Raport podatności WordPress: maj 2021, część 1

Opublikowany: 2021-05-05

Podatne wtyczki i motywy są głównym powodem ataków na witryny WordPress. Ten raport obejmuje najnowsze wtyczki WordPress, motywy i podstawowe luki w zabezpieczeniach oraz co zrobić, jeśli uruchomisz jedną z luk w zabezpieczeniach wtyczek lub motywów w swojej witrynie.

Każda podatność będzie miała wskaźnik ważności Niski , Średni , Wysoki lub Krytyczny . Odpowiedzialne ujawnianie i zgłaszanie luk w zabezpieczeniach jest integralną częścią zapewniania bezpieczeństwa społeczności WordPressa. Udostępnij ten post swoim znajomym, aby pomóc w rozpowszechnianiu informacji i uczynić WordPress bezpieczniejszym dla wszystkich.

W majowym raporcie, część 1

    Główne luki w WordPressie

    Jak dotąd w maju 2021 r. nie ujawniono żadnych nowych luk w zabezpieczeniach WordPressa.

    WordPress 5.7.1 został wydany 15 kwietnia 2021 roku. Ta wersja bezpieczeństwa i konserwacji zawiera 26 poprawek błędów oprócz dwóch poprawek bezpieczeństwa. Ponieważ jest to wersja bezpieczeństwa rdzenia WordPress, zaleca się natychmiastową aktualizację witryn.

    Luki w zabezpieczeniach wtyczki WordPress

    1. AcyMailing

    Luka : otwarte przekierowanie
    Łatka w wersji : 7.5.0
    Dotkliwość : średnia

    Luka została załatana, więc powinieneś zaktualizować ją do wersji 7.5.0+.

    2. Daj WP

    Luka w zabezpieczeniach : uwierzytelnione przechowywane przechowywane skrypty między witrynami
    Łatka w wersji : 2.10.4
    Dotkliwość : średnia

    Luka została załatana, więc powinieneś zaktualizować ją do wersji 2.10.4+.

    3. Menedżer pobierania

    Logo menedżera pobierania WordPress

    Luka w zabezpieczeniach : zmiana ustawień wtyczki przez CSRF
    Łatka w wersji : 3.1.22
    Dotkliwość : średnia

    Luka w zabezpieczeniach : nieautoryzowane użycie menedżera zasobów
    Łatka w wersji : 3.1.23
    Dotkliwość : Wysoka

    Luka w zabezpieczeniach : uwierzytelnione przesyłanie plików PHP4 do RCE
    Łatka w wersji : 3.1.19
    Dotkliwość : krytyczna

    Luka została załatana, więc powinieneś zaktualizować ją do wersji 3.1.23+.

    4. Ochrona przed spamem, AntiSpam, FireWall firmy CleanTalk

    Luka w zabezpieczeniach : nieuwierzytelniony, ślepy wstrzyknięcie SQL
    Łatka w wersji : 5.153.4
    Dotkliwość : Wysoka

    Luka została załatana, więc powinieneś zaktualizować ją do wersji 5.153.4+.

    5. Recenzje klientów WP

    Luka w zabezpieczeniach : uwierzytelnione przechowywane przechowywane skrypty między witrynami
    Poprawione w wersji : 3.5.6
    Dotkliwość : średnia

    Luka została załatana, więc powinieneś zaktualizować ją do wersji 3.5.6+.

    Luki w motywie WordPress

    1. Goto

    Luka w zabezpieczeniach : nieuwierzytelniony, ślepy wstrzyknięcie SQL
    Łatka w wersji : 2.1
    Dotkliwość : krytyczna

    Luka w zabezpieczeniach : odbite skrypty między witrynami
    Łatka w wersji : 2.1
    Dotkliwość : Wysoka

    Luka została załatana, więc powinieneś zaktualizować ją do wersji 2.1+.

    Uwaga dotycząca odpowiedzialnego ujawniania informacji

    Być może zastanawiasz się, dlaczego luka w zabezpieczeniach zostałaby ujawniona, skoro daje hakerom możliwość ataku. Cóż, bardzo często badacz bezpieczeństwa znajduje i prywatnie zgłasza tę lukę twórcy oprogramowania.

    W przypadku odpowiedzialnego ujawnienia wstępny raport badacza jest przekazywany prywatnie twórcom firmy będącej właścicielem oprogramowania, ale za zgodą, że pełne szczegóły zostaną opublikowane po udostępnieniu poprawki. W przypadku znaczących luk w zabezpieczeniach może wystąpić niewielkie opóźnienie w ujawnieniu luki, aby dać większej liczbie osób czas na poprawkę.

    Badacz bezpieczeństwa może wyznaczyć producentowi oprogramowania termin odpowiedzi na zgłoszenie lub dostarczenia poprawki. Jeśli ten termin nie zostanie dotrzymany, badacz może publicznie ujawnić lukę, aby wywrzeć presję na dewelopera, aby wydał łatkę.

    Publiczne ujawnienie luki w zabezpieczeniach i pozorne wprowadzenie luki dnia zerowego – rodzaju luki, która nie ma łaty i jest wykorzystywana na wolności – może wydawać się odwrotne do zamierzonych. Jest to jednak jedyna dźwignia, którą badacz musi wywrzeć na deweloperze, aby załatał tę lukę.

    Jeśli haker odkryje lukę, może po cichu użyć exploita i wyrządzić szkody użytkownikowi końcowemu (to ty), podczas gdy programista pozostaje zadowolony z pozostawienia luki bez łaty. Google Project Zero ma podobne wytyczne, jeśli chodzi o ujawnianie luk w zabezpieczeniach. Publikują pełne szczegóły dotyczące luki po 90 dniach, niezależnie od tego, czy luka została załatana, czy nie.

    Jak chronić swoją witrynę WordPress przed podatnymi wtyczkami i motywami?

    Skaner witryn wtyczki iThemes Security Pro to kolejny sposób na zabezpieczenie i ochronę witryny WordPress przed główną przyczyną wszystkich włamań do oprogramowania: przestarzałymi wtyczkami i motywami ze znanymi lukami. Skaner witryn sprawdza witrynę pod kątem znanych luk w zabezpieczeniach i automatycznie stosuje łatę, jeśli jest dostępna.

    Sprawdzono 3 rodzaje luk w WordPressie

    1. Luki w WordPressie
    2. Luki w zabezpieczeniach wtyczek
    3. Luki motywu

    Aby włączyć Skanowanie Witryny w nowych instalacjach, przejdź do ustawień iThemes Security Pro i kliknij przycisk Włącz w module ustawień Skanowania Witryny .

    Aby uruchomić ręczne skanowanie witryny, kliknij przycisk Skanuj teraz na widżecie skanowania witryny znajdującym się po prawej stronie ustawień zabezpieczeń.

    Wyniki skanowania witryny zostaną wyświetlone w widgecie.

    Jeśli Skanowanie Witryny wykryje lukę w zabezpieczeniach, kliknij łącze dotyczące luki, aby wyświetlić stronę szczegółów.

    Na stronie podatności Site Scan zobaczysz, czy jest dostępna poprawka dla tej luki. Jeśli dostępna jest poprawka, możesz kliknąć przycisk Aktualizuj wtyczkę , aby zastosować poprawkę na swojej stronie internetowej.

    Może wystąpić opóźnienie między udostępnieniem poprawki a aktualizacją bazy danych luk w zabezpieczeniach iThemes w celu odzwierciedlenia poprawki. W takim przypadku możesz wyciszyć powiadomienie, aby nie otrzymywać więcej alertów związanych z usterką.

    Ważne: Nie należy wyciszać powiadomienia o luce w zabezpieczeniach, dopóki nie upewnisz się, że aktualna wersja zawiera poprawkę zabezpieczeń lub usterka nie ma wpływu na Twoją witrynę.

    iThemes Security Pro, nasza wtyczka bezpieczeństwa WordPress, oferuje ponad 50 sposobów zabezpieczenia i ochrony Twojej witryny przed typowymi lukami w zabezpieczeniach WordPress. Dzięki WordPress, uwierzytelnianiu dwuskładnikowemu, ochronie przed brutalną siłą, silnemu egzekwowaniu haseł i nie tylko, możesz dodać dodatkową warstwę bezpieczeństwa do swojej witryny.

    Uzyskaj iThemes Security Pro

    Raport podatności WordPress