Raport podatności WordPress: maj 2021, część 1
Opublikowany: 2021-05-05Podatne wtyczki i motywy są głównym powodem ataków na witryny WordPress. Ten raport obejmuje najnowsze wtyczki WordPress, motywy i podstawowe luki w zabezpieczeniach oraz co zrobić, jeśli uruchomisz jedną z luk w zabezpieczeniach wtyczek lub motywów w swojej witrynie.
Każda podatność będzie miała wskaźnik ważności Niski , Średni , Wysoki lub Krytyczny . Odpowiedzialne ujawnianie i zgłaszanie luk w zabezpieczeniach jest integralną częścią zapewniania bezpieczeństwa społeczności WordPressa. Udostępnij ten post swoim znajomym, aby pomóc w rozpowszechnianiu informacji i uczynić WordPress bezpieczniejszym dla wszystkich.
Główne luki w WordPressie
WordPress 5.7.1 został wydany 15 kwietnia 2021 roku. Ta wersja bezpieczeństwa i konserwacji zawiera 26 poprawek błędów oprócz dwóch poprawek bezpieczeństwa. Ponieważ jest to wersja bezpieczeństwa rdzenia WordPress, zaleca się natychmiastową aktualizację witryn.
Luki w zabezpieczeniach wtyczki WordPress
1. AcyMailing
Luka : otwarte przekierowanie
Łatka w wersji : 7.5.0
Dotkliwość : średnia
2. Daj WP
Luka w zabezpieczeniach : uwierzytelnione przechowywane przechowywane skrypty między witrynami
Łatka w wersji : 2.10.4
Dotkliwość : średnia
3. Menedżer pobierania
Luka w zabezpieczeniach : zmiana ustawień wtyczki przez CSRF
Łatka w wersji : 3.1.22
Dotkliwość : średnia
Luka w zabezpieczeniach : nieautoryzowane użycie menedżera zasobów
Łatka w wersji : 3.1.23
Dotkliwość : Wysoka
Luka w zabezpieczeniach : uwierzytelnione przesyłanie plików PHP4 do RCE
Łatka w wersji : 3.1.19
Dotkliwość : krytyczna
4. Ochrona przed spamem, AntiSpam, FireWall firmy CleanTalk
Luka w zabezpieczeniach : nieuwierzytelniony, ślepy wstrzyknięcie SQL
Łatka w wersji : 5.153.4
Dotkliwość : Wysoka
5. Recenzje klientów WP
Luka w zabezpieczeniach : uwierzytelnione przechowywane przechowywane skrypty między witrynami
Poprawione w wersji : 3.5.6
Dotkliwość : średnia
Luki w motywie WordPress
1. Goto
Luka w zabezpieczeniach : nieuwierzytelniony, ślepy wstrzyknięcie SQL
Łatka w wersji : 2.1
Dotkliwość : krytyczna
Luka w zabezpieczeniach : odbite skrypty między witrynami
Łatka w wersji : 2.1
Dotkliwość : Wysoka
Uwaga dotycząca odpowiedzialnego ujawniania informacji
Być może zastanawiasz się, dlaczego luka w zabezpieczeniach zostałaby ujawniona, skoro daje hakerom możliwość ataku. Cóż, bardzo często badacz bezpieczeństwa znajduje i prywatnie zgłasza tę lukę twórcy oprogramowania.
W przypadku odpowiedzialnego ujawnienia wstępny raport badacza jest przekazywany prywatnie twórcom firmy będącej właścicielem oprogramowania, ale za zgodą, że pełne szczegóły zostaną opublikowane po udostępnieniu poprawki. W przypadku znaczących luk w zabezpieczeniach może wystąpić niewielkie opóźnienie w ujawnieniu luki, aby dać większej liczbie osób czas na poprawkę.
Badacz bezpieczeństwa może wyznaczyć producentowi oprogramowania termin odpowiedzi na zgłoszenie lub dostarczenia poprawki. Jeśli ten termin nie zostanie dotrzymany, badacz może publicznie ujawnić lukę, aby wywrzeć presję na dewelopera, aby wydał łatkę.
Publiczne ujawnienie luki w zabezpieczeniach i pozorne wprowadzenie luki dnia zerowego – rodzaju luki, która nie ma łaty i jest wykorzystywana na wolności – może wydawać się odwrotne do zamierzonych. Jest to jednak jedyna dźwignia, którą badacz musi wywrzeć na deweloperze, aby załatał tę lukę.
Jeśli haker odkryje lukę, może po cichu użyć exploita i wyrządzić szkody użytkownikowi końcowemu (to ty), podczas gdy programista pozostaje zadowolony z pozostawienia luki bez łaty. Google Project Zero ma podobne wytyczne, jeśli chodzi o ujawnianie luk w zabezpieczeniach. Publikują pełne szczegóły dotyczące luki po 90 dniach, niezależnie od tego, czy luka została załatana, czy nie.
Jak chronić swoją witrynę WordPress przed podatnymi wtyczkami i motywami?
Skaner witryn wtyczki iThemes Security Pro to kolejny sposób na zabezpieczenie i ochronę witryny WordPress przed główną przyczyną wszystkich włamań do oprogramowania: przestarzałymi wtyczkami i motywami ze znanymi lukami. Skaner witryn sprawdza witrynę pod kątem znanych luk w zabezpieczeniach i automatycznie stosuje łatę, jeśli jest dostępna.
Sprawdzono 3 rodzaje luk w WordPressie
- Luki w WordPressie
- Luki w zabezpieczeniach wtyczek
- Luki motywu
Aby włączyć Skanowanie Witryny w nowych instalacjach, przejdź do ustawień iThemes Security Pro i kliknij przycisk Włącz w module ustawień Skanowania Witryny .
Aby uruchomić ręczne skanowanie witryny, kliknij przycisk Skanuj teraz na widżecie skanowania witryny znajdującym się po prawej stronie ustawień zabezpieczeń.
Wyniki skanowania witryny zostaną wyświetlone w widgecie.
Jeśli Skanowanie Witryny wykryje lukę w zabezpieczeniach, kliknij łącze dotyczące luki, aby wyświetlić stronę szczegółów.
Na stronie podatności Site Scan zobaczysz, czy jest dostępna poprawka dla tej luki. Jeśli dostępna jest poprawka, możesz kliknąć przycisk Aktualizuj wtyczkę , aby zastosować poprawkę na swojej stronie internetowej.
Może wystąpić opóźnienie między udostępnieniem poprawki a aktualizacją bazy danych luk w zabezpieczeniach iThemes w celu odzwierciedlenia poprawki. W takim przypadku możesz wyciszyć powiadomienie, aby nie otrzymywać więcej alertów związanych z usterką.
iThemes Security Pro, nasza wtyczka bezpieczeństwa WordPress, oferuje ponad 50 sposobów zabezpieczenia i ochrony Twojej witryny przed typowymi lukami w zabezpieczeniach WordPress. Dzięki WordPress, uwierzytelnianiu dwuskładnikowemu, ochronie przed brutalną siłą, silnemu egzekwowaniu haseł i nie tylko, możesz dodać dodatkową warstwę bezpieczeństwa do swojej witryny.
Uzyskaj iThemes Security Pro
Co tydzień Michael opracowuje raport na temat luk w zabezpieczeniach WordPressa, aby pomóc chronić Twoje witryny. Jako Product Manager w iThemes pomaga nam w dalszym ulepszaniu linii produktów iThemes. Jest wielkim kujonem i uwielbia uczyć się wszystkich rzeczy technicznych, starych i nowych. Możesz znaleźć Michaela spędzającego czas z żoną i córką, czytającego lub słuchającego muzyki, gdy nie pracuje.
