Zusammenfassung der WordPress-Sicherheitslücke: Dezember 2019

2. Materialität

Die Materialis-Versionen 1.0.172 und niedriger weisen eine Sicherheitslücke beim Authentifizierten Optionen-Update auf.

Was du machen solltest

So gehen Sie proaktiv bei WordPress-Theme- und Plugin-Schwachstellen vor

Das Ausführen veralteter Software ist der Hauptgrund dafür, dass WordPress-Sites gehackt werden. Es ist entscheidend für die Sicherheit Ihrer WordPress-Site, dass Sie eine Update-Routine haben. Sie sollten sich mindestens einmal pro Woche bei Ihren Websites anmelden, um Aktualisierungen durchzuführen.

Automatische Updates können helfen

Automatische Updates sind eine gute Wahl für WordPress-Websites, die sich nicht sehr oft ändern. Durch mangelnde Aufmerksamkeit werden diese Websites oft vernachlässigt und anfällig für Angriffe. Selbst mit den empfohlenen Sicherheitseinstellungen kann das Ausführen anfälliger Software auf Ihrer Site einem Angreifer einen Einstiegspunkt in Ihre Site bieten.

Mit Hilfe des iThemes Security Pro Plugins Features Versionsverwaltung können Sie die automatische Wordpress - Updates aktivieren , um sicherzustellen , dass Sie den neuesten Sicherheits - Patches zu bekommen. Diese Einstellungen tragen zum Schutz Ihrer Site mit Optionen zum automatischen Aktualisieren auf neue Versionen oder zur Erhöhung der Benutzersicherheit bei veralteter Site-Software bei.

Update-Optionen für die Versionsverwaltung

• WordPress-Updates – Installieren Sie automatisch die neueste WordPress-Version.
• Automatische Plugin-Updates – Installieren Sie automatisch die neuesten Plugin-Updates. Dies sollte aktiviert werden, es sei denn, Sie pflegen diese Site täglich aktiv und installieren die Updates kurz nach der Veröffentlichung manuell.
• Automatische Theme-Updates – Installieren Sie automatisch die neuesten Theme-Updates. Dies sollte aktiviert sein, es sei denn, Ihr Design verfügt über Dateianpassungen.
• Granulare Kontrolle über Plugin- und Theme-Updates – Möglicherweise haben Sie Plugins/Themes, die Sie entweder manuell aktualisieren oder die Aktualisierung verzögern möchten, bis die Veröffentlichung Zeit hatte, sich als stabil zu erweisen. Sie können Benutzerdefiniert auswählen, um jedem Plugin oder Design die Möglichkeit zu geben, entweder sofort zu aktualisieren ( Aktivieren ), überhaupt nicht automatisch zu aktualisieren ( Deaktivieren ) oder mit einer Verzögerung von einer bestimmten Anzahl von Tagen ( Verzögerung ) zu aktualisieren.

Stärkung und Warnung bei kritischen Problemen

• Site stärken, wenn veraltete Software ausgeführt wird – Fügen Sie der Site automatisch zusätzlichen Schutz hinzu, wenn ein verfügbares Update einen Monat lang nicht installiert wurde. Das iThemes Security-Plugin aktiviert automatisch strengere Sicherheit, wenn ein Update einen Monat lang nicht installiert wurde. Erstens werden alle Benutzer, bei denen die Zwei-Faktor-Funktion nicht aktiviert ist, gezwungen, einen Anmeldecode anzugeben, der an ihre E-Mail-Adresse gesendet wird, bevor sie sich wieder anmelden. Zweitens wird der WP-Dateieditor deaktiviert (um Personen daran zu hindern, Plugin- oder Themencode zu bearbeiten). , XML-RPC-Pingbacks und blockieren mehrere Authentifizierungsversuche pro XML-RPC-Anfrage (beide machen XML-RPC stärker gegen Angriffe, ohne es vollständig deaktivieren zu müssen).
• Nach anderen alten WordPress-Sites suchen – Dies wird nach anderen veralteten WordPress-Installationen in Ihrem Hosting-Konto suchen. Eine einzelne veraltete WordPress-Site mit einer Schwachstelle könnte es Angreifern ermöglichen, alle anderen Sites auf demselben Hosting-Konto zu kompromittieren.
• E-Mail-Benachrichtigungen senden – Bei Problemen, die ein Eingreifen erfordern, wird eine E-Mail an Benutzer auf Administratorebene gesendet.

Mehrere WP-Sites verwalten? Aktualisieren Sie Plugins, Themes und Core auf einmal über das iThemes Sync Dashboard

iThemes Sync ist unser zentrales Dashboard, mit dem Sie mehrere WordPress-Sites verwalten können. Über das Synchronisierungs-Dashboard können Sie verfügbare Updates für alle Ihre Websites anzeigen und dann Plugins, Themes und WordPress-Core mit einem Klick aktualisieren . Sie können auch tägliche E-Mail-Benachrichtigungen erhalten, wenn ein neues Versions-Update verfügbar ist.

Verstöße aus dem gesamten Web

Wir schließen Verstöße aus dem gesamten Web ein, da es wichtig ist, auch Schwachstellen außerhalb des WordPress-Ökosystems zu kennen. Exploits von Serversoftware können sensible Daten preisgeben. Datenbankverletzungen können die Anmeldeinformationen für die Benutzer auf Ihrer Site preisgeben und Angreifern die Tür zum Zugriff auf Ihre Site öffnen.

1. Ringkamera-Hacks

Leider melden einige Familien Episoden von Belästigungen, nachdem ihre Ring-Geräte gehackt wurden. Wenn Sie eine Überwachungskamera verwenden, mit der Sie einen Live-Feed aus der Ferne anzeigen können, sollten Sie wissen, wie Hacker in Ring-Kameras einbrechen.

Laut einem Ring-Sprecher waren diese Berichte über Hacks isoliert und standen nicht im Zusammenhang mit Hackern oder Verstößen gegen die Ring Security. Das sind ausgezeichnete Nachrichten und es bedeutet, dass der wahrscheinliche Täter der Hacks schwache Passwörter waren und keine 2FA verwendet. Ein Brute-Force-Angriff, bei dem ein böswilliger Bot eine zufällige Kombination von Benutzernamen und Passwörtern versucht, bis eine erfolgreich ist, und er Zugriff auf Ihr Konto erhält.

Zum Glück für uns ist es ziemlich einfach, Ihre Konten vor einem Brute-Force-Angriff zu schützen. Laut Sicherheitsforschungen von Google stoppt die Verwendung der Zwei-Faktor-Authentifizierung 100 % der Bot-Angriffe Familie durch die Verwendung eines starken Passworts und einer Zwei-Faktor-Authentifizierung.

Zusammenfassung der WordPress-Sicherheitslücken für
Dezember 2019, Teil 1