Roundup Kerentanan WordPress: Desember 2020, Bagian 1
Diterbitkan: 2020-12-09Kerentanan plugin dan tema WordPress baru diungkapkan selama paruh pertama Desember. Posting ini mencakup plugin WordPress, tema, dan kerentanan inti terbaru dan apa yang harus dilakukan jika Anda menjalankan salah satu plugin atau tema yang rentan di situs web Anda.
Roundup Kerentanan WordPress dibagi menjadi tiga kategori berbeda: inti WordPress, plugin WordPress, dan tema WordPress.
Kerentanan Inti WordPress
Tidak ada kerentanan inti WordPress baru yang diungkapkan bulan ini.
Namun, versi utama baru dari inti WordPress baru saja dirilis kemarin. WordPress 5.6 menyertakan beberapa fitur dan peningkatan baru, jadi pastikan untuk memperbarui.
Kerentanan Plugin WordPress
1. Papan WPJob
Versi WPJobBoard di bawah 5.7.0 memiliki kerentanan SQL Injection, Reflected XSS, & XFS yang Tidak Diautentikasi.
2. Plugin WP Google Map
Versi Plugin Google Map WP di bawah 4.1.4 memiliki kerentanan Injeksi SQL Terotentikasi.
3. TemanTekan
BuddyPress versi di bawah 6.4.0 Kurangnya Kemampuan Periksa kerentanan.
4. Manajer Acara
Versi Pengelola Peristiwa di bawah 5.9.8 memiliki Skrip Lintas Situs & kerentanan Injeksi SQL.
5. Gerbang Usia
Versi Age Gate di bawah 2.13.5 memiliki kerentanan Open Redirect yang Tidak Diautentikasi.
6. Kanto
Semua versi Canto memiliki kerentanan SSRF Blind yang Tidak Diautentikasi.
7. Pembuat Profil
Versi Pembuat Profil di bawah 3.3.3 memiliki kerentanan Injeksi SQL Buta yang Diautentikasi.
8. Keanggotaan Berbayar Pro
Versi Pro Keanggotaan Berbayar di bawah 2.5.1 memiliki kerentanan Pembuatan Skrip Lintas Situs yang Diautentikasi.
9. Pos Portofolio Themify
Themify Portfolio Posting versi di bawah 1.1.6 kerentanan Scripting Lintas Situs Tersimpan yang Diautentikasi.
10. SMTP WP Mudah
Versi SMTP WP mudah di bawah 1.4.3 memiliki kerentanan Pengungkapan Log Debug.
Kerentanan Tema WordPress
1. Wibar
Versi Wibar di bawah 1.2.1 memiliki kerentanan Pembuatan Skrip Lintas Situs Tersimpan yang Diautentikasi.
Tip Keamanan Desember: Mengapa Anda Membutuhkan Dukungan Pengguna Universal
Setiap kali Anda membuat pengguna baru di situs web Anda, Anda menambahkan titik masuk lain yang dapat dieksploitasi oleh peretas. Tetapi kemungkinan akan ada saat-saat Anda mungkin memerlukan bantuan dari luar untuk situs web Anda, seperti ketika Anda mencari dukungan atau setelah menyewa kontraktor independen. Anda memerlukan cara yang aman dan terjamin untuk menambahkan akses admin sementara ke situs web Anda.
Memberikan Akses Luar ke Situs Web Anda: Opsi Buruk Biasa Anda
Biasanya, Anda memiliki dua opsi untuk menyediakan akses eksternal ke situs web Anda…. dan tidak ada yang hebat .
1. Bagikan Kredensial Pengguna Admin Anda
Opsi pertama dan terburuk Anda adalah membagikan nama pengguna dan kata sandi pengguna admin WordPress Anda.
Mengapa Membagikan Kredensial Admin Anda adalah Ide yang Mengerikan
- Keamanan yang Dikurangi – Jika Anda membagikan kredensial pengguna Anda, Anda harus menonaktifkan otentikasi dua faktor untuk mengizinkan orang yang menggunakan kredensial Anda untuk masuk. Google membagikan di blognya bahwa menggunakan otentikasi dua faktor, atau verifikasi 2 langkah, dapat menghentikan 100% serangan bot otomatis. Menonaktifkan otentikasi dua faktor, bahkan untuk waktu yang singkat, secara drastis mengurangi keamanan situs web Anda.
- Tidak nyaman – Berbagi kredensial Anda mengharuskan Anda mengubah kata sandi. Jika Anda lupa mengganti kata sandi Anda, ada satu atau lebih orang yang memiliki akses admin ke situs web Anda kapan pun mereka mau.
2. Buat Pengguna Terpisah untuk Teknisi Dukungan
Meskipun membuat pengguna admin baru untuk spesialis dukungan lebih baik daripada membagikan kredensial admin Anda, itu tetap tidak bagus.
Mengapa Membuat Pengguna untuk Teknologi Dukungan Itu Mengerikan
- Peningkatan Kerentanan – Membuat pengguna administrator baru menambahkan titik masuk lain yang dapat dieksploitasi. Jika Anda tidak memiliki kebijakan kata sandi, teknisi dukungan dapat memilih kata sandi yang lemah, membuat login WordPress Anda lebih rentan terhadap serangan.
- Tidak Nyaman – Melakukan proses pengaturan pengguna baru kapan pun Anda membutuhkan bantuan dari luar memakan waktu. Anda harus membuat pengguna baru dan kemudian ingat untuk menghapus pengguna ketika mereka tidak lagi membutuhkan akses ke situs web Anda. Ini adalah praktik terbaik keamanan WordPress untuk menghapus pengguna yang tidak digunakan dari situs web Anda.
Memberikan Akses Luar ke Situs Web Anda: Cara yang Lebih Baik
Fitur iThemes Security Pro Privilege Escalation memungkinkan Anda untuk memberikan kemampuan tambahan kepada pengguna untuk sementara.
Eskalasi Hak Istimewa memudahkan dan aman untuk membuat pengguna universal yang dapat Anda berikan kepada pengembang luar atau teknisi pendukung yang memerlukan akses sementara ke situs web Anda.
Dengan Eskalasi Hak Istimewa, Anda dapat membuat pengguna baru dan memberi nama Dukungan dan memberinya peran pengguna Pelanggan. Lain kali Anda perlu memberikan akses sementara ke situs web Anda, Anda dapat mengubah pengguna Dukungan dari pelanggan menjadi administrator. Kami akan membahas cara melakukannya nanti di posting, tetapi pertama-tama, mari kita bicara tentang mengapa Eskalasi Hak Istimewa adalah cara yang lebih baik untuk memberikan akses ke situs web Anda.
Mengapa Eskalasi Hak Istimewa Lebih Baik
- Mudah – Anda tidak perlu membuat pengguna baru setiap kali Anda perlu memberikan akses ke situs web Anda.
- Otomatis – Peningkatan hak istimewa hanya berlangsung selama 24 jam. Setelah 24 jam habis, pengguna secara otomatis kehilangan semua hak istimewa tambahan. Anda tidak harus ingat untuk menghapus pengguna atau mengubah kata sandi apa pun.
- Tanpa Pengorbanan dalam Keamanan – Anda masih dapat meminta pengguna dukungan universal ini untuk menggunakan metode email dua faktor untuk masuk, yang berarti Anda memiliki tingkat keamanan yang sama seperti yang Anda lakukan dengan pengguna admin lainnya. Karena peran pengguna sebenarnya adalah pelanggan, Anda tidak menanggung risiko nyata meninggalkannya di situs web Anda.
Cara Menggunakan Eskalasi Privilege di iThemes Security Pro
Untuk memulai, aktifkan Privilege Escalation di halaman utama pengaturan keamanan.
Anda dapat membuat pengguna baru dan beri nama Dukungan dan berikan peran pengguna Pelanggan. Lain kali Anda perlu memberikan akses sementara ke situs web Anda, navigasikan ke halaman Profil pengguna Dukungan Anda.
Perbarui alamat email untuk mengizinkan orang dukungan luar meminta kata sandi baru. Kemudian gulir ke bawah hingga Anda melihat pengaturan Eskalasi Hak Istimewa Sementara. Klik sakelar Tetapkan Peran Sementara , dan pilih Admin. Pengguna sekarang akan memiliki akses Admin selama 24 jam ke depan.
Jika mereka tidak membutuhkan 24 jam penuh, Anda dapat mencabut eskalasi hak istimewa dari halaman profil pengguna. Jika Anda membutuhkan lebih dari 24 jam, Anda dapat mengatur jumlah hari yang tepat yang Anda butuhkan di bidang Hari .
Lihat cara kerjanya
Plugin Keamanan WordPress Dapat Membantu Mengamankan Situs Web Anda
iThemes Security Pro, plugin keamanan WordPress kami, menawarkan 50+ cara untuk mengamankan dan melindungi situs web Anda dari kerentanan keamanan WordPress yang umum. Dengan WordPress, otentikasi dua faktor, perlindungan brute force, penegakan kata sandi yang kuat, dan banyak lagi, Anda dapat menambahkan lapisan keamanan ekstra ke situs web Anda.
Dapatkan iThemes Security Pro
Setiap minggu, Michael menyusun Laporan Kerentanan WordPress untuk membantu menjaga situs Anda tetap aman. Sebagai Manajer Produk di iThemes, dia membantu kami terus meningkatkan jajaran produk iThemes. Dia kutu buku raksasa & suka belajar tentang semua hal teknologi, lama & baru. Anda dapat menemukan Michael bergaul dengan istri & putrinya, membaca atau mendengarkan musik saat tidak bekerja.
