Komunikat o luce WordPress, listopad 2021

Podatność WordPressa oznacza słabość WordPressa. W tym poście Listopadowe wiadomości dotyczące luki w zabezpieczeniach WordPressa skupimy się na podatnych na ataki wtyczkach WordPressa oraz problemach z bezpieczeństwem WordPressa wykrytych w październiku 2020 r. i listopadzie 2020 r.

Najważniejszą i najważniejszą częścią bezpieczeństwa jest bycie na bieżąco z lukami w zabezpieczeniach CMS, takich jak WordPress i innych.

To jest powód, dla którego przeanalizowaliśmy wrażliwe wtyczki i ostatni ujawniony słaby punkt, aby upewnić się, że Twoja witryna działa płynnie, nie korzystając z takich niezabezpieczonych wtyczek i aktualizacji WordPress.

Twoja witryna będzie bezpieczna przed wszystkimi problemami i lukami w zabezpieczeniach, jeśli korzystasz z zapory sieciowej WebARX. Jednak najlepszą alternatywną metodą zabezpieczenia witryny internetowej jest usunięcie lub zaktualizowanie niezabezpieczonych wtyczek w witrynach.

Wiadomości dotyczące luki w zabezpieczeniach WordPress, październik 2020 r.

WordPress + Microsoft Office 365

Aby uzyskać dostęp do Twojej witryny WordPress, użytkownicy mogą zalogować się na swoje konto szkolne lub firmowe za pomocą WPO365|LOGIN. Hasło i nazwa użytkownika nie są wymagane. Dodatkowo będziesz mógł wysyłać wiadomości e-mail za pomocą programu Microsoft Graph zamiast korzystać z SMTP ze swojej witryny.

Luka w zabezpieczeniach: pominięcie weryfikacji podpisu JWT
Rozwiązany w wersji: 11.7
Łącznie dotknięte witryny: 1000+

Ta wtyczka nie weryfikuje podpisów JWT, nie pozwala na sprawdzanie autoryzacji, omija uwierzytelnianie i pozwala atakującym na tworzenie tokenów.

Suwak od 10Web

Slider od 10Web to alternatywna metoda dodawania responsywnych, szybkiego ładowania i przyjaznych SEO suwaków w nagłówku motywu, postach i stronach witryny lub w dowolnej innej lokalizacji.

Ta wtyczka jest kompatybilna z filmami i obrazami i umożliwia dodawanie obu treści na slajdach. Możesz bardzo łatwo dodać do niego różne efekty przejścia.

Luka w zabezpieczeniach: wiele uwierzytelnionych wstrzyknięć SQL
Rozwiązany w wersji: 1.2.36
Łącznie dotknięte witryny: 50 000+

Dwie podatne na ataki funkcje tej wtyczki to save_slider_db i bulk_action, export_full. Te dwie funkcje umożliwiają autoryzowanym użytkownikom lub administratorom lub medium, takim jak contributor + „opcja roli”, załóżmy, że drugi użytkownik jest włączony w celu wykonania ataku znanego jako wstrzyknięcia SQL.

Data deklaracji PoC przypada na 13 października 2020 r., która zapewnia aktualizacje dla użytkowników czas po czasie.

Kursy WP

WP Courses to darmowa wtyczka WordPress, której można używać do LMS do zarządzania i tworzenia kursów w Twojej witrynie za pomocą narzędzi przeciągnij i upuść, intuicyjnego interfejsu, samouczków wideo i nie tylko. Ta wtyczka ma ponad 900 aktywnych instalacji.

Wtyczkę tę można dodać z dowolnym innym szablonem, ponieważ będzie działać bezproblemowo. Zawiera również wiele opcji, które pomogą Ci dopasować się do Twojej wizji i projektu witryny. Ta wtyczka jest łatwa w nawigacji, ponieważ nie wymaga żadnego kodowania ani wiedzy technicznej.

Luka w zabezpieczeniach: prowadząca do ujawnienia treści kursów z powodu złamania kontroli dostępu
Rozwiązany w wersji: 2.0.29
Łączna liczba dotkniętych witryn: ponad 20 000

Przez WordPress REST API, problem w kursach WP może sprawić, że Twoje kursy będą dostępne dla wszystkich.

Proste: naciśnij!

W witrynie WordPress Simple: Press to oprogramowanie forum. Dzięki dodatkowym funkcjom możesz łatwo uruchomić swoje forum. Jest zintegrowany z modelem bezpieczeństwa i modelem użytkownika WordPress i może zostać podniesiony do tysięcy użytkowników.

Pomimo innych wtyczek forum, funkcje tej wtyczki są tworzone i obsługiwane przez organizacje. Opcja jest dostępna do usunięcia lub odinstalowania, zintegrowana z logowaniem i rejestracją WordPress, integracja z wtyczkami subskrypcji członków i nie tylko.

Luka w zabezpieczeniach: prowadząca do RCE z powodu złamanej kontroli dostępu
Rozwiązany w wersji: 6.6.1
Łącznie dotknięte witryny: 600+

Naprawiono problem z niedziałającą kontrolą dostępu we wtyczce Simple: Press, który miał wpływ na wersję 6.6.0 i niższą.

Wtyczka XClonera

Ta wtyczka pomoże Ci przywrócić i wykonać kopię zapasową witryny WordPress.

Luka w zabezpieczeniach: fałszowanie żądań między witrynami
Rozwiązany w wersji: 4.2.13
Łącznie dotknięte witryny: 30 000+

Kopie zapasowe witryn można wysyłać na Dysk Google, SFTP, Amazon, Dropbox, Backblaze i kilka innych lokalizacji. Automatycznie lub ręcznie możesz tworzyć kopie zapasowe za pomocą harmonogramu, który jest wbudowanym programem XCloner.

XCloner zapewnia różne funkcje bezpieczeństwa, takie jak XCloner, który tworzy motywy, rdzeń, wtyczki, kopie zapasowe plików językowych tuż przed automatycznymi aktualizacjami rdzenia WordPress, motywami, wtyczkami lub plikami językowymi. Osoby, które szukają bezpiecznej strony internetowej i prywatności, powinny wybrać XCloner.

Przeciągnij i upuść przesyłanie wielu plików – formularz kontaktowy 7

Ta wtyczka jest łatwa w użyciu i jest prostym rozszerzeniem, specjalnie dla formularza kontaktowego 7. Ta wtyczka pozwoli użytkownikom dodawać różne pliki za pomocą funkcji przeciągnij i upuść. Można również dodać wspólny plik przeglądania formularza internetowego.

Funkcje tej wtyczki są ograniczone do liczby przesyłanych plików, ograniczania rozmiaru pliku dla każdego pola, responsywności mobilnej, obsługi dowolnej przeglądarki, obsługi wielu języków, fajnego paska postępu, funkcji przeciągania i upuszczania, walidacji rozmiaru pliku, walidacji typu pliku, i tak dalej.

Luka w zabezpieczeniach: niezweryfikowane zdalne wykonanie kodu
Rozwiązany w wersji: 1.3.5.5
Całkowita liczba dotkniętych witryn: ponad 20 000

To narzędzie wykorzystuje czarną listę niebezpiecznych rozszerzeń plików, która nie pozwala na przesyłanie. Jednak rozszerzenia .phpt i .phar nie znajdowały się na czarnej liście, których nie można wykorzystać do dodania dowolnego kodu PHP.

Odkryto ponad 25 wtyczek WordPress z lukami w atakach CSRF, niektóre z nich są

• Płatne członkostwo Pro
• Twórca kuponów
• Zabawni budowniczowie
• Przyciski radiowe dla taksonomii
• Fajna oś czasu
• Łatwe referencje
• Dokan
• Agregator RSS firmy Feedly
• Rezerwacja hotelu WP
• WP Project Manager i wiele innych.

Powiązany post:Najlepsze bezbłędne motywy WordPress dla projektów do wyboru dla następnej witryny

Komunikat o luce WordPress, listopad 2020

Wsparcie zgodności z RODO CCPA

Jest również znany jako wtyczka zgodności Ninja GDPR dla użytkowników WordPress.

Luka: nieoficjalne wstrzyknięcie obiektu PHP
Rozwiązany w wersji: 2.4
Łącznie dotknięte witryny: 1000+

Wtyczka wsparcia GDPR CCPA Compliance ma ponad 1000 aktywnych instalacji. Naprawiono niebezpieczną lukę deserializacji w wersji 2.1 i niższych, która może dostać się do nieoficjalnego wstrzyknięcia obiektu PHP. 17 listopada 2020 r. Zostanie wyświetlony PoC, aby zaktualizować użytkownikom wszystkie informacje.

Welcart e-Commerce

Korzystanie z WelCart jest bezpłatne. Ma ponad 20 000 aktywnych instalacji i jest dostępny w 3 różnych językach, tj. angielskim (USA), japońskim i wietnamskim. W dniu 9 października 2020 r. w tej wtyczce wykryto lukę.

Luka: nieoficjalne wstrzyknięcie obiektu PHP
Rozwiązany w wersji: 1.9.36
Łączna liczba dotkniętych witryn: ponad 20 000

Użytkownicy WordPressa mogą korzystać z wtyczki Welcart, aby zbudować witrynę zakupową z innym obszarem konta klienta. Nie używa tego samego pliku cookie, którego używa WordPress. Używa własnego.

Pomaga to śledzić sesje użytkowników. Za pomocą tej wtyczki będziesz mógł sprzedawać dowolny rodzaj produktów, w tym produkty oparte na subskrypcji, produkty cyfrowe oraz produkty fizyczne. Nie ma ograniczeń co do liczby zdjęć przedmiotów, produktów i kategorii.

Ikony społecznościowe AccessPress

Będziesz mógł tworzyć różne ikony społecznościowe i dodawać linki do ważnych kont w mediach społecznościowych bezpośrednio ze strony internetowej. Ma ponad 40 000 aktywnych instalacji i obsługuje WordPress w wersji 4.5 i nowszej.

Luka w zabezpieczeniach: uwierzytelniony wstrzyknięcie SQL
Rozwiązany w wersji: 1.8.1
Łącznie dotknięte witryny: 40 000+

Jego atrybut widżetu nie został wyleczony przez tę wtyczkę, pozwala on kontom z uprawnieniami do publikowania, na przykład autorowi, na wykonywanie wstrzyknięć SQL.

Bardzo łatwo osoba nietechniczna może również połączyć się z profilami społecznościowymi na stronie internetowej. Możesz samodzielnie tworzyć i personalizować ikony. Dostępnych jest 12 różnych zaprojektowanych zestawów, które można wykorzystać do wyboru ikon.

Główne cechy tej wtyczki to łatwa integracja, wskazówki dotyczące narzędzi, więcej stylów, podgląd na żywo w czasie rzeczywistym, responsywny, interaktywny, własne układy i wiele innych.

WordPress

Wersja 5.5.2 WordPress została wydana 29 października 2020 r. Wersja ta została wprowadzona w celu rozwiązania problemów, których dotyczy WordPress wersja 5.5, w tym odbitej luki XSS. Ponadto naprawiono niektóre problemy z regresją wykryte w wersji 5.5

Luka w zabezpieczeniach: odbicie XSS
Rozwiązany w wersji: 5.5.2
Wszystkie witryny, których dotyczy problem: nie dotyczy

Na każdym koncie użytkownika WordPress i na stronie użytkownika ten problem jest podatny. Napastnik może oszukać nieświadomego użytkownika, który kliknie zainfekowany link lub odwiedzi witrynę, która jest zastawiona pułapką. Poziom wiktymizacji dla tego problemu jest średni, ponieważ wymaga on jakiejś inżynierii społecznej.

Wyszukiwarka SW Ajax WooCommerce

SW Ajax WooCommerce Search to wtyczka WordPress dla WooCommerce, która ma funkcję wyszukiwania Ajax.

Luka w zabezpieczeniach: nieoficjalne odzwierciedlenie XFS i XSS
Rozwiązany w wersji: 1.2.8
Wszystkie witryny, których dotyczy problem: nie dotyczy

Wniosek:
Listopad Wiadomości dotyczące luki w zabezpieczeniach WordPressa – Codziennie dochodzi do infekcji i ataków hakerskich na wiele witryn WordPress. Niektóre liczby pokazują, że ponad 30 000 stron internetowych jest codziennie atakowanych przez kilka rodzajów złośliwego oprogramowania.

Każda otwarta witryna w Internecie jest zasobem dostępnym dla każdego i jest to główny powód, dla którego większość witryn jest atakowana.

Ważne jest, aby wiedzieć, że gdy tylko zaczniesz prowadzić swoją działalność w Internecie, staje się ona dostępna publicznie. W ten sposób staje się łatwym celem.

Aby uniknąć dodawania podatnych na ataki wtyczek na swojej stronie, ważne jest, aby aktualizować wtyczki i strony internetowe. Jeśli to możliwe, możesz włączyć automatyczne aktualizacje.

Jeśli korzystasz z wtyczek wymienionych powyżej, najwyższy czas zaktualizować je o nową wersję, w przeciwnym razie Twoja witryna ucierpi.