Zusammenfassung der WordPress-Sicherheitslücke: Oktober 2019, Teil 1

WordPress-Themes

So gehen Sie proaktiv bei WordPress-Theme- und Plugin-Schwachstellen vor

Das Ausführen veralteter Software ist der Hauptgrund dafür, dass WordPress-Sites gehackt werden. Es ist entscheidend für die Sicherheit Ihrer WordPress-Site, dass Sie eine Update-Routine haben. Sie sollten sich mindestens einmal pro Woche bei Ihren Websites anmelden, um Aktualisierungen durchzuführen.

Automatische Updates können helfen

Automatische Updates sind eine gute Wahl für WordPress-Websites, die sich nicht sehr oft ändern. Durch mangelnde Aufmerksamkeit werden diese Websites oft vernachlässigt und anfällig für Angriffe. Selbst mit den empfohlenen Sicherheitseinstellungen kann das Ausführen anfälliger Software auf Ihrer Site einem Angreifer einen Einstiegspunkt in Ihre Site bieten.

Mit Hilfe des iThemes Security Pro Plugins Features Versionsverwaltung können Sie die automatische Wordpress - Updates aktivieren , um sicherzustellen , dass Sie den neuesten Sicherheits - Patches zu bekommen. Diese Einstellungen tragen zum Schutz Ihrer Site mit Optionen zum automatischen Aktualisieren auf neue Versionen oder zur Erhöhung der Benutzersicherheit bei veralteter Site-Software bei.

Update-Optionen für die Versionsverwaltung

• WordPress-Updates – Installieren Sie automatisch die neueste WordPress-Version.
• Automatische Plugin-Updates – Installieren Sie automatisch die neuesten Plugin-Updates. Dies sollte aktiviert werden, es sei denn, Sie pflegen diese Site täglich aktiv und installieren die Updates kurz nach der Veröffentlichung manuell.
• Automatische Theme-Updates – Installieren Sie automatisch die neuesten Theme-Updates. Dies sollte aktiviert sein, es sei denn, Ihr Design verfügt über Dateianpassungen.
• Granulare Kontrolle über Plugin- und Theme-Updates – Möglicherweise haben Sie Plugins/Themes, die Sie entweder manuell aktualisieren oder die Aktualisierung verzögern möchten, bis die Veröffentlichung Zeit hatte, sich als stabil zu erweisen. Sie können Benutzerdefiniert auswählen, um jedem Plugin oder Design die Möglichkeit zu geben, entweder sofort zu aktualisieren ( Aktivieren ), überhaupt nicht automatisch zu aktualisieren ( Deaktivieren ) oder mit einer Verzögerung von einer bestimmten Anzahl von Tagen ( Verzögerung ) zu aktualisieren.

Stärkung und Warnung bei kritischen Problemen

• Site stärken, wenn veraltete Software ausgeführt wird – Fügen Sie der Site automatisch zusätzlichen Schutz hinzu, wenn ein verfügbares Update einen Monat lang nicht installiert wurde. Das iThemes Security-Plugin aktiviert automatisch strengere Sicherheit, wenn ein Update einen Monat lang nicht installiert wurde. Erstens werden alle Benutzer, bei denen die Zwei-Faktor-Funktion nicht aktiviert ist, gezwungen, einen Anmeldecode anzugeben, der an ihre E-Mail-Adresse gesendet wird, bevor sie sich wieder anmelden. Zweitens wird der WP-Dateieditor deaktiviert (um Personen daran zu hindern, Plugin- oder Themencode zu bearbeiten). , XML-RPC-Pingbacks und blockieren mehrere Authentifizierungsversuche pro XML-RPC-Anfrage (beide machen XML-RPC stärker gegen Angriffe, ohne es vollständig deaktivieren zu müssen).
• Nach anderen alten WordPress-Sites suchen – Dies wird nach anderen veralteten WordPress-Installationen in Ihrem Hosting-Konto suchen. Eine einzelne veraltete WordPress-Site mit einer Schwachstelle könnte es Angreifern ermöglichen, alle anderen Sites auf demselben Hosting-Konto zu kompromittieren.
• E-Mail-Benachrichtigungen senden – Bei Problemen, die ein Eingreifen erfordern, wird eine E-Mail an Benutzer auf Administratorebene gesendet.

Verstöße aus dem gesamten Web

1. Hacker, die Gifs verwenden, um Drupal anzugreifen

Akami – ein Sicherheitsforschungsunternehmen – hat eine Zunahme von Angriffen festgestellt, bei denen bösartige Codes in .gif-Dateien eingebettet werden. Die gute Nachricht ist, dass Drupal diese Schwachstelle vor mehr als einem Jahr gepatcht hat. Die schlechte Nachricht ist, dass schlecht gepflegte Websites immer noch nicht aktualisiert wurden.

Der Hauptgrund für den Erfolg bösartiger Angriffe ist veraltete Software. Seien Sie nicht der Typ/das Mädchen, dessen Site durch ein Jahr altes Update kompromittiert wurde. Aktualisieren Sie Ihre Website

2. Signalanfälligkeit ermöglicht Hackern das Abhören von Android-Mikrofonen

Google Project Zero hat kürzlich eine Schwachstelle in der Messaging-App Signal bekannt gegeben. Die Sicherheitslücke kann ausgenutzt werden, wenn das Telefon einer anderen Person über die Signal-App angerufen wird. Während des Telefonats muss der Hacker die Stummschalttaste drücken, während das Telefon des Ziels klingelt. Durch Drücken der Stummschalttaste wird das Gerät des Ziels gezwungen, den Anruf anzunehmen, sodass der Angreifer sein Ziel belauschen kann.

Nachdem Signal von Google Project Zero über den Fehler informiert wurde, veröffentlichte er schnell einen Patch. Der Exploit erforderte, dass der Angreifer Code in der App entfernt und modifiziert. Zum Glück gibt es aufgrund der Schwierigkeit keine Berichte über den Einsatz des Exploits in freier Wildbahn.