Raport podatności WordPressa: maj 2021, część 2
Opublikowany: 2021-05-14Podatne wtyczki i motywy są głównym powodem ataków na witryny WordPress. Cotygodniowy raport na temat luk w zabezpieczeniach WordPress obsługiwany przez WPScan obejmuje najnowsze wtyczki WordPress, motywy i podstawowe luki w zabezpieczeniach oraz co zrobić, jeśli uruchomisz jedną z wrażliwych wtyczek lub motywów w swojej witrynie.
Każda podatność ma wskaźnik ważności Niski , Średni , Wysoki lub Krytyczny . Odpowiedzialne ujawnianie i zgłaszanie luk w zabezpieczeniach jest integralną częścią zapewniania bezpieczeństwa społeczności WordPressa. Udostępnij ten post swoim znajomym, aby pomóc w rozpowszechnianiu informacji i uczynić WordPress bezpieczniejszym dla wszystkich!
Główne luki w WordPressie
Luki w zabezpieczeniach wtyczki WordPress
1. Prosta zmiana języka administratora
Wtyczka: prosta zmiana języka administratora
Luka : dowolna zmiana ustawień regionalnych użytkownika
Łatka w wersji : 2.0.2
Wynik ciężkości : 4,3 średni
2. Wysyłka do Ecourier
Wtyczka: Wysyłka do eCourier
Luka : Aktualizacja ustawień wtyczki przez CSRF
Łatka w wersji : 1.0.2
Wynik ciężkości : 5.4 Średni
3. Śledzenie przesyłek eCourier
Wtyczka: Parcel Tracker eCourier
Luka : Aktualizacja ustawień wtyczki przez CSRF
Łatka w wersji : 1.0.2
Wynik ciężkości : 5.4 Średni
4. Slider produktu PickPlugins dla WooCommerce
Wtyczka: PickPlugins Product Slider dla WooCommerce
Luka w zabezpieczeniach : odbite skrypty między witrynami
Łatka w wersji : 1.13.22
Wynik ważności : 7,1 wysoki
5. Gracz Hana Flv
Wtyczka: Hana Flv Player
Luka w zabezpieczeniach : uwierzytelnione przechowywane przechowywane skrypty między witrynami
Poprawiona w wersji : brak znanej poprawki
Ocena ważności : 3,8 Niska
6. Łącznik Hotjara
Wtyczka: Łącznik Hotjar
Luka w zabezpieczeniach : uwierzytelnione przechowywane przechowywane skrypty między witrynami
Poprawiona w wersji : Brak znanej poprawki – wtyczka zamknięta
Ocena ważności : 3,8 Niska
7. GA Google Analytics
Wtyczka: GA Google Analytics
Luka w zabezpieczeniach : uwierzytelnione przechowywane przechowywane skrypty między witrynami
Poprawiona w wersji : brak znanej poprawki
Wynik ciężkości : 5,9 średni
8. Wybierz pierwszą wtyczkę
Wtyczka: Najpierw wybierz wtyczkę
Luka w zabezpieczeniach : nieuwierzytelnione zapisane skrypty między witrynami za pomocą klucza licencyjnego
Poprawione w wersji : 1.0
Wynik ważności : 7,2 wysoki
9. Leads-5050 Wglądy odwiedzających
Wtyczka: Leads-5050 Visitor Insights
Luka w zabezpieczeniach : nieautoryzowana zmiana licencji
Łatka w wersji : 1.1.0
Wynik ważności : 7,1 wysoki
10. DSGVO Wszystko w jednym dla WP
Wtyczka: DSGVO Wszystko w jednym dla WP
Luka w zabezpieczeniach : nieuwierzytelnione zapisane skrypty między witrynami
Poprawione w wersji : 4.0
Wynik ważności : 8,3 wysoki
11. UltimateWoo
Wtyczka: UltimateWoo
Luka : wstrzyknięcie obiektu PHP
Poprawiona w wersji : Brak znanej poprawki – wtyczka zamknięta
Wynik ciężkości : 5,6 Średni
12. Ostateczny członek
Wtyczka: Ultimate Member
Luka w zabezpieczeniach : uwierzytelnione odbijane skrypty między witrynami
Łatka w wersji : 2.1.20
Wynik ciężkości : 4,4 średni
13. Autooptymalizacja
Wtyczka: Autooptymalizacja
Luka w zabezpieczeniach : uwierzytelnione przechowywane przechowywane skrypty między witrynami
Poprawione w wersji : 2.8.4
Wynik ważności : 6,6 średni
14. Zlick Paywall
Wtyczka: Zlick Paywall
Podatność : Obejścia CSRF
Poprawione w wersji : 2.2.2
Wynik ważności : 3.1 Niski
15. ThemeHigh Lista życzeń i porównanie WooCommerce
Wtyczka: ThemeHigh Lista życzeń i porównanie WooCommerce
Luka w zabezpieczeniach : nieautoryzowane połączenie AJAX
Poprawione w wersji : 1.0.5
Wynik ważności : 7,2 wysoki
16. Proste prezenty
Wtyczka: Proste prezenty
Luka w zabezpieczeniach : nieuwierzytelnione odzwierciedlone skrypty między witrynami
Łatka w wersji : 2.36.2
Wynik ważności : 7,1 wysoki
17. Rezerwacje restauracji ReDi
Wtyczka: Rezerwacje restauracji ReDi
Luka w zabezpieczeniach : nieuwierzytelnione zapisane skrypty między witrynami
Łatka w wersji : 21.0426
Wynik ważności : 7,1 wysoki
18. Wszystko w jednym pakiecie SEO
Wtyczka: Wszystko w jednym pakiecie SEO
Luka w zabezpieczeniach : zdalne wykonanie kodu
Łatka w wersji : 4.1.0.2
Wynik ważności : 6,6 średni
19. Podnośnik LMS
Wtyczka: LifterLMS
Luka w zabezpieczeniach : uwierzytelnione zapisane skrypty między witrynami w Edytuj profil
Łatka w wersji : 4.21.1
Wynik ważności : 7,4 wysoki
Luka w zabezpieczeniach : odbite skrypty między witrynami za pomocą kodu kuponu w kasie
Łatka w wersji : 4.21.1
Wynik ciężkości : 6,1 średni
Luki w motywie WordPress
Uwaga dotycząca odpowiedzialnego ujawniania informacji
Być może zastanawiasz się, dlaczego luka w zabezpieczeniach zostałaby ujawniona, skoro daje hakerom możliwość ataku. Cóż, bardzo często badacze bezpieczeństwa znajdują i prywatnie zgłaszają tę lukę twórcy oprogramowania, zanim zostanie ona upubliczniona.
W przypadku odpowiedzialnego ujawnienia wstępny raport badacza jest przekazywany prywatnie twórcom firmy będącej właścicielem oprogramowania, ale za zgodą, że pełne szczegóły zostaną opublikowane po udostępnieniu poprawki. W przypadku znaczących luk w zabezpieczeniach może wystąpić niewielkie opóźnienie w ujawnieniu luki, aby dać większej liczbie osób czas na poprawkę.
Badacz bezpieczeństwa może wyznaczyć producentowi oprogramowania termin odpowiedzi na zgłoszenie lub dostarczenia poprawki. Jeśli ten termin nie zostanie dotrzymany, badacz może publicznie ujawnić lukę, aby wywrzeć presję na dewelopera, aby wydał łatkę.
Publiczne ujawnienie luki w zabezpieczeniach i pozorne wprowadzenie luki dnia zerowego – rodzaju luki, która nie ma łaty i jest wykorzystywana na wolności – może wydawać się odwrotne do zamierzonych. Jest to jednak jedyna dźwignia, którą badacz musi wywrzeć na deweloperze, aby załatał tę lukę.
Jeśli haker odkryje lukę, może po cichu użyć exploita i wyrządzić szkody użytkownikowi końcowemu (to ty), podczas gdy programista pozostaje zadowolony z pozostawienia luki bez łaty. Google Project Zero ma podobne wytyczne, jeśli chodzi o ujawnianie luk w zabezpieczeniach. Publikują pełne szczegóły dotyczące luki po 90 dniach, niezależnie od tego, czy luka została załatana, czy nie.
Jak chronić swoją witrynę WordPress przed podatnymi wtyczkami i motywami?
Istnieją trzy świetne sposoby automatycznej ochrony witryn internetowych przed wrażliwymi motywami i wtyczkami:
- Włączanie automatycznych aktualizacji wtyczek i motywów
- Skaner witryn wtyczki iThemes Security Pro
- Zarządzanie wersjami w zabezpieczeniach iThemes
1. Włącz automatyczne aktualizacje wtyczek i motywów
Począwszy od WordPress 5.5, możesz włączyć automatyczne aktualizacje wtyczek i motywów. Dlaczego automatyczne aktualizacje miałyby być wprowadzane do rdzenia WordPressa? Przestarzałe wtyczki i motywy nadal są głównym powodem ataków na witryny WordPress. Wydania wersji często zawierają ważne łatki bezpieczeństwa, które usuwają luki w zabezpieczeniach (po prostu sprawdź, ile problemów bezpieczeństwa z motywami i wtyczkami jest ujawnianych z miesiąca na miesiąc w naszym podsumowaniu luk w WordPressie). Dlatego najlepszym rozwiązaniem w zakresie bezpieczeństwa jest zawsze uruchamianie najnowszej wersji dowolnej wtyczki lub motywu, które zainstalowałeś w swojej witrynie.
Teraz rdzeń WordPressa umożliwia automatyczne ustawianie wtyczek i motywów z poziomu administratora WordPressa > Wtyczki > Zainstalowane wtyczki i wygląd > Motywy. W ten sposób możesz zawsze wiedzieć, że Twoja witryna korzysta z najnowszego dostępnego kodu.
2. Aktywuj skaner witryny iThemes Security Pro Plugin
Skaner witryn wtyczki iThemes Security Pro to kolejny sposób na zabezpieczenie i ochronę witryny WordPress przed główną przyczyną wszystkich włamań do oprogramowania: przestarzałymi wtyczkami i motywami ze znanymi lukami. Skaner witryn sprawdza witrynę pod kątem znanych luk w zabezpieczeniach i automatycznie stosuje łatę, jeśli jest dostępna.
Trzy rodzaje luk w zabezpieczeniach WordPressa sprawdzone przez skaner witryn iThemes Security Pro:
- Główne luki w WordPressie
- Luki w zabezpieczeniach wtyczek
- Luki motywu
Aby włączyć Skanowanie Witryny w Twojej witrynie, przejdź do ustawień iThemes Security Pro i kliknij przycisk Włącz w module ustawień Skanowania Witryny .
Aby uruchomić ręczne skanowanie witryny, kliknij przycisk Skanuj teraz na widżecie skanowania witryny znajdującym się po prawej stronie ustawień zabezpieczeń.
Wyniki skanowania witryny zostaną wyświetlone w widgecie.
Jeśli Skanowanie Witryny wykryje lukę w zabezpieczeniach, kliknij łącze dotyczące luki, aby wyświetlić stronę szczegółów.
Na stronie podatności Site Scan zobaczysz, czy jest dostępna poprawka dla tej luki. Jeśli dostępna jest poprawka, możesz kliknąć przycisk Aktualizuj wtyczkę , aby zastosować poprawkę na swojej stronie internetowej.
Może wystąpić opóźnienie między udostępnieniem poprawki a aktualizacją bazy danych luk w zabezpieczeniach iThemes w celu odzwierciedlenia poprawki. W takim przypadku możesz wyciszyć powiadomienie, aby nie otrzymywać więcej alertów związanych z usterką.
3. Włącz zarządzanie wersjami w iThemes Security Pro
Funkcja zarządzania wersjami iThemes Security Pro pozwala na nieco większą kontrolę nad automatycznymi aktualizacjami WordPressa, wtyczek i motywów.
Oto trzy sposoby, w jakie iThemes Security Pro Version Management oferuje większą elastyczność w porównaniu z domyślnymi automatycznymi aktualizacjami WordPress.
- Usprawnione zarządzanie wtyczkami i motywami – zarządzaj wszystkimi aktualizacjami wtyczek i motywów z poziomu ustawień zarządzania wersjami.
- Dodaj niestandardowe okresy opóźnień dla aktualizacji wtyczek i motywów – automatyczne aktualizacje WordPress oferują tylko opcję natychmiastowego zastosowania aktualizacji. Harmonogram aktualizacji umożliwia utworzenie niestandardowego opóźnienia. Opóźnienie może być dobrą opcją w przypadku wtyczek lub motywów, które zwykle wymagają kolejnych wydań, aby rozwiązać problemy po wydaniu głównym.
- Zastosuj tylko aktualizacje, które naprawiają znane luki – stosuj tylko aktualizacje, które naprawiają znane luki. Ta opcja jest idealna, jeśli chcesz ręcznie uruchamiać wszystkie aktualizacje, ale chcesz natychmiast otrzymywać poprawki zabezpieczeń.
Poza tym zarządzanie wersjami oferuje również opcje utwardzania witryny, gdy używasz przestarzałego oprogramowania i skanujesz w poszukiwaniu starych witryn.
Aby rozpocząć korzystanie z zarządzania wersjami, włącz moduł na stronie głównej ustawień zabezpieczeń.
Teraz kliknij przycisk Konfiguruj ustawienia , aby przyjrzeć się bliżej ustawieniom.
- Aktualizacje WordPress — Automatycznie zainstaluj najnowszą wersję WordPress.
- Aktualizacje wtyczek — Automatycznie instaluj najnowsze aktualizacje wtyczek. Włączenie tego ustawienia spowoduje wyłączenie funkcji wtyczek automatycznej aktualizacji WordPress, aby zapobiec konfliktom.
- Aktualizacje motywów — Automatycznie instaluj najnowsze aktualizacje motywów. Włączenie tego ustawienia spowoduje wyłączenie funkcji automatycznej aktualizacji motywu WordPress, aby zapobiec konfliktom.
- Wzmocnij witrynę, gdy działa przestarzałe oprogramowanie — Automatycznie dodaj dodatkowe zabezpieczenia do witryny, gdy dostępna aktualizacja nie została zainstalowana przez miesiąc.
- Zmuś wszystkich użytkowników, którzy nie mają włączonej funkcji dwuskładnikowej, do podania kodu logowania wysłanego na ich adres e-mail przed ponownym zalogowaniem.
- Wyłącz edytor plików WP (który blokuje ludziom edytowanie kodu wtyczki lub motywu).
- Wyłącz pingbacki XML-RPC i zablokuj wiele prób uwierzytelnienia na żądanie XML-RPC (obie te działania wzmocnią XML-RPC przed atakami bez konieczności całkowitego wyłączenia).
- Skanuj w poszukiwaniu starych witryn WordPress – Uruchom codzienne skanowanie konta hostingowego w poszukiwaniu starych witryn WordPress, które mogą umożliwić atakującemu złamanie zabezpieczeń serwera. Pojedyncza nieaktualna witryna WordPress z luką może umożliwić atakującym złamanie zabezpieczeń wszystkich innych witryn na tym samym koncie hostingowym.
- Automatyczna aktualizacja, jeśli naprawi usterkę — ta opcja działa w połączeniu z skanowaniem witryny iThemes Security Pro, aby sprawdzić witrynę pod kątem znanych luk w zabezpieczeniach WordPress, wtyczek i motywów oraz zastosować łatkę, gdy jest dostępna.
Teraz przyjrzyjmy się bliżej konfigurowaniu aktualizacji wtyczek i motywów. Zanim zaczniemy, chciałem szybko przypomnieć, że włączenie ustawień aktualizacji wtyczki i motywu spowoduje wyłączenie funkcji automatycznej aktualizacji WordPressa, aby zapobiec konfliktom.
Zarówno ustawienia aktualizacji wtyczki, jak i motywu mają trzy możliwości.
- Puste/Brak — pozostawienie pustego ustawienia pozwoli WordPressowi zarządzać aktualizacjami wtyczek i motywów.
- Niestandardowe — opcja Niestandardowa umożliwia dokładne dostosowanie aktualizacji do własnych upodobań. Omówimy to za chwilę.
- Wszystkie – Wszystkie zaktualizują wszystkie wtyczki lub motywy, gdy tylko aktualizacja będzie dostępna.
Przyjrzyjmy się teraz bliżej opcji niestandardowej .
Wybranie opcji Niestandardowe zapewnia trzy różne opcje aktualizacji wtyczek i motywów.
- Włącz — wybierz wtyczki, które chcesz zaktualizować natychmiast po nowej wersji.
- Wyłącz — użyj tej opcji w przypadku wtyczek, które chcesz aktualizować ręcznie.
- Opóźnienie — opcja opóźnienia umożliwia ustawienie liczby dni, o które chcesz opóźnić aktualizację wydania. Może to być dobra opcja dla programistów, którzy zwykle potrzebują kolejnych wersji, aby naprawić problemy po wydaniu głównym.
Zdobądź iThemes Security Pro już dziś
iThemes Security Pro, nasza wtyczka bezpieczeństwa WordPress, oferuje ponad 50 sposobów zabezpieczenia i ochrony Twojej witryny przed typowymi lukami w zabezpieczeniach WordPress. Dzięki WordPress, uwierzytelnianiu dwuskładnikowemu, ochronie przed brutalną siłą, silnemu egzekwowaniu haseł i nie tylko, możesz dodać dodatkową warstwę bezpieczeństwa do swojej witryny.
Uzyskaj iThemes Security Pro
Co tydzień Michael opracowuje raport na temat luk w zabezpieczeniach WordPressa, aby pomóc chronić Twoje witryny. Jako Product Manager w iThemes pomaga nam w dalszym ulepszaniu linii produktów iThemes. Jest wielkim kujonem i uwielbia uczyć się wszystkich rzeczy technicznych, starych i nowych. Możesz znaleźć Michaela spędzającego czas z żoną i córką, czytającego lub słuchającego muzyki, gdy nie pracuje.
