Roundup Kerentanan WordPress: Desember 2019
Diterbitkan: 2020-01-16Beberapa plugin WordPress dan kerentanan tema baru diungkapkan selama paruh pertama bulan Desember, jadi kami ingin membuat Anda tetap waspada. Dalam posting ini, kami membahas plugin WordPress terbaru, tema dan kerentanan inti dan apa yang harus dilakukan jika Anda menjalankan salah satu plugin atau tema yang rentan di situs web Anda.
Roundup Kerentanan WordPress dibagi menjadi empat kategori berbeda:
- 1. Inti WordPress
- 2. Plugin WordPress
- 3. Tema WordPress
- 4. Pelanggaran dari seluruh web
Catatan: Anda dapat melompat ke Bagan Ringkasan Kerentanan untuk bagian pertama Desember 2019 yang tercantum di bawah ini.
Kerentanan Inti WordPress
WordPress 5.3.1 Rilis Keamanan & Pemeliharaan
Tim WordPress baru-baru ini mengungkapkan tiga kerentanan di WordPress versi 5.3:
- Pengguna yang tidak memiliki hak dapat membuat postingan menjadi lengket melalui REST API.
- Kerentanan Cross-Site Scripting dapat disimpan dalam tautan.
- Kerentanan Crossed-Site Scripting yang tersimpan menggunakan konten editor blok.
Detail lebih lanjut dapat ditemukan di posting Rilis Keamanan dan Pemeliharaan WordPress 5.3.1.
Apa yang Harus Anda Lakukan?
Kerentanan Plugin WordPress
Beberapa kerentanan plugin WordPress baru telah ditemukan bulan ini sejauh ini. Pastikan untuk mengikuti tindakan yang disarankan di bawah ini untuk memperbarui plugin atau mencopot pemasangannya sepenuhnya.
1. Pemeriksaan Ejaan WP
WP Spell Check versi 7.1.9 dan di bawahnya rentan terhadap serangan Pemalsuan Permintaan Lintas Situs.
Apa yang Harus Anda Lakukan?
2. Pahlawan CSS
Pahlawan CSS versi 4.03 dan di bawahnya rentan terhadap serangan XSS Tercermin yang Diautentikasi.
Apa yang Harus Anda Lakukan?
3. Addons Ultimate untuk Beaver Builder
Addons Ultimate untuk Beaver Builder versi 1.24.0 dan di bawahnya rentan terhadap serangan Authentication Bypass.
Apa yang Harus Anda Lakukan?
4. Addons Ultimate untuk Elementor
Addons Ultimate untuk Elementor versi 1.20.0 dan di bawahnya rentan terhadap serangan Authentication Bypass.
Apa yang Harus Anda Lakukan?
5. Kalender Pramuka
Scoutnet Kalender versi 1.1.0 dan di bawahnya rentan terhadap serangan Stored Cross-Site Scripting.
Apa yang Harus Anda Lakukan?
Tema WordPress
1. Mempesona
Versi 1.6.89 dan di bawahnya yang memukau memiliki kerentanan Pembaruan Opsi yang Diotentikasi.
Apa yang Harus Anda Lakukan?
2. Materialis
Materialis versi 1.0.172 dan di bawahnya memiliki kerentanan Pembaruan Opsi yang Diotentikasi.
Apa yang Harus Anda Lakukan?
3. DaftarPro
ListingPro versi 2.0.14.2 dan di bawahnya memiliki kerentanan Skrip Lintas Situs yang Tercermin & Persisten.
Apa yang Harus Anda Lakukan?
4. Superlist
Versi superlist 2.9.2 dan di bawahnya rentan terhadap serangan Stored Cross-Site Scripting.
Apa yang Harus Anda Lakukan?
Bagaimana Menjadi Proaktif Tentang Kerentanan Tema & Plugin WordPress
Menjalankan perangkat lunak usang adalah alasan nomor satu situs WordPress diretas. Sangat penting untuk keamanan situs WordPress Anda bahwa Anda memiliki rutinitas pembaruan. Anda harus masuk ke situs Anda setidaknya sekali seminggu untuk melakukan pembaruan.
Pembaruan Otomatis Dapat Membantu
Pembaruan otomatis adalah pilihan tepat untuk situs web WordPress yang tidak terlalu sering berubah. Kurangnya perhatian sering membuat situs-situs ini terabaikan dan rentan terhadap serangan. Bahkan dengan pengaturan keamanan yang disarankan, menjalankan perangkat lunak yang rentan di situs Anda dapat memberi penyerang titik masuk ke situs Anda.
Menggunakan fitur Manajemen Versi plugin iThemes Security Pro , Anda dapat mengaktifkan pembaruan WordPress otomatis untuk memastikan Anda mendapatkan patch keamanan terbaru. Pengaturan ini membantu melindungi situs Anda dengan opsi untuk secara otomatis memperbarui ke versi baru atau untuk meningkatkan keamanan pengguna saat perangkat lunak situs sudah usang.
Opsi Pembaruan Manajemen Versi
- Pembaruan WordPress – Secara otomatis menginstal rilis WordPress terbaru.
- Pembaruan Otomatis Plugin – Secara otomatis menginstal pembaruan plugin terbaru. Ini harus diaktifkan kecuali Anda secara aktif memelihara situs ini setiap hari dan menginstal pembaruan secara manual segera setelah dirilis.
- Pembaruan Otomatis Tema – Secara otomatis menginstal pembaruan tema terbaru. Ini harus diaktifkan kecuali jika tema Anda memiliki penyesuaian file.
- Kontrol Granular atas Pembaruan Plugin dan Tema – Anda mungkin memiliki plugin/tema yang ingin Anda perbarui secara manual, atau tunda pembaruan hingga rilis memiliki waktu untuk terbukti stabil. Anda dapat memilih Kustom untuk kesempatan menetapkan setiap plugin atau tema untuk segera diperbarui ( Aktifkan ), tidak memperbarui secara otomatis sama sekali ( Nonaktifkan ) atau memperbarui dengan penundaan dalam jumlah hari tertentu ( Tunda ).
Penguatan dan Peringatan untuk Masalah Kritis
- Perkuat Situs Saat Menjalankan Perangkat Lunak Kedaluwarsa – Secara otomatis menambahkan perlindungan ekstra ke situs ketika pembaruan yang tersedia belum diinstal selama sebulan. Plugin Keamanan iThemes akan secara otomatis mengaktifkan keamanan yang lebih ketat ketika pembaruan belum diinstal selama sebulan. Pertama, itu akan memaksa semua pengguna yang tidak mengaktifkan dua faktor untuk memberikan kode login yang dikirim ke alamat email mereka sebelum masuk kembali. Kedua, itu akan menonaktifkan WP File Editor (untuk memblokir orang dari mengedit plugin atau kode tema) , pingback XML-RPC, dan memblokir beberapa upaya autentikasi per permintaan XML-RPC (keduanya akan membuat XML-RPC lebih kuat terhadap serangan tanpa harus mematikannya sepenuhnya).
- Pindai Situs WordPress Lama Lainnya – Ini akan memeriksa instalasi WordPress usang lainnya di akun hosting Anda. Satu situs WordPress usang dengan kerentanan dapat memungkinkan penyerang untuk berkompromi dengan semua situs lain di akun hosting yang sama.
- Kirim Pemberitahuan Email – Untuk masalah yang memerlukan intervensi, email dikirim ke pengguna tingkat admin.
Mengelola Beberapa Situs WP? Perbarui Plugin, Tema & Inti Sekaligus dari Dasbor Sinkronisasi iThemes
iThemes Sync adalah dasbor pusat kami untuk membantu Anda mengelola beberapa situs WordPress. Dari dasbor Sinkronisasi, Anda dapat melihat pembaruan yang tersedia untuk semua situs Anda, lalu memperbarui plugin, tema, dan inti WordPress dengan satu klik . Anda juga bisa mendapatkan pemberitahuan email setiap hari saat pembaruan versi baru tersedia.
Pelanggaran Dari Seluruh Web
Kami menyertakan pelanggaran dari seluruh web karena penting juga untuk menyadari kerentanan di luar ekosistem WordPress. Eksploitasi ke perangkat lunak server dapat mengekspos data sensitif. Pelanggaran basis data dapat mengekspos kredensial untuk pengguna di situs Anda, membuka pintu bagi penyerang untuk mengakses situs Anda.
1. Peretasan Kamera Ring
Sayangnya, beberapa keluarga melaporkan episode pelecehan setelah perangkat Dering mereka diretas. Jika Anda menggunakan kamera keamanan apa pun yang memungkinkan Anda melihat umpan langsung dari jarak jauh, Anda harus tahu bagaimana peretas membobol Kamera Dering.
Menurut juru bicara Ring, laporan peretasan ini diisolasi dan tidak terkait dengan peretasan atau pelanggaran Keamanan Ring. Itu adalah berita bagus, dan itu berarti kemungkinan penyebab peretasan adalah kata sandi yang lemah dan tidak menggunakan 2FA. Serangan brute force, ketika bot jahat mencoba kombinasi acak nama pengguna dan kata sandi hingga berhasil, dan mereka dapat memperoleh akses ke akun Anda.
Beruntung bagi kami, cukup mudah untuk melindungi akun Anda dari serangan brute force. Menurut penelitian keamanan Google mengatakan bahwa menggunakan otentikasi dua faktor akan menghentikan 100% serangan bot Jika Anda memasang perangkat IoT – terutama yang memungkinkan Anda melihat dan mendengar apa yang terjadi di dalam rumah Anda – pastikan Anda melindungi Anda dan keluarga dengan menggunakan kata sandi yang kuat dan otentikasi dua faktor.
Ringkasan Kerentanan WordPress untuk
Desember 2019, Bagian 1
WP Spell Check versi 7.1.9 dan di bawahnya rentan terhadap serangan Pemalsuan Permintaan Lintas Situs.
Addons Ultimate untuk Beaver Builder versi 1.24.0 dan di bawahnya rentan terhadap serangan Authentication Bypass.
Addons Ultimate untuk Elementor versi 1.20.0 dan di bawahnya rentan terhadap serangan Authentication Bypass.
Pahlawan CSS versi 4.03 dan di bawahnya rentan terhadap serangan XSS Tercermin yang Diautentikasi.
Scoutnet Kalender versi 1.1.0 dan di bawahnya rentan terhadap serangan Stored Cross-Site Scripting.
Ekspor Pengguna ke CSV versi 1.3 dan di bawahnya memiliki kerentanan Akses CSV Tidak Sah.
Versi 1.6.89 dan di bawahnya yang memukau memiliki kerentanan Pembaruan Opsi yang Diotentikasi.
Materialis versi 1.0.172 dan di bawahnya memiliki kerentanan Pembaruan Opsi yang Diotentikasi.
Versi superlist 2.9.2 dan di bawahnya rentan terhadap serangan Stored Cross-Site Scripting.
ListingPro versi 2.0.14.2 dan di bawahnya memiliki kerentanan Skrip Lintas Situs yang Tercermin & Persisten.
Plugin Keamanan WordPress Dapat Membantu Mengamankan Situs Web Anda
iThemes Security Pro, plugin keamanan WordPress kami, menawarkan lebih dari 30 cara untuk mengamankan dan melindungi situs web Anda dari kerentanan keamanan WordPress yang umum. Dengan WordPress, otentikasi dua faktor, perlindungan brute force, penegakan kata sandi yang kuat, dan banyak lagi, Anda dapat menambahkan lapisan keamanan ekstra ke situs web Anda.
Dapatkan Keamanan iThemes
Setiap minggu, Michael menyusun Laporan Kerentanan WordPress untuk membantu menjaga situs Anda tetap aman. Sebagai Manajer Produk di iThemes, dia membantu kami terus meningkatkan jajaran produk iThemes. Dia kutu buku raksasa & suka belajar tentang semua hal teknologi, lama & baru. Anda dapat menemukan Michael bergaul dengan istri & putrinya, membaca atau mendengarkan musik saat tidak bekerja.
