strona została dotknięta, oraz
- natychmiastowe, pośrednie i długoterminowe środki zaradcze, które powinieneś zastosować (w tym awaryjna zasada WAF, którą możesz wdrożyć).
Ta notatka unika dzielenia się kodem exploitów, ale jest wystarczająco szczegółowa, aby właściciele stron, administratorzy i zespoły bezpieczeństwa mogli działać zdecydowanie.
Streszczenie
- Problem Lokalnej Inkluzji Plików (LFI) wpływający na wersje motywu Bookory <= 2.2.7 pozwala atakującemu — z niskim poziomem ról WordPress (Współpracownik) — spowodować, że strona włączy i zwróci zawartość lokalnych plików.
- Dostawca wydał poprawkę w wersji 2.2.8; zaktualizuj do 2.2.8 lub nowszej natychmiast.
- Wpływ podatności zależy od konfiguracji strony: LFI może ujawniać pliki konfiguracyjne (na przykład wp-config.php), logi lub inne wrażliwe pliki, co może prowadzić do ujawnienia danych uwierzytelniających bazy danych i pełnej przejęcia strony.
- Jeśli nie możesz zaktualizować natychmiast, wdroż zasady WAF/wirtualnych poprawek, które blokują wzorce przechodzenia przez katalogi i podejrzane parametry dołączania, audytuj konta Współpracowników i postępuj zgodnie z krokami odpowiedzi na incydenty, jeśli wykryjesz eksploatację.
Czym jest lokalne włączenie pliku (LFI)?
Lokalna Inkluzja Plików (LFI) to klasa podatności aplikacji internetowej, w której atakujący może kontrolować ścieżkę pliku, którą aplikacja używa z include/require lub podobnymi prymitywami ładowania plików. Zamiast celowo dołączać zamierzony bezpieczny plik, aplikacja kończy dołączając lokalny plik wybrany przez atakującego.
Dlaczego to ma znaczenie w motywach WordPress:
- Motywy często implementują funkcjonalność administracyjną lub front-endową, która akceptuje parametry (na przykład page=, view=, template=, file=) i następnie dołącza lub wymaga pliku na podstawie tego wejścia.
- Jeśli to wejście nie jest walidowane ani oczyszczane do ścisłej listy dozwolonych, atakujący może dostarczyć wzorce przechodzenia przez katalogi (
../) sekwencje lub inne ładunki do uzyskania dostępu do plików poza zamierzoną katalogiem. - Pliki takie jak wp‑config.php, dzienniki debugowania, pliki kopii zapasowych i inne lokalne zasoby mogą zawierać wrażliwe dane (dane logowania do bazy danych, klucze API), które atakujący może zebrać i wykorzystać do całkowitego kompromitowania witryny.
LFI można również łączyć z innymi lukami (na przykład zdalne wykonanie kodu poprzez przesyłanie plików lub zanieczyszczenie dzienników), aby zwiększyć wpływ.
Dlaczego problem z Bookory jest poważny (nawet jeśli oznaczony jako “niski priorytet”)
W publicznym ujawnieniu luka otrzymała wewnętrzny priorytet Patchstack “Niski”, ale wektor CVSS jest znaczący (CVSS 7.5 w opublikowanym podsumowaniu). Ta kombinacja występuje, ponieważ:
- Luka wymaga niskiego poziomu uprawnień (Współautor), który jest ograniczonym typem konta w WordPressie. Wiele witryn nie przyznaje kont Współautora użytkownikom, którym nie ufają, co zmniejsza powierzchnię ataku.
- Jednak konsekwencje udanego LFI mogą być poważne. Ujawnienie wp‑config.php lub innych plików konfiguracyjnych/kopii zapasowych prowadzi do ujawnienia danych logowania do bazy danych. Z tymi danymi atakujący może wyeksportować dane lub przejąć bazę danych, a potencjalnie całą witrynę.
Krótko mówiąc: Chociaż wymagane uprawnienia zmniejszają prawdopodobieństwo wykorzystania na wielu witrynach, wpływ w przypadku wykorzystania może być wysoki — szczególnie dla witryn, które pozwalają na rejestrację, gościnnych autorów lub stosują słabe rozdzielenie ról.
Kto powinien się tym przejmować?
- Wszystkie witryny, które używają motywu Bookory (element ThemeForest “Bookory — Księgarnia i motyw WooCommerce”) i działają w wersji <= 2.2.7.
- Każda witryna, która pozwala zewnętrznym użytkownikom rejestrować się lub tworzyć posty z rolą Współautora lub podobnymi.
- Hosti i agencje, które zarządzają wieloma witrynami klientów (szczególnie jeśli pozwalają na wkład treści).
- Zespoły bezpieczeństwa, które priorytetowo traktują łagodzenie ujawnienia plików i narażenia danych logowania.
Jeśli używasz Bookory, zaktualizuj do 2.2.8 natychmiast. Jeśli nie możesz zaktualizować od razu, zastosuj poniższe środki zaradcze.
Działania natychmiastowe (0-24 godzin)
- Zaktualizuj motyw do 2.2.8 (lub nowszej) natychmiast.
To jest ostateczna poprawka. Potwierdź wersję motywu w Wygląd → Motywy lub sprawdzając dziennik zmian motywu / pliki motywu. Jeśli używasz motywu podrzędnego, zweryfikuj zgodność przed aktualizacją na produkcji; ale nie opóźniaj aktualizacji zabezpieczeń — jeśli to konieczne, zaktualizuj w oknie konserwacyjnym lub wyłącz witrynę na krótko. - Ogranicz lub audytuj konta Współautora.
- Zawieszaj lub usuwaj niepotrzebne konta Współautora.
- Zresetuj hasła dla kont o wysokim ryzyku.
- Wymagaj MFA dla wszelkich kont z podwyższonymi uprawnieniami (Redaktorzy, Administratorzy).
- Wdróż regułę WAF / wirtualną łatkę podczas aktualizacji.
Jeśli zarządzasz WAF (zarządzanym lub lokalnym), dodaj tymczasową regułę blokującą próby, które wyglądają jak wektory LFI — sekwencje przechodzenia przez katalogi, podejrzane parametry include lub bezpośrednie żądania próbujące pobrać lokalne pliki systemowe. Zobacz przykłady zalecanych reguł poniżej. - Wyłącz edytowanie plików w WordPressie.
Dodaj do wp-config.php:define('DISALLOW_FILE_EDIT', true);To zapobiega edytowaniu plików wtyczek lub motywów z interfejsu administracyjnego i zmniejsza wektory ataku, jeśli konto zostanie skompromitowane.
- Wykonaj niedawny backup.
Eksportuj świeży backup (pliki + baza danych) i przechowuj offline. Jeśli później będziesz musiał przywrócić lub przeprowadzić analizy, aktualny backup jest niezbędny.
Zalecane reguły WAF / wirtualnej łatki (przykłady)
Poniżej znajdują się wzorce obronne i przykładowe reguły, które możesz dostosować do swojego środowiska Apache ModSecurity lub Nginx/WAF. Są to obronne, wysokopoziomowe wzorce mające na celu blokowanie oczywistych prób LFI; dostosuj je, aby uniknąć fałszywych alarmów dla swojej witryny.
Ważny: nie publikuj ładunków eksploitów; używaj tych reguł wyłącznie do blokowania podejrzanych żądań.
Przykład Apache ModSecurity (koncepcyjny — dostosuj do swojego środowiska):
# Block obvious directory traversal patterns and LFI attempts SecRule REQUEST_URI|ARGS "@rx (\.\./|\.\.\\|()|etc/passwd|wp-config\.php|/proc/self/environ)" \ "id:1001001,phase:2,deny,status:403,log,msg:'Possible LFI or directory traversal attempt',severity:2" # Block attempts to include local files via suspicious parameter names SecRule ARGS_NAMES "@rx (?i:file|page|template|inc|view|path)" \ "id:1001002,phase:2,chain,log,deny,status:403,msg:'Blocking suspicious include parameter'" SecRule ARGS "@rx (\.\./|\.\.\\|/etc/passwd|wp-config\.php|/proc/self/environ)" \ "t:none"
Nginx (używając ngx_http_rewrite_module lub produktu WAF) reguła koncepcyjna:
if ($request_uri ~* "\.\./|\.\.\\||/etc/passwd|wp-config\.php|/proc/self/environ") {
return 403;
}
Kluczowe wzorce obronne do rozważenia:
- Blokuj lub monitoruj żądania zawierające
../(kropka-kropka ukośnik) lub odpowiedniki zakodowane w URL (%2e%2e%2f). - Blokuj żądania dla znanych wrażliwych nazw plików:
wp-config.php,.env,/etc/passwd,/proc/self/environ. - Blokuj podejrzane nazwy parametrów zapytania powszechnie używane do wskazywania mechaniki dołączania:
plik=,strona=,template=,szablon=,widok=,inc=(ale bądź ostrożny — niektóre legalne wtyczki/motywy używają tych nazw). Użyj kombinacji nazwy parametru + wzorca złośliwego ładunku, aby uniknąć fałszywych pozytywów. - Ogranicz lub zablokuj powtarzające się próby z jednego adresu IP.
Jeśli używasz WP‑Firewall (zarządzany WAF), włącz wirtualne łatanie (automatyczne łagodzenie) i profil ochrony LFI. Nasza usługa może przesyłać tymczasowe sygnatury, aby zablokować to ryzyko podczas aktualizacji motywu.
Wykrywanie i badanie
Jeśli podejrzewasz próbę lub udane wykorzystanie, te kroki pomogą Ci wykryć wskaźniki i przeprowadzić triage.
- Przeszukaj dzienniki dostępu w poszukiwaniu podejrzanych żądań.
Szukaj żądań zawierających wzorce takie jak../, zakodowane w URL..,etc/passwd,wp-config.php, lub parametry nazwaneplik,szablon,strona,widok,inc, itd. Zwróć uwagę na znaczniki czasowe, adresy IP źródłowe i ciągi agenta użytkownika. - Przeszukaj dzienniki serwera i dzienniki aplikacji.
- Dzienniki dostępu i błędów Apache / Nginx.
- Dzienniki błędów PHP dla ostrzeżeń/błędów dotyczących dołączania plików.
- Dzienniki panelu sterowania hostingu.
- Sprawdź, czy wp-config.php lub inne pliki nie są ujawniane w odpowiedziach sieciowych.
Jeśli znajdziesz żądania, które zwróciły 200 OK z treściami przypominającymi wp‑config.php (zawierającymi DB_NAME, DB_USER, DB_PASSWORD, AUTH_KEY), traktuj to jako potwierdzone ujawnienie. - Sprawdź daty modyfikacji plików i nieznane pliki.
Napastnicy często piszą tylne drzwi lub powłoki webowe. Szukaj nowo dodanych plików PHP w folderach wp‑content, uploads lub katalogach motywów o dziwnych nazwach lub znacznikach czasowych odpowiadających podejrzanej aktywności. - Audytuj bazę danych i użytkowników administratorów.
- Szukaj nowych użytkowników administratorów lub kont, które uzyskały podwyższone uprawnienia.
- Sprawdź ostatnie posty/strony pod kątem wstrzykniętych linków lub treści.
- Zachowaj dowody kryminalistyczne.
Jeśli podejrzewasz kompromitację, izoluj stronę (włącz tryb konserwacji lub wyłącz ją), skopiuj logi i odpowiednie pliki do bezpiecznej lokalizacji oraz udokumentuj działania. To zachowuje dowody do późniejszej analizy.
Jeśli znajdziesz dowody na eksploatację — odpowiedź na incydent.
- Izolować strona: tymczasowo zablokuj ruch przychodzący z podejrzanych adresów IP i włącz tryb konserwacji.
- Zrób kopię zapasową obrazu bieżącej strony (pliki + baza danych) i zachowaj logi. Ten zrzut jest ważny dla późniejszej pracy kryminalistycznej.
- Rotacja danych uwierzytelniających: natychmiast zmień hasła administratorów, hasła do bazy danych (zaktualizuj wp-config.php nowymi poświadczeniami) oraz wszelkie klucze API ujawnione w trakcie dochodzenia.
- Oczyść lub przywróć:
- Jeśli masz znaną czystą kopię zapasową sprzed kompromitacji, przywróć ją i zastosuj aktualizacje motywów/wtyczek przed przywróceniem strony.
- Jeśli musisz oczyścić na miejscu, usuń zidentyfikowane tylne drzwi, złośliwe pliki i nieautoryzowane konta administratorów. Następnie wzmocnij stronę i zmień poświadczenia.
- Odbuduj, jeśli to konieczne: w wielu przypadkach pełna odbudowa z znanego czystego źródła (ponowna instalacja rdzenia WordPressa, ponowna instalacja pakietów motywów/wtyczek z źródeł dostawców, przywrócenie treści tylko z bazy danych) jest często czystsza i bezpieczniejsza niż próba chirurgicznych usunięć.
- Powiadom interesariuszy.: jeśli doszło do ujawnienia danych (informacje o klientach, poświadczenia), stosuj odpowiednie zasady powiadamiania o naruszeniu zgodnie z jurysdykcją i informuj klientów.
- Raportowanie po incydencie: sporządź harmonogram, przyczynę źródłową i kroki łagodzące, aby uniknąć podobnych incydentów.
Wzmocnienie i długoterminowa prewencja
Nawet po załataniu Bookory, stosuj następujące praktyki, aby zmniejszyć ryzyko podobnych luk w zabezpieczeniach prowadzących do przyszłych kompromitacji.
- Utrzymuj motywy, wtyczki i rdzeń w aktualizacji. To jest najskuteczniejsza kontrola. Stosuj aktualizacje zabezpieczeń niezwłocznie; dla stron produkcyjnych koordynuj zaplanowane okna konserwacyjne dla krytycznych poprawek.
- Zminimalizuj zainstalowane motywy i wtyczki. Usuń nieużywane motywy (w tym domyślne motywy WordPress) i wtyczki. Mniej komponentów oznacza mniejszą powierzchnię ataku.
- Używaj zasady najmniejszych uprawnień dla użytkowników. Przydzielaj najniższe wymagane uprawnienia. Unikaj nadawania ról Współtwórcy/Autora/Redaktora niezaufanym kontom. Regularnie przeglądaj listy użytkowników.
- Wzmocnij uprawnienia plików. Pliki powinny mieć zazwyczaj 644, a katalogi 755 (dostosuj do swojego hosta). wp-config.php można uczynić bardziej restrykcyjnym, jeśli host na to pozwala.
- Wyłączenie wykonywania PHP podczas wysyłania plików (gdzie to możliwe). Zapobiegaj wykonywaniu PHP w wp-content/uploads, umieszczając regułę serwera WWW lub .htaccess, która zabrania wykonania.
- Wyłącz edytor plików w Panelu (DISALLOW_FILE_EDIT), jak pokazano wcześniej.
- Używaj silnych, unikalnych haseł i MFA dla wszystkich uprzywilejowanych kont.
- Używaj skanowania i monitorowania zabezpieczeń: monitorowanie integralności plików, skanowanie złośliwego oprogramowania i logi WAF pomagają wcześnie wykrywać podejrzaną aktywność.
- Używaj środowisk testowych oraz przegląd kodu dla wszelkiego rozwoju niestandardowych motywów lub wtyczek.
Dlaczego WAF i wirtualne łatanie mają znaczenie
WAF nie jest zastępstwem dla łatania, ale daje ci czas i ochronę podczas stosowania aktualizacji. Korzyści:
- Blokuje automatyczne skanowanie i próby wykorzystania w czasie rzeczywistym.
- Może wdrażać wirtualne łaty (reguły sygnatur) które zatrzymują dokładnie ten rodzaj żądań używanych do próby LFI, nawet zanim zastosowane zostaną aktualizacje motywów.
- Zapewnia widoczność ataków poprzez logi i alerty, dzięki czemu możesz szybko ocenić sytuację i zareagować.
Jeśli zarządzasz wieloma stronami lub stronami klientów, zarządzany WAF, który wspiera szybkie wdrażanie sygnatur, jest mnożnikiem siły — zmniejsza obciążenie operacyjne, jednocześnie poprawiając bezpieczeństwo.
Reguły wykrywania i sugestie monitorowania (SIEM / Splunk / logowanie w chmurze)
Poniżej znajdują się przykłady pomysłów na wykrywanie, które możesz wdrożyć jako wyszukiwania/alerty w swojej platformie logowania. To heurystyki do wywołania dochodzenia.
- Dopasuj ciągi zapytań z dziennika dostępu z sekwencjami kropka‑kropka:
- regex:
(\.\./|\.\.\\|)
- regex:
- Wykryj żądania, które zawierają wrażliwe nazwy plików:
- regex:
(wp-config\.php|\.env|etc/passwd|/proc/self/environ)
- regex:
- Wykryj wzrost błędów 4xx/5xx z tego samego adresu IP z podejrzanymi ciągami zapytań — często skanery badają wiele wariantów ładunków.
- Powiadom o nowych plikach dodanych do katalogów motywów lub przesyłania z
Plik .phprozszerzeniem, które wcześniej nie występowało.
Ustaw niski próg dla wstępnej triage (np. więcej niż 3 podejrzane żądania z tego samego adresu IP w ciągu 10 minut).
Komunikowanie ryzyka do interesariuszy nietechnicznych
Jeśli musisz poinformować kierownictwo lub klientów, zachowaj to zwięzłe i wykonalne:
- “Luka w motywie Bookory pozwoliła ograniczonym kontom na żądanie lokalnych plików na serwerze. Jeśli zostanie wykorzystana, może ujawnić pliki konfiguracyjne, w tym dane uwierzytelniające do bazy danych. Naprawiliśmy (lub naprawimy) do wersji 2.2.8. Wdrożyliśmy również regułę zapory ochronnej, przeprowadziliśmy audyt kont współpracowników i skanujemy w poszukiwaniu wskaźników kompromitacji. Jak dotąd nie znaleziono oznak udanego wykorzystania, ale utrzymujemy stronę w podwyższonym stanie monitorowania przez 72 godziny.”
Unikaj przeciążenia szczegółami technicznymi; podaj podjęte kroki, pozostałe ryzyko i następne działania.
Lista kontrolna — natychmiastowe, krótkoterminowe i średnioterminowe
Natychmiastowe (w ciągu 24 godzin)
- Zaktualizuj Bookory do wersji 2.2.8 (lub nowszej).
- Wykonaj świeże kopie zapasowe (pliki + DB).
- Audyt kont współautorów i autorów; dezaktywuj nieużywane konta.
- Zastosuj tymczasowy WAF/wirtualną łatkę, aby zablokować wzorce LFI.
- Włącz monitorowanie i powiadomienia o podejrzanych żądaniach.
Krótkoterminowy (1–7 dni)
- Skanuj stronę w poszukiwaniu zmodyfikowanych lub nieznanych plików.
- Zmień hasła administracyjne i dane logowania do bazy danych, jeśli podejrzewasz wyciek jakiegokolwiek pliku.
- Wymuś DISALLOW_FILE_EDIT w wp-config.php.
Średnioterminowe (1–3 miesiące)
- Wprowadź silniejsze kontrole dostępu i MFA dla użytkowników z uprawnieniami.
- Wzmocnij uprawnienia plików i wyłącz wykonywanie PHP tam, gdzie to możliwe.
- Dodaj ciągłe skanowanie podatności i automatyczne łatanie komponentów, gdzie to bezpieczne.
Często zadawane pytania
Q: Jeśli uruchamiam Bookory na hoście, który automatycznie stosuje aktualizacje motywów, czy nadal muszę działać?
A: Zweryfikuj wersję motywu na każdej stronie. Niektórzy dostawcy hostingu nie aktualizują automatycznie motywów z rynku premium. Zawsze potwierdzaj, że wdrożona wersja to 2.2.8 lub nowsza.
Q: Nie używam kont współautorów — czy jestem bezpieczny?
A: Twoje ryzyko jest mniejsze, ale nie zerowe. Jeśli żaden nieufny użytkownik nie ma uprawnień współautora lub wyższych, a kontrole ról są silne, wykorzystanie jest mniej prawdopodobne. Mimo to zaktualizuj motyw i monitoruj ruch.
Q: Czy jedna zasada WAF jest wystarczająca?
A: Zasada WAF to tymczasowe rozwiązanie i ważna zapora, ale ostatecznym działaniem jest zastosowanie poprawki dostawcy. Użyj obu: wirtualnej łatki + łatki.
Nowość: Zabezpiecz swoją stronę już dziś z darmowym planem ochrony WP‑Firewall
Tytuł: Uzyskaj niezbędną, zawsze aktywną ochronę dla swojej strony WordPress — na nasz koszt
Wierzymy, że bezpieczeństwo strony nigdy nie powinno być poza zasięgiem. Podstawowy darmowy plan WP‑Firewall oferuje zestaw niezbędnych zabezpieczeń, które zatrzymują powszechne ataki i pomagają Ci pozostać bezpiecznym podczas łatania podatnych komponentów, takich jak motyw Bookory. Darmowy plan obejmuje zarządzaną zaporę, WAF o wysokiej wydajności, skaner złośliwego oprogramowania, nielimitowaną przepustowość i zabezpieczenia, które łagodzą ryzyka OWASP Top 10 — wszystko, czego potrzebujesz, aby zredukować natychmiastowe ryzyko podczas aktualizacji i wzmacniania swojej strony.
Jeśli chcesz spróbować teraz, zarejestruj się w darmowym planie tutaj:
https://my.wp-firewall.com/buy/wp-firewall-free-plan/
Uaktualnienie później jest proste — rozważ plan Standard, jeśli chcesz automatycznego usuwania złośliwego oprogramowania oraz opcji niestandardowej czarnej/białej listy IP, lub plan Pro dla miesięcznych raportów bezpieczeństwa, automatycznego łatania wirtualnych luk oraz wsparcia premium.
Ostateczne słowa — działaj teraz, a potem przeprowadź audyt
To ujawnienie LFI Bookory jest aktualnym przypomnieniem, że motywy i wtyczki stron trzecich stanowią krytyczną powierzchnię ataku. Kroki, które podejmiesz w ciągu następnych 24 godzin, mają znaczenie:
- Zaktualizuj motyw do wersji 2.2.8 (lub nowszej) — to najważniejsza akcja.
- Wdrażaj krótkoterminowe zasady WAF / wirtualne łaty podczas aktualizacji.
- Audytuj użytkowników i dane uwierzytelniające, a następnie wzmocnij zabezpieczenia strony.
Jeśli prowadzisz wiele stron, zautomatyzuj te kontrole: inwentaryzuj wersje motywów/wtyczek, stosuj aktualizacje centralnie i używaj zarządzanego WAF, aby móc natychmiast wdrożyć ukierunkowaną ochronę, gdy nowe luki zostaną ujawnione.
Jeśli nie jesteś pewien żadnego kroku — lub chcesz, abyśmy zarządzali ochroną awaryjną i analizą forensyczną za Ciebie — nasz zespół WP-Firewall jest gotowy do pomocy. Zarejestruj się w darmowym planie, aby natychmiast uzyskać podstawową ochronę, a następnie rozważ nasze płatne plany na automatyczne usuwanie, wirtualne łatanie i dedykowane wsparcie.
Odniesienia i dalsza lektura
- CVE-2025-68530 — Ujawnienie lokalnego włączenia pliku (publicznie ujawniona luka) w motywie Bookory
- Dokumentacja dotycząca wzmocnienia WordPressa (oficjalna): wskazówki dotyczące uprawnień do plików, DISALLOW_FILE_EDIT i ról użytkowników
- OWASP: Wskazówki dotyczące łagodzenia lokalnego włączenia pliku i ujawnienia plików
(Jeśli wolisz pomoc praktyczną: skontaktuj się ze swoim dostawcą hostingu lub zaufanym partnerem ds. bezpieczeństwa, aby pomóc w łatanie, wdrażaniu zasad WAF i przeglądzie bezpieczeństwa po aktualizacji.)
