Raccolta delle vulnerabilità di WordPress: ottobre 2019, parte 1

Temi WordPress

Come essere proattivi riguardo alle vulnerabilità dei temi e dei plugin di WordPress

L'esecuzione di software obsoleto è il motivo principale per cui i siti WordPress vengono violati. È fondamentale per la sicurezza del tuo sito WordPress che tu abbia una routine di aggiornamento. Dovresti accedere ai tuoi siti almeno una volta alla settimana per eseguire gli aggiornamenti.

Gli aggiornamenti automatici possono aiutare

Gli aggiornamenti automatici sono un'ottima scelta per i siti Web WordPress che non cambiano molto spesso. La mancanza di attenzione spesso lascia questi siti trascurati e vulnerabili agli attacchi. Anche con le impostazioni di sicurezza consigliate, l'esecuzione di software vulnerabile sul tuo sito può fornire a un utente malintenzionato un punto di accesso al tuo sito.

Utilizzando la funzione di gestione della versione del plug-in iThemes Security Pro, puoi abilitare gli aggiornamenti automatici di WordPress per assicurarti di ricevere le ultime patch di sicurezza. Queste impostazioni aiutano a proteggere il tuo sito con opzioni per l'aggiornamento automatico alle nuove versioni o per aumentare la sicurezza dell'utente quando il software del sito non è aggiornato.

Opzioni di aggiornamento per la gestione delle versioni

• Aggiornamenti WordPress: installa automaticamente l'ultima versione di WordPress.
• Aggiornamenti automatici del plug-in: installa automaticamente gli ultimi aggiornamenti del plug-in. Questo dovrebbe essere abilitato a meno che tu non mantenga attivamente questo sito su base giornaliera e installi gli aggiornamenti manualmente poco dopo il loro rilascio.
• Aggiornamenti automatici del tema: installa automaticamente gli ultimi aggiornamenti del tema. Questo dovrebbe essere abilitato a meno che il tuo tema non abbia personalizzazioni di file.
• Controllo granulare sugli aggiornamenti di plug-in e temi : potresti avere plug-in/temi che desideri aggiornare manualmente o ritardare l'aggiornamento fino a quando la versione non ha avuto il tempo di dimostrarsi stabile. Puoi scegliere Personalizzato per l'opportunità di assegnare a ciascun plug-in o tema l'aggiornamento immediato ( Abilita ), non aggiornarlo automaticamente ( Disabilita ) o aggiorna con un ritardo di un determinato numero di giorni ( Ritardo ).

Rafforzamento e allerta per problemi critici

• Rafforza il sito durante l'esecuzione di software obsoleto : aggiungi automaticamente protezioni extra al sito quando un aggiornamento disponibile non è stato installato per un mese. Il plug-in iThemes Security abiliterà automaticamente una sicurezza più rigorosa quando un aggiornamento non è stato installato per un mese. Innanzitutto, costringerà tutti gli utenti che non hanno abilitato il doppio fattore a fornire un codice di accesso inviato al proprio indirizzo e-mail prima di accedere nuovamente. In secondo luogo, disattiverà l'editor di file WP (per impedire alle persone di modificare il plug-in o il codice del tema) , XML-RPC pingback e bloccano più tentativi di autenticazione per richiesta XML-RPC (entrambi renderanno XML-RPC più forte contro gli attacchi senza doverlo disattivare completamente).
• Cerca altri vecchi siti WordPress : questo controllerà la presenza di altre installazioni di WordPress obsolete sul tuo account di hosting. Un singolo sito WordPress obsoleto con una vulnerabilità potrebbe consentire agli aggressori di compromettere tutti gli altri siti sullo stesso account di hosting.
• Invia notifiche e-mail : per problemi che richiedono un intervento, viene inviata un'e-mail agli utenti a livello di amministratore.

Violazioni da tutto il Web

1. Gli hacker usano le gif per attaccare Drupal

Akami, una società di ricerca sulla sicurezza, ha notato un aumento degli attacchi che incorporano codici dannosi all'interno di file .gif. La buona notizia è che Drupal ha corretto questa vulnerabilità più di un anno fa. La cattiva notizia è che i siti mal gestiti non sono ancora stati aggiornati.

Il motivo principale per cui gli attacchi dannosi hanno successo è dovuto al software obsoleto. Non essere il ragazzo/ragazza il cui sito è compromesso da un aggiornamento vecchio di un anno. Aggiorna il tuo sito

2. La vulnerabilità del segnale consente agli hacker di ascoltare i microfoni Android

Google Project Zero ha recentemente rivelato una vulnerabilità nell'app di messaggistica Signal. La vulnerabilità può essere utilizzata quando si chiama il telefono di qualcuno utilizzando l'app Signal. Durante la telefonata, l'hacker dovrà premere il pulsante di disattivazione dell'audio mentre il telefono del bersaglio squilla. Premendo il pulsante di disattivazione dell'audio costringerà il dispositivo del bersaglio a rispondere alla chiamata, consentendo all'attaccante di origliare il bersaglio.

Dopo essere stato informato del bug da Google Project Zero, Signal ha rilasciato rapidamente una patch. L'exploit ha richiesto all'attaccante di rimuovere e modificare il codice nell'app. Per fortuna, a causa della difficoltà, non ci sono segnalazioni sull'utilizzo dell'exploit in natura.