Raport podatności WordPressa: maj 2021, część 2

Opublikowany: 2021-05-14

Podatne wtyczki i motywy są głównym powodem ataków na witryny WordPress. Cotygodniowy raport na temat luk w zabezpieczeniach WordPress obsługiwany przez WPScan obejmuje najnowsze wtyczki WordPress, motywy i podstawowe luki w zabezpieczeniach oraz co zrobić, jeśli uruchomisz jedną z wrażliwych wtyczek lub motywów w swojej witrynie.

Każda podatność ma wskaźnik ważności Niski , Średni , Wysoki lub Krytyczny . Odpowiedzialne ujawnianie i zgłaszanie luk w zabezpieczeniach jest integralną częścią zapewniania bezpieczeństwa społeczności WordPressa. Udostępnij ten post swoim znajomym, aby pomóc w rozpowszechnianiu informacji i uczynić WordPress bezpieczniejszym dla wszystkich!

W majowym raporcie, część 2

    Główne luki w WordPressie

    W tym miesiącu nie ujawniono żadnych nowych podstawowych luk WordPressa.

    Luki w zabezpieczeniach wtyczki WordPress

    1. Prosta zmiana języka administratora

    Wtyczka: prosta zmiana języka administratora
    Luka : dowolna zmiana ustawień regionalnych użytkownika
    Łatka w wersji : 2.0.2
    Wynik ciężkości : 4,3 średni

    Luka została załatana, więc powinieneś zaktualizować ją do wersji 2.0.2+.

    2. Wysyłka do Ecourier

    Wtyczka: Wysyłka do eCourier
    Luka : Aktualizacja ustawień wtyczki przez CSRF
    Łatka w wersji : 1.0.2
    Wynik ciężkości : 5.4 Średni

    Luka została załatana, więc powinieneś zaktualizować ją do wersji 1.0.2+.

    3. Śledzenie przesyłek eCourier

    Wtyczka: Parcel Tracker eCourier
    Luka : Aktualizacja ustawień wtyczki przez CSRF
    Łatka w wersji : 1.0.2
    Wynik ciężkości : 5.4 Średni

    Luka została załatana, więc powinieneś zaktualizować ją do wersji 1.0.2+.

    4. Slider produktu PickPlugins dla WooCommerce

    Wtyczka: PickPlugins Product Slider dla WooCommerce
    Luka w zabezpieczeniach : odbite skrypty między witrynami
    Łatka w wersji : 1.13.22
    Wynik ważności : 7,1 wysoki

    Luka została załatana, więc powinieneś zaktualizować ją do wersji 1.13.22+.

    5. Gracz Hana Flv

    Wtyczka: Hana Flv Player
    Luka w zabezpieczeniach : uwierzytelnione przechowywane przechowywane skrypty między witrynami
    Poprawiona w wersji : brak znanej poprawki
    Ocena ważności : 3,8 Niska

    Ta luka NIE została załatana. Odinstaluj i usuń wtyczkę do czasu wydania poprawki.

    6. Łącznik Hotjara

    Wtyczka: Łącznik Hotjar
    Luka w zabezpieczeniach : uwierzytelnione przechowywane przechowywane skrypty między witrynami
    Poprawiona w wersji : Brak znanej poprawki – wtyczka zamknięta
    Ocena ważności : 3,8 Niska

    Ta luka NIE została załatana. Odinstaluj i usuń wtyczkę do czasu wydania poprawki.

    7. GA Google Analytics

    Wtyczka: GA Google Analytics
    Luka w zabezpieczeniach : uwierzytelnione przechowywane przechowywane skrypty między witrynami
    Poprawiona w wersji : brak znanej poprawki
    Wynik ciężkości : 5,9 średni

    Ta luka NIE została załatana. Odinstaluj i usuń wtyczkę do czasu wydania poprawki.

    8. Wybierz pierwszą wtyczkę

    Wtyczka: Najpierw wybierz wtyczkę
    Luka w zabezpieczeniach : nieuwierzytelnione zapisane skrypty między witrynami za pomocą klucza licencyjnego
    Poprawione w wersji : 1.0
    Wynik ważności : 7,2 wysoki

    Luka została załatana, więc powinieneś zaktualizować ją do wersji 1.0+.

    9. Leads-5050 Wglądy odwiedzających

    Wtyczka: Leads-5050 Visitor Insights
    Luka w zabezpieczeniach : nieautoryzowana zmiana licencji
    Łatka w wersji : 1.1.0
    Wynik ważności : 7,1 wysoki

    Luka została załatana, więc powinieneś zaktualizować ją do wersji 1.1.0+.

    10. DSGVO Wszystko w jednym dla WP

    Wtyczka: DSGVO Wszystko w jednym dla WP
    Luka w zabezpieczeniach : nieuwierzytelnione zapisane skrypty między witrynami
    Poprawione w wersji : 4.0
    Wynik ważności : 8,3 wysoki

    Luka została załatana, więc powinieneś zaktualizować ją do wersji 4.0+.

    11. UltimateWoo

    Wtyczka: UltimateWoo
    Luka : wstrzyknięcie obiektu PHP
    Poprawiona w wersji : Brak znanej poprawki – wtyczka zamknięta
    Wynik ciężkości : 5,6 Średni

    Ta luka NIE została załatana. Odinstaluj i usuń wtyczkę do czasu wydania poprawki.

    12. Ostateczny członek

    Wtyczka: Ultimate Member
    Luka w zabezpieczeniach : uwierzytelnione odbijane skrypty między witrynami
    Łatka w wersji : 2.1.20
    Wynik ciężkości : 4,4 średni

    Luka została załatana, więc powinieneś zaktualizować ją do wersji 2.1.20+.

    13. Autooptymalizacja

    Wtyczka: Autooptymalizacja
    Luka w zabezpieczeniach : uwierzytelnione przechowywane przechowywane skrypty między witrynami
    Poprawione w wersji : 2.8.4
    Wynik ważności : 6,6 średni

    Luka została załatana, więc powinieneś zaktualizować ją do wersji 2.8.4+.

    14. Zlick Paywall

    Wtyczka: Zlick Paywall
    Podatność : Obejścia CSRF
    Poprawione w wersji : 2.2.2
    Wynik ważności : 3.1 Niski

    Luka została załatana, więc powinieneś zaktualizować ją do wersji 2.2.2+.

    15. ThemeHigh Lista życzeń i porównanie WooCommerce

    Wtyczka: ThemeHigh Lista życzeń i porównanie WooCommerce
    Luka w zabezpieczeniach : nieautoryzowane połączenie AJAX
    Poprawione w wersji : 1.0.5
    Wynik ważności : 7,2 wysoki

    Luka została załatana, więc powinieneś zaktualizować ją do wersji 1.0.5+.

    16. Proste prezenty

    Wtyczka: Proste prezenty
    Luka w zabezpieczeniach : nieuwierzytelnione odzwierciedlone skrypty między witrynami
    Łatka w wersji : 2.36.2
    Wynik ważności : 7,1 wysoki

    Luka została załatana, więc powinieneś zaktualizować ją do wersji 2.36.2+.

    17. Rezerwacje restauracji ReDi

    Wtyczka: Rezerwacje restauracji ReDi
    Luka w zabezpieczeniach : nieuwierzytelnione zapisane skrypty między witrynami
    Łatka w wersji : 21.0426
    Wynik ważności : 7,1 wysoki

    Luka została załatana, więc powinieneś zaktualizować ją do wersji 21.0426+.

    18. Wszystko w jednym pakiecie SEO

    Wtyczka: Wszystko w jednym pakiecie SEO
    Luka w zabezpieczeniach : zdalne wykonanie kodu
    Łatka w wersji : 4.1.0.2
    Wynik ważności : 6,6 średni

    Luka została załatana, więc powinieneś zaktualizować ją do wersji 4.1.0.2+.

    19. Podnośnik LMS

    Wtyczka: LifterLMS
    Luka w zabezpieczeniach : uwierzytelnione zapisane skrypty między witrynami w Edytuj profil
    Łatka w wersji : 4.21.1
    Wynik ważności : 7,4 wysoki

    Luka w zabezpieczeniach : odbite skrypty między witrynami za pomocą kodu kuponu w kasie
    Łatka w wersji : 4.21.1
    Wynik ciężkości : 6,1 średni

    Luka została załatana, więc powinieneś zaktualizować ją do wersji 4.21.1+.

    Luki w motywie WordPress

    W tym miesiącu nie ujawniono żadnych nowych luk w motywach.

    Uwaga dotycząca odpowiedzialnego ujawniania informacji

    Być może zastanawiasz się, dlaczego luka w zabezpieczeniach zostałaby ujawniona, skoro daje hakerom możliwość ataku. Cóż, bardzo często badacze bezpieczeństwa znajdują i prywatnie zgłaszają tę lukę twórcy oprogramowania, zanim zostanie ona upubliczniona.

    W przypadku odpowiedzialnego ujawnienia wstępny raport badacza jest przekazywany prywatnie twórcom firmy będącej właścicielem oprogramowania, ale za zgodą, że pełne szczegóły zostaną opublikowane po udostępnieniu poprawki. W przypadku znaczących luk w zabezpieczeniach może wystąpić niewielkie opóźnienie w ujawnieniu luki, aby dać większej liczbie osób czas na poprawkę.

    Badacz bezpieczeństwa może wyznaczyć producentowi oprogramowania termin odpowiedzi na zgłoszenie lub dostarczenia poprawki. Jeśli ten termin nie zostanie dotrzymany, badacz może publicznie ujawnić lukę, aby wywrzeć presję na dewelopera, aby wydał łatkę.

    Publiczne ujawnienie luki w zabezpieczeniach i pozorne wprowadzenie luki dnia zerowego – rodzaju luki, która nie ma łaty i jest wykorzystywana na wolności – może wydawać się odwrotne do zamierzonych. Jest to jednak jedyna dźwignia, którą badacz musi wywrzeć na deweloperze, aby załatał tę lukę.

    Jeśli haker odkryje lukę, może po cichu użyć exploita i wyrządzić szkody użytkownikowi końcowemu (to ty), podczas gdy programista pozostaje zadowolony z pozostawienia luki bez łaty. Google Project Zero ma podobne wytyczne, jeśli chodzi o ujawnianie luk w zabezpieczeniach. Publikują pełne szczegóły dotyczące luki po 90 dniach, niezależnie od tego, czy luka została załatana, czy nie.

    Jak chronić swoją witrynę WordPress przed podatnymi wtyczkami i motywami?

    Istnieją trzy świetne sposoby automatycznej ochrony witryn internetowych przed wrażliwymi motywami i wtyczkami:

    1. Włączanie automatycznych aktualizacji wtyczek i motywów
    2. Skaner witryn wtyczki iThemes Security Pro
    3. Zarządzanie wersjami w zabezpieczeniach iThemes

    1. Włącz automatyczne aktualizacje wtyczek i motywów

    Począwszy od WordPress 5.5, możesz włączyć automatyczne aktualizacje wtyczek i motywów. Dlaczego automatyczne aktualizacje miałyby być wprowadzane do rdzenia WordPressa? Przestarzałe wtyczki i motywy nadal są głównym powodem ataków na witryny WordPress. Wydania wersji często zawierają ważne łatki bezpieczeństwa, które usuwają luki w zabezpieczeniach (po prostu sprawdź, ile problemów bezpieczeństwa z motywami i wtyczkami jest ujawnianych z miesiąca na miesiąc w naszym podsumowaniu luk w WordPressie). Dlatego najlepszym rozwiązaniem w zakresie bezpieczeństwa jest zawsze uruchamianie najnowszej wersji dowolnej wtyczki lub motywu, które zainstalowałeś w swojej witrynie.

    Teraz rdzeń WordPressa umożliwia automatyczne ustawianie wtyczek i motywów z poziomu administratora WordPressa > Wtyczki > Zainstalowane wtyczki i wygląd > Motywy. W ten sposób możesz zawsze wiedzieć, że Twoja witryna korzysta z najnowszego dostępnego kodu.

    2. Aktywuj skaner witryny iThemes Security Pro Plugin

    Skaner witryn wtyczki iThemes Security Pro to kolejny sposób na zabezpieczenie i ochronę witryny WordPress przed główną przyczyną wszystkich włamań do oprogramowania: przestarzałymi wtyczkami i motywami ze znanymi lukami. Skaner witryn sprawdza witrynę pod kątem znanych luk w zabezpieczeniach i automatycznie stosuje łatę, jeśli jest dostępna.

    Trzy rodzaje luk w zabezpieczeniach WordPressa sprawdzone przez skaner witryn iThemes Security Pro:

    1. Główne luki w WordPressie
    2. Luki w zabezpieczeniach wtyczek
    3. Luki motywu

    Aby włączyć Skanowanie Witryny w Twojej witrynie, przejdź do ustawień iThemes Security Pro i kliknij przycisk Włącz w module ustawień Skanowania Witryny .

    Aby uruchomić ręczne skanowanie witryny, kliknij przycisk Skanuj teraz na widżecie skanowania witryny znajdującym się po prawej stronie ustawień zabezpieczeń.

    Wyniki skanowania witryny zostaną wyświetlone w widgecie.

    Jeśli Skanowanie Witryny wykryje lukę w zabezpieczeniach, kliknij łącze dotyczące luki, aby wyświetlić stronę szczegółów.

    Na stronie podatności Site Scan zobaczysz, czy jest dostępna poprawka dla tej luki. Jeśli dostępna jest poprawka, możesz kliknąć przycisk Aktualizuj wtyczkę , aby zastosować poprawkę na swojej stronie internetowej.

    Może wystąpić opóźnienie między udostępnieniem poprawki a aktualizacją bazy danych luk w zabezpieczeniach iThemes w celu odzwierciedlenia poprawki. W takim przypadku możesz wyciszyć powiadomienie, aby nie otrzymywać więcej alertów związanych z usterką.

    Ważne: Nie należy wyciszać powiadomienia o luce w zabezpieczeniach, dopóki nie upewnisz się, że aktualna wersja zawiera poprawkę zabezpieczeń lub usterka nie ma wpływu na Twoją witrynę.

    3. Włącz zarządzanie wersjami w iThemes Security Pro

    Funkcja zarządzania wersjami iThemes Security Pro pozwala na nieco większą kontrolę nad automatycznymi aktualizacjami WordPressa, wtyczek i motywów.

    Oto trzy sposoby, w jakie iThemes Security Pro Version Management oferuje większą elastyczność w porównaniu z domyślnymi automatycznymi aktualizacjami WordPress.

    1. Usprawnione zarządzanie wtyczkami i motywami – zarządzaj wszystkimi aktualizacjami wtyczek i motywów z poziomu ustawień zarządzania wersjami.
    2. Dodaj niestandardowe okresy opóźnień dla aktualizacji wtyczek i motywów – automatyczne aktualizacje WordPress oferują tylko opcję natychmiastowego zastosowania aktualizacji. Harmonogram aktualizacji umożliwia utworzenie niestandardowego opóźnienia. Opóźnienie może być dobrą opcją w przypadku wtyczek lub motywów, które zwykle wymagają kolejnych wydań, aby rozwiązać problemy po wydaniu głównym.
    3. Zastosuj tylko aktualizacje, które naprawiają znane luki – stosuj tylko aktualizacje, które naprawiają znane luki. Ta opcja jest idealna, jeśli chcesz ręcznie uruchamiać wszystkie aktualizacje, ale chcesz natychmiast otrzymywać poprawki zabezpieczeń.

    Poza tym zarządzanie wersjami oferuje również opcje utwardzania witryny, gdy używasz przestarzałego oprogramowania i skanujesz w poszukiwaniu starych witryn.

    Aby rozpocząć korzystanie z zarządzania wersjami, włącz moduł na stronie głównej ustawień zabezpieczeń.

    Teraz kliknij przycisk Konfiguruj ustawienia , aby przyjrzeć się bliżej ustawieniom.

    • Aktualizacje WordPress — Automatycznie zainstaluj najnowszą wersję WordPress.
    • Aktualizacje wtyczek — Automatycznie instaluj najnowsze aktualizacje wtyczek. Włączenie tego ustawienia spowoduje wyłączenie funkcji wtyczek automatycznej aktualizacji WordPress, aby zapobiec konfliktom.
    • Aktualizacje motywów — Automatycznie instaluj najnowsze aktualizacje motywów. Włączenie tego ustawienia spowoduje wyłączenie funkcji automatycznej aktualizacji motywu WordPress, aby zapobiec konfliktom.
    • Wzmocnij witrynę, gdy działa przestarzałe oprogramowanie — Automatycznie dodaj dodatkowe zabezpieczenia do witryny, gdy dostępna aktualizacja nie została zainstalowana przez miesiąc.
      • Zmuś wszystkich użytkowników, którzy nie mają włączonej funkcji dwuskładnikowej, do podania kodu logowania wysłanego na ich adres e-mail przed ponownym zalogowaniem.
      • Wyłącz edytor plików WP (który blokuje ludziom edytowanie kodu wtyczki lub motywu).
      • Wyłącz pingbacki XML-RPC i zablokuj wiele prób uwierzytelnienia na żądanie XML-RPC (obie te działania wzmocnią XML-RPC przed atakami bez konieczności całkowitego wyłączenia).
    • Skanuj w poszukiwaniu starych witryn WordPress – Uruchom codzienne skanowanie konta hostingowego w poszukiwaniu starych witryn WordPress, które mogą umożliwić atakującemu złamanie zabezpieczeń serwera. Pojedyncza nieaktualna witryna WordPress z luką może umożliwić atakującym złamanie zabezpieczeń wszystkich innych witryn na tym samym koncie hostingowym.
    • Automatyczna aktualizacja, jeśli naprawi usterkę — ta opcja działa w połączeniu z skanowaniem witryny iThemes Security Pro, aby sprawdzić witrynę pod kątem znanych luk w zabezpieczeniach WordPress, wtyczek i motywów oraz zastosować łatkę, gdy jest dostępna.

    Teraz przyjrzyjmy się bliżej konfigurowaniu aktualizacji wtyczek i motywów. Zanim zaczniemy, chciałem szybko przypomnieć, że włączenie ustawień aktualizacji wtyczki i motywu spowoduje wyłączenie funkcji automatycznej aktualizacji WordPressa, aby zapobiec konfliktom.

    Zarówno ustawienia aktualizacji wtyczki, jak i motywu mają trzy możliwości.

    1. Puste/Brak — pozostawienie pustego ustawienia pozwoli WordPressowi zarządzać aktualizacjami wtyczek i motywów.
    2. Niestandardowe — opcja Niestandardowa umożliwia dokładne dostosowanie aktualizacji do własnych upodobań. Omówimy to za chwilę.
    3. Wszystkie – Wszystkie zaktualizują wszystkie wtyczki lub motywy, gdy tylko aktualizacja będzie dostępna.

    Przyjrzyjmy się teraz bliżej opcji niestandardowej .

    Wybranie opcji Niestandardowe zapewnia trzy różne opcje aktualizacji wtyczek i motywów.

    1. Włącz — wybierz wtyczki, które chcesz zaktualizować natychmiast po nowej wersji.
    2. Wyłącz — użyj tej opcji w przypadku wtyczek, które chcesz aktualizować ręcznie.
    3. Opóźnienie — opcja opóźnienia umożliwia ustawienie liczby dni, o które chcesz opóźnić aktualizację wydania. Może to być dobra opcja dla programistów, którzy zwykle potrzebują kolejnych wersji, aby naprawić problemy po wydaniu głównym.

    Zdobądź iThemes Security Pro już dziś

    iThemes Security Pro, nasza wtyczka bezpieczeństwa WordPress, oferuje ponad 50 sposobów zabezpieczenia i ochrony Twojej witryny przed typowymi lukami w zabezpieczeniach WordPress. Dzięki WordPress, uwierzytelnianiu dwuskładnikowemu, ochronie przed brutalną siłą, silnemu egzekwowaniu haseł i nie tylko, możesz dodać dodatkową warstwę bezpieczeństwa do swojej witryny.

    Uzyskaj iThemes Security Pro