Raport podatności WordPressa: wrzesień 2021, część 5
Opublikowany: 2021-09-29Podatne wtyczki i motywy są głównym powodem ataków na witryny WordPress. Cotygodniowy raport na temat luk w zabezpieczeniach WordPress obsługiwany przez WPScan obejmuje najnowsze wtyczki WordPress, motywy i podstawowe luki w zabezpieczeniach oraz co zrobić, jeśli uruchomisz jedną z wrażliwych wtyczek lub motywów w swojej witrynie.
Każda podatność będzie miała wskaźnik ważności Niski , Średni , Wysoki lub Krytyczny . Odpowiedzialne ujawnianie i zgłaszanie luk w zabezpieczeniach jest integralną częścią zapewniania bezpieczeństwa społeczności WordPressa.
Jako jeden z największych dotychczasowych raportów o lukach w zabezpieczeniach WordPress, udostępnij ten post znajomym, aby pomóc w rozpowszechnianiu informacji i uczynić WordPress bezpieczniejszym dla wszystkich.
Główne luki w WordPressie
Ujawniono i naprawiono kilka podstawowych problemów związanych z bezpieczeństwem WordPressa. WordPress 5.8.1 został wydany jako wersja zabezpieczająca i konserwacyjna. W ramach najlepszej praktyki zawsze używaj najnowszej wersji rdzenia WordPressa!
Luki w zabezpieczeniach wtyczki WordPress
W tej sekcji ujawniono najnowsze luki w zabezpieczeniach wtyczki WordPress. Każda lista wtyczek zawiera rodzaj luki, numer wersji, jeśli została ona załatana, oraz ocenę ważności.
1. Komentarze – wpDiscuz
Wtyczka: Komentarze – wpDiscuz
Luka w zabezpieczeniach : Admin+ Stored Cross-Site Scripting
Łatka w wersji : 7.3.2
Ocena ważności : Niska
2. Generator stron
Wtyczka: Generator stron
Luka w zabezpieczeniach : odbite skrypty między witrynami
Poprawione w wersji : 1.5.9
Wynik ważności : wysoki
3. WordPress do Hootsuite
Wtyczka: WordPress do Hootsuite
Luka w zabezpieczeniach : odbite skrypty między witrynami
Łatka w wersji : 1.3.9
Wynik ważności : wysoki
4. WordPress do buforowania
Wtyczka: WordPress do bufora
Luka w zabezpieczeniach : odbite skrypty między witrynami
Łatka w wersji : 3.7.5
Wynik ważności : wysoki
5. Blok przeglądarki plików PDF Gutenberg
Wtyczka: blok przeglądarki plików PDF Gutenberg
Luka w zabezpieczeniach : Przechowywane skrypty między witrynami Contributor+
Łatka w wersji : 1.0.1
Wynik ciężkości : średni
6. Dodatki do produktów YITH WooCommerce
Wtyczka: Dodatki do produktów YITH WooCommerce
Luka w zabezpieczeniach : uwierzytelnione włączenie plików lokalnych
Łatka w wersji : 2.1.0
Wynik ciężkości : średni
Wtyczka: Dodatki do produktów YITH WooCommerce
Luka w zabezpieczeniach : odbite skrypty między witrynami
Łatka w wersji : 2.1.0
Wynik ważności : wysoki
7. Do góry
Wtyczka: Do góry
Luka w zabezpieczeniach : nieautoryzowana zmiana ustawień wtyczki
Łatka w wersji : 2.3
Wynik ciężkości : średni
7. Ulepszenie nagłówka
Wtyczka: Ulepszenie nagłówka
Luka w zabezpieczeniach : nieautoryzowana zmiana ustawień wtyczki
Poprawione w wersji : 1,5
Wynik ciężkości : średni
8. Wygeneruj motyw potomny
Wtyczka: Generuj motyw potomny
Luka w zabezpieczeniach : nieautoryzowana zmiana ustawień wtyczki
Poprawione w wersji : 1.6
Wynik ciężkości : średni
9. Podstawowe typy treści
Wtyczka: podstawowe typy treści
Luka w zabezpieczeniach : nieautoryzowana zmiana ustawień wtyczki
Poprawione w wersji : 1.9
Wynik ciężkości : średni
9. Złap narzędzia internetowe
Wtyczka: przechwytywanie narzędzi internetowych
Luka w zabezpieczeniach : nieautoryzowana zmiana ustawień wtyczki
Poprawione w wersji : 2.7
Wynik ciężkości : średni
10. Niezbędne widżety
Wtyczka: Menedżer licencji oprogramowania
Luka w zabezpieczeniach : nieautoryzowana zmiana ustawień wtyczki
Poprawione w wersji : 1.9
Wynik ciężkości : średni
11. Złap w budowie
Wtyczka: Złap w budowie
Luka w zabezpieczeniach : nieautoryzowana zmiana ustawień wtyczki
Poprawione w wersji : 1.4
Wynik ciężkości : średni
12. Importuj demo motywów
Wtyczka: Importuj demo motywów
Luka w zabezpieczeniach : nieautoryzowana zmiana ustawień wtyczki
Poprawione w wersji : 1.6
Wynik ciężkości : średni
13. Złap lepkie menu
Wtyczka: Złap przyklejone menu
Luka w zabezpieczeniach : nieautoryzowana zmiana ustawień wtyczki
Łatka w wersji : 1.7
Wynik ciężkości : średni
14. Złap pasek postępu przewijania
Wtyczka: Pasek postępu złapania przewijania
Luka w zabezpieczeniach : nieautoryzowana zmiana ustawień wtyczki
Poprawione w wersji : 1.6
Wynik ciężkości : średni
15. Galeria społecznościowa i widżet
Wtyczka: Galeria społecznościowa i widżet
Luka w zabezpieczeniach : nieautoryzowana zmiana ustawień wtyczki
Łatka w wersji : 2.3
Wynik ciężkości : średni
16. Złap nieskończony zwój
Wtyczka: Złap nieskończone przewijanie
Luka w zabezpieczeniach : nieautoryzowana zmiana ustawień wtyczki
Poprawione w wersji : 1.9
Wynik ciężkości : średni
17. Złap import eksport
Wtyczka: przechwytywanie importu eksportu
Luka w zabezpieczeniach : nieautoryzowana zmiana ustawień wtyczki
Poprawione w wersji : 1.9
Wynik ciężkości : średni
18. Galeria złapania
Wtyczka: Złap Galeria
Luka w zabezpieczeniach : nieautoryzowana zmiana ustawień wtyczki
Łatka w wersji : 1.7
Wynik ciężkości : średni
19. Złap zduplikowany przełącznik
Wtyczka: Przechwyć przełącznik duplikatów
Luka w zabezpieczeniach : nieautoryzowana zmiana ustawień wtyczki
Poprawione w wersji : 1.6
Wynik ciężkości : średni
20. Złap bułkę tartą
Wtyczka: Złap bułkę tartą
Luka w zabezpieczeniach : nieautoryzowana zmiana ustawień wtyczki
Łatka w wersji : 1.7
Wynik ciężkości : średni
21. Złap identyfikatory
Wtyczka: Złap identyfikatory
Luka w zabezpieczeniach : nieautoryzowana zmiana ustawień wtyczki
Poprawione w wersji : 2.4
Wynik ciężkości : średni
22. Nauczyciel LMS
Wtyczka: Tutor LMS
Luka w zabezpieczeniach : wielu administratorów + przechowywane skrypty między witrynami
Łatka w wersji : 1.9.9
Ocena ważności : Niska
23. WP Import Export Lite
Wtyczka: WP Import Export Lite
Luka w zabezpieczeniach : aktualizacja rozszerzeń subskrybenta+
Łatka w wersji : 3.9.5
Wynik ciężkości : średni
Wtyczka: WP Import Export Lite
Luka w zabezpieczeniach : Subskrybent + arbitralna aktualizacja opcji bloga
Łatka w wersji : 3.9.5
Wynik ciężkości : średni
24. Jeden awatar użytkownika
Wtyczka: jeden awatar użytkownika
Luka w zabezpieczeniach : Przechowywane skrypty między witrynami Contributor+
Łatka w wersji : 2.3.7
Wynik ciężkości : średni
Wtyczka: jeden awatar użytkownika
Luka w zabezpieczeniach : aktualizacja awatara przez CSRF
Łatka w wersji : 2.3.7
Wynik ciężkości : średni
25. Przewiń baner
Wtyczka: Scroll Baner
Podatność : CSRF do RCE
Poprawiona w wersji : brak znanej poprawki
Ocena ważności : krytyczna
26. Bilet WP
Wtyczka: Bilet WP
Luka w zabezpieczeniach : Admin+ Stored Cross-Site Scripting
Łatka w wersji : 5.10.4
Ocena ważności : Niska
27. GamePress
Wtyczka: GamePress
Luka w zabezpieczeniach : odbite skrypty między witrynami
Poprawiona w wersji : brak znanej poprawki
Wynik ważności : wysoki
28. Nagroda Wechata
Wtyczka: Nagroda Wechat
Luka : CSRF na przechowywane skrypty między witrynami
Poprawiona w wersji : brak znanej poprawki
Wynik ważności : wysoki
29. Towarzyski
Wtyczka: Towarzyski
Luka w zabezpieczeniach : Admin+ Stored Cross-Site Scripting
Poprawiona w wersji : brak znanej poprawki
Ocena ważności : Niska
30. BetterDocs
Wtyczka: BetterDocs
Luka w zabezpieczeniach : odbite skrypty między witrynami
Łatka w wersji : 1.9.2
Wynik ważności : wysoki
31. Wiele dodatków WooCommerce – wiele wtyczek
Wtyczka: Filtr produktów dla WooCommerce
Luka w zabezpieczeniach : arbitralne opcje bloga o niskim poziomie prywatności Aktualizuj/Dostęp/Usuwaj i Ustawienia wtyczki Aktualizuj/Eksportuj/Importuj
Łatka w wersji : 8.2.0
Wynik ważności : wysoki
Wtyczka: ulepszone atrybuty-zmiennej-produktu
Luka w zabezpieczeniach : arbitralne opcje bloga o niskim poziomie prywatności Aktualizuj/Dostęp/Usuwaj i Ustawienia wtyczki Aktualizuj/Eksportuj/Importuj
Łatka w wersji : 5.3.0
Wynik ważności : wysoki
Wtyczka: ulepszone odznaki-sprzedaży
Luka w zabezpieczeniach : arbitralne opcje bloga o niskim poziomie prywatności Aktualizuj/Dostęp/Usuwaj i Ustawienia wtyczki Aktualizuj/Eksportuj/Importuj
Poprawione w wersji : 4.4.0
Wynik ważności : wysoki
Wtyczka: udostępnij-drukuj-pdf-woocommerce
Luka w zabezpieczeniach : arbitralne opcje bloga o niskim poziomie prywatności Aktualizuj/Dostęp/Usuwaj i Ustawienia wtyczki Aktualizuj/Eksportuj/Importuj
Łatka w wersji : 2.8.0
Wynik ważności : wysoki
Wtyczka: pętle produktu
Luka w zabezpieczeniach : arbitralne opcje bloga o niskim poziomie prywatności Aktualizuj/Dostęp/Usuwaj i Ustawienia wtyczki Aktualizuj/Eksportuj/Importuj
Łatka w wersji : 1.7.0
Wynik ważności : wysoki
Wtyczka: XforWooCommerce
Luka w zabezpieczeniach : arbitralne opcje bloga o niskim poziomie prywatności Aktualizuj/Dostęp/Usuwaj i Ustawienia wtyczki Aktualizuj/Eksportuj/Importuj
Łatka w wersji : 1.7.0
Wynik ważności : wysoki
Wtyczka: pakiet-ilość-xforwc
Luka w zabezpieczeniach : arbitralne opcje bloga o niskim poziomie prywatności Aktualizuj/Dostęp/Usuwaj i Ustawienia wtyczki Aktualizuj/Eksportuj/Importuj
Łatka w wersji : 1.2.0
Wynik ważności : wysoki
Wtyczka: price-commander-xforwc
Luka w zabezpieczeniach : arbitralne opcje bloga o niskim poziomie prywatności Aktualizuj/Dostęp/Usuwaj i Ustawienia wtyczki Aktualizuj/Eksportuj/Importuj
Łatka w wersji : 1.3.0
Wynik ważności : wysoki
Wtyczka: kontrola spamu-xforwc
Luka w zabezpieczeniach : arbitralne opcje bloga o niskim poziomie prywatności Aktualizuj/Dostęp/Usuwaj i Ustawienia wtyczki Aktualizuj/Eksportuj/Importuj
Łatka w wersji : 1.5.0
Wynik ważności : wysoki
Wtyczka: add-tabs-xforwc
Luka w zabezpieczeniach : arbitralne opcje bloga o niskim poziomie prywatności Aktualizuj/Dostęp/Usuwaj i Ustawienia wtyczki Aktualizuj/Eksportuj/Importuj
Łatka w wersji : 1.5.0
Wynik ważności : wysoki
32. Wybór plików cookie WP
Wtyczka: Wybór plików cookie WP
Luka : CSRF na przechowywane skrypty między witrynami
Poprawiona w wersji : brak znanej poprawki
Wynik ważności : wysoki
33. Łatwy kanał na Twitterze
Wtyczka: Łatwy kanał na Twitterze
Luka w zabezpieczeniach : Przechowywane skrypty między witrynami Contributor+
Poprawione w wersji : 1.2
Wynik ciężkości : średni
34. Odtwarzacz audio HTML5
Wtyczka: odtwarzacz audio HTML5
Luka w zabezpieczeniach : Przechowywane skrypty między witrynami Contributor+
Łatka w wersji : 2.1.3
Wynik ciężkości : średni
35. Galeria wideo Polo
Wtyczka: Galeria wideo Polo
Luka w zabezpieczeniach : Przechowywane skrypty między witrynami Contributor+
Poprawiona w wersji : brak znanej poprawki – wtyczka zamknięta
Wynik ciężkości : średni
36. StreamCast
Wtyczka: StreamCast
Luka w zabezpieczeniach : Przechowywane skrypty między witrynami Contributor+
Łatka w wersji : 2.1.1
Wynik ciężkości : średni
37. Przeglądarka PDF
Wtyczka: PDF Light Viewer
Luka w zabezpieczeniach : uwierzytelnione wstrzyknięcie polecenia
Łatka w wersji : 1.4.12
Ocena ważności : Niska
38. Raporty dotyczące dzieci w MainWP
Wtyczka: Raporty podrzędne MainWP
Luka w zabezpieczeniach : Admin + wstrzyknięcie SQL
Łatka w wersji : 2.0.8
Wynik ciężkości : średni
39. Dowiedz się Naciśnij
Wtyczka: LearnPress
Luka w zabezpieczeniach : nieautoryzowana zmiana ustawień wtyczki
Poprawiono w wersji : 4.1.3.1
Ocena ważności : Niska
Wtyczka: LearnPress
Luka w zabezpieczeniach : wielu administratorów + przechowywane skrypty między witrynami
Poprawiono w wersji : 4.1.3.1
Ocena ważności : Niska
40. OptinMonster
Wtyczka: OptinMonster
Luka w zabezpieczeniach : odbite skrypty między witrynami (XSS)
Łatka w wersji : 2.6.1
Wynik ciężkości : średni
41. Program do przesyłania frontonu
Wtyczka: Frontend Uploader
Luka w zabezpieczeniach : nieuwierzytelnione zapisane skrypty między witrynami
Poprawiona w wersji : brak znanej poprawki – wtyczka zamknięta
Wynik ciężkości : średni
42. Zezwól na REL= i HTML w biosie autora
Wtyczka: Zezwól na REL= i HTML w autorskim biosie – wtyczka WordPress | WordPress.org
Luka w zabezpieczeniach : Przechowywane skrypty między witrynami autora+
Poprawiona w wersji : brak znanej poprawki – wtyczka zamknięta
Wynik ciężkości : średni
43. WP HTML Autor Bio
Wtyczka: WP HTML Autor Bio
Luka w zabezpieczeniach : Przechowywane skrypty między witrynami autora+
Poprawiona w wersji : brak znanej poprawki – wtyczka zamknięta
Wynik ciężkości : średni
44. jQuery Odpowiedz na komentarz
Wtyczka: jQuery Odpowiedz na komentarz
Luka : CSRF na przechowywane skrypty między witrynami
Poprawiona w wersji : brak znanej poprawki – wtyczka zamknięta
Wynik ważności : wysoki
45. Galeria wideo – Vimeo i galeria YouTube
Wtyczka: Galeria wideo – Vimeo i Galeria YouTube
Luka w zabezpieczeniach : Admin+ Stored Cross-Site Scripting
Poprawiona w wersji : brak znanej poprawki – wtyczka zamknięta
Ocena ważności : Niska
46. Poproś o wycenę
Wtyczka: Poproś o wycenę
Luka w zabezpieczeniach : Admin+ Stored Cross-Site Scripting
Łatka w wersji : 2.3.5
Ocena ważności : Niska
47. Porada dnia św
Wtyczka: St Daily Tip
Luka : CSRF na przechowywane skrypty między witrynami
Poprawiona w wersji : brak znanej poprawki – wtyczka zamknięta
Wynik ważności : wysoki
48. Wyszukiwanie zaawansowane
Wtyczka: Wyszukiwanie zaawansowane
Luka w zabezpieczeniach : odbite skrypty między witrynami
Łatka w wersji : 1.1.3
Wynik ciężkości : średni
49. Mega menu WP
Wtyczka: WP Mega Menu
Luka w zabezpieczeniach : subskrybent + arbitralny dostęp do postów
Łatka w wersji : 1.4.1
Wynik ciężkości : średni
Wtyczka: WP Mega Menu
Luka w zabezpieczeniach : dostęp do nieuwierzytelnionego arbitralnego wpisu
Poprawione w wersji : 1.4.0
Wynik ważności : wysoki
50. Wtyczka Cherry
Wtyczka: Wtyczka Cherry
Luka w zabezpieczeniach : przesyłanie i pobieranie nieuwierzytelnionych arbitralnych plików
Poprawione w wersji : 1.2.7
Ocena ważności : krytyczna
51. Menedżer pracy WP
Wtyczka: WP Job Manager – wtyczka WordPress | WordPress.org
Podatność : Deserializacja Phar
Łatka w wersji : 1.31.3
Wynik dotkliwości :
Wtyczka: WP Job Manager – wtyczka WordPress | WordPress.org
Luka w zabezpieczeniach : wstrzyknięcie nieuwierzytelnionego obiektu
Łatka w wersji : 1.29.3
Wynik ciężkości : średni
Wtyczka: WP Job Manager – wtyczka WordPress | WordPress.org
Luka w zabezpieczeniach : przesyłanie nieuwierzytelnionego arbitralnego pliku
Łatka w wersji : 1.26.2
Ocena ważności : krytyczna
Wtyczka: WP Job Manager – wtyczka WordPress | WordPress.org
Luka w zabezpieczeniach : odbite skrypty między witrynami (XSS)
Poprawione w wersji : 1.23.8
Wynik ważności : wysoki
52. Detektor mobilny WP
Wtyczka: WP Mobile Detector
Luka w zabezpieczeniach : przesyłanie nieuwierzytelnionego arbitralnego pliku
Poprawione w wersji : 3.6
Ocena ważności : krytyczna
53. Telefikacja
Wtyczka: Telefikacja
Luka w zabezpieczeniach : otwarty przekaźnik i fałszowanie żądań po stronie serwera
Poprawiona w wersji : brak znanej poprawki – wtyczka zamknięta
Wynik ciężkości : średni
54. Status serwera gry
Wtyczka: stan serwera gier
Luka w zabezpieczeniach : Contributor+ SQL Injection
Poprawiona w wersji : brak znanej poprawki – wtyczka zamknięta
Wynik ważności : wysoki
Wtyczka: stan serwera gier
Luka w zabezpieczeniach : Admin + wstrzyknięcie SQL
Poprawiona w wersji : brak znanej poprawki – wtyczka zamknięta
Wynik ciężkości : średni
Wtyczka: stan serwera gier
Luka w zabezpieczeniach : Admin+ Stored Cross-Site Scripting
Poprawiona w wersji : brak znanej poprawki – wtyczka zamknięta
Ocena ważności : Niska
55. Responsywny suwak WordPress
Wtyczka: Responsywny suwak WordPress
Luka w zabezpieczeniach : subskrybent + przechowywane skrypty między witrynami
Poprawiona w wersji : brak znanej poprawki – wtyczka zamknięta
Ocena ważności : krytyczna
Wtyczka: Responsywny suwak WordPress
Luka w zabezpieczeniach : odbite skrypty między witrynami
Poprawiona w wersji : brak znanej poprawki – wtyczka zamknięta
Ocena ważności : krytyczna
56. Pobierz tweety
Wtyczka: Pobierz tweety
Luka w zabezpieczeniach : odbite skrypty między witrynami
Poprawiona w wersji : brak znanej poprawki – wtyczka zamknięta
Wynik ważności : wysoki
57. WooCommerce
Wtyczka: WooCommerce
Luka w zabezpieczeniach : wycieki raportów analitycznych
Łatka w wersji : 5.7.0
Wynik ciężkości : średni
58. Administrator WooCommerce
Wtyczka: Administrator WooCommerce
Luka w zabezpieczeniach : wycieki raportów Analytics
Łatka w wersji : 2.6.0
Wynik ciężkości : średni
59. Odtwarzacz YT
Wtyczka: Odtwarzacz YT
Luka w zabezpieczeniach : Przechowywane skrypty między witrynami Contributor+
Poprawione w wersji : 1.4
Wynik ciężkości : średni
60. Bar z ciastkami
Wtyczka: Pasek plików cookie
Luka w zabezpieczeniach : Admin+ Stored Cross-Site Scripting
Poprawiona w wersji : brak znanej poprawki – wtyczka zamknięta
Ocena ważności : Niska
61. Menedżer użytkowników WP
Wtyczka: Menedżer użytkowników WP
Luka w zabezpieczeniach : arbitralne resetowanie hasła użytkownika w celu naruszenia bezpieczeństwa konta
Łatka w wersji : 2.6.3
Wynik ważności : wysoki
62. Łatwe pobieranie multimediów
Wtyczka: Łatwe pobieranie multimediów
Luka w zabezpieczeniach : Przechowywane skrypty między witrynami Contributor+
Łatka w wersji : 1.1.7
Wynik ciężkości : średni
63. Formy Ninja
Wtyczka: Formularze Ninja
Luka w zabezpieczeniach : niezabezpieczony interfejs API REST do ujawniania poufnych informacji
Łatka w wersji : 3.5.8
Wynik ciężkości : średni
Wtyczka: Formularze Ninja
Luka w zabezpieczeniach : niezabezpieczony interfejs REST-API do wstrzykiwania wiadomości e-mail
Łatka w wersji : 3.5.8
Wynik ciężkości : średni
Wtyczka: Formularze Ninja
Luka w zabezpieczeniach : Admin+ Stored Cross-Site Scripting
Łatka w wersji : 3.5.8.2
Ocena ważności : Niska
64. 3DPrint Lite
Wtyczka: 3DPrint Lite
Luka w zabezpieczeniach : przesyłanie nieuwierzytelnionego arbitralnego pliku
Poprawiona w wersji : brak znanej poprawki – wtyczka zamknięta
Ocena ważności : krytyczna
65. Kraj bloku iQ
Wtyczka: iQ Block Country
Luka w zabezpieczeniach : Admin+ Stored Cross-Site Scripting
Łatka w wersji : 1.2.12
Ocena ważności : Niska
66. Popularne posty WordPress
Wtyczka: Popularne posty WordPress
Luka w zabezpieczeniach : Admin+ Stored Cross-Site Scripting
Łatka w wersji : 5.3.4
Ocena ważności : Niska
67. Niestandardowy pulpit nawigacyjny i strona logowania
Wtyczka: niestandardowy pulpit nawigacyjny i strona logowania
Luka w zabezpieczeniach : Admin+ Stored Cross-Site Scripting
Łatka w wersji : 6.9.2
Ocena ważności : Niska
68. Biblioteka błędów
Wtyczka: Biblioteka błędów
Luka w zabezpieczeniach : odbite skrypty między witrynami
Łatka w wersji : 2.0.4
Wynik ciężkości : średni
Uwaga dotycząca odpowiedzialnego ujawniania informacji
Być może zastanawiasz się, dlaczego luka w zabezpieczeniach zostałaby ujawniona, skoro daje hakerom możliwość ataku. Cóż, bardzo często badacz bezpieczeństwa znajduje i prywatnie zgłasza tę lukę twórcy oprogramowania.
W przypadku odpowiedzialnego ujawnienia wstępny raport badacza jest przekazywany prywatnie twórcom firmy będącej właścicielem oprogramowania, ale za zgodą, że pełne szczegóły zostaną opublikowane po udostępnieniu poprawki. W przypadku znaczących luk w zabezpieczeniach może wystąpić niewielkie opóźnienie w ujawnieniu luki, aby dać większej liczbie osób czas na poprawkę.
Badacz bezpieczeństwa może wyznaczyć producentowi oprogramowania termin odpowiedzi na zgłoszenie lub dostarczenia poprawki. Jeśli ten termin nie zostanie dotrzymany, badacz może publicznie ujawnić lukę, aby wywrzeć presję na dewelopera, aby wydał łatkę.
Publiczne ujawnienie luki w zabezpieczeniach i pozorne wprowadzenie luki dnia zerowego – rodzaju luki, która nie ma łaty i jest wykorzystywana na wolności – może wydawać się odwrotne do zamierzonych. Jest to jednak jedyna dźwignia, którą badacz musi wywrzeć na deweloperze, aby załatał tę lukę.
Jeśli haker odkryje lukę, może po cichu użyć exploita i wyrządzić szkody użytkownikowi końcowemu (to ty), podczas gdy programista pozostaje zadowolony z pozostawienia luki bez łaty. Google Project Zero ma podobne wytyczne, jeśli chodzi o ujawnianie luk w zabezpieczeniach. Publikują pełne szczegóły dotyczące luki po 90 dniach, niezależnie od tego, czy luka została załatana, czy nie.
Jak chronić swoją witrynę WordPress przed podatnymi wtyczkami i motywami?
Jak widać z tego raportu, co tydzień ujawnianych jest wiele nowych wtyczek WordPress i luk w motywach. Wiemy, że śledzenie każdego zgłoszonego ujawnienia luk w zabezpieczeniach może być trudne, więc wtyczka iThemes Security Pro ułatwia upewnienie się, że w Twojej witrynie nie działa motyw, wtyczka lub główna wersja WordPress ze znaną luką.
1. Włącz skaner witryny iThemes Security Pro
Skaner witryn wtyczki iThemes Security Pro skanuje w poszukiwaniu pierwszego powodu, dla którego witryny WordPress są atakowane: nieaktualne wtyczki i motywy ze znanymi lukami. Skaner witryn sprawdza witrynę pod kątem znanych luk w zabezpieczeniach i automatycznie stosuje łatę, jeśli jest dostępna.
Aby włączyć Skanowanie Witryny w nowych instalacjach, przejdź do zakładki Sprawdzanie Witryny w menu Funkcje we wtyczce i kliknij przełącznik, aby włączyć Skanowanie Witryny .
Aby uruchomić ręczne skanowanie witryny, kliknij przycisk Skanuj teraz na karcie pulpitu nawigacyjnego skanowania witryny.
Jeśli Skanowanie Witryny wykryje lukę w zabezpieczeniach, kliknij łącze dotyczące luki, aby wyświetlić stronę szczegółów.
Na stronie podatności Site Scan zobaczysz, czy jest dostępna poprawka dla tej luki. Jeśli dostępna jest poprawka, możesz kliknąć przycisk Aktualizuj wtyczkę , aby zastosować poprawkę na swojej stronie internetowej.
2. Włącz zarządzanie wersjami w celu automatycznej aktualizacji, jeśli naprawi usterkę
Funkcja zarządzania wersjami w iThemes Security Pro integruje się ze skanowaniem witryny, aby chronić witrynę, gdy nieaktualne oprogramowanie nie jest wystarczająco szybko aktualizowane. Nawet najsilniejsze środki bezpieczeństwa zawiodą, jeśli na swojej stronie internetowej używasz podatnego na ataki oprogramowania. Te ustawienia pomagają chronić witrynę dzięki opcjom automatycznej aktualizacji do nowych wersji, jeśli istnieje znana luka w zabezpieczeniach i dostępna jest poprawka.
Na stronie Ustawienia w iThemes Security Pro przejdź do ekranu Funkcje. Kliknij kartę Sprawdzanie witryny. W tym miejscu użyj przełącznika, aby włączyć zarządzanie wersjami. Korzystając z narzędzi ustawień, możesz skonfigurować jeszcze więcej ustawień, w tym sposób, w jaki iThemes Security Pro ma obsługiwać aktualizacje WordPress, wtyczki, motywy i dodatkową ochronę.
Upewnij się, że zaznaczyłeś opcję Automatyczna aktualizacja, jeśli naprawi lukę, aby iThemes Security Pro automatycznie aktualizował wtyczkę lub motyw, jeśli naprawi usterkę znalezioną przez Skaner Witryny.
3. Otrzymuj alert e-mail, gdy iThemes Security Pro znajdzie znaną lukę w Twojej witrynie
Po włączeniu harmonogramu skanowania witryny przejdź do ustawień Centrum powiadomień wtyczki. Na tym ekranie przewiń do sekcji Wyniki skanowania witryny .
Kliknij pole, aby włączyć powiadomienia e-mail, a następnie kliknij przycisk Zapisz ustawienia .
Teraz, podczas każdego zaplanowanego skanowania witryny, otrzymasz wiadomość e-mail, jeśli iThemes Security Pro wykryje znane luki. E-mail będzie wyglądał mniej więcej tak.
Zdobądź iThemes Security Pro i odpocznij trochę łatwiej dziś wieczorem
iThemes Security Pro, nasza wtyczka bezpieczeństwa WordPress, oferuje ponad 50 sposobów zabezpieczenia i ochrony Twojej witryny przed typowymi lukami w zabezpieczeniach WordPress. Dzięki WordPress, uwierzytelnianiu dwuskładnikowemu, ochronie przed brutalną siłą, silnemu egzekwowaniu haseł i nie tylko, możesz dodać dodatkowe warstwy bezpieczeństwa do swojej witryny.
Uzyskaj iThemes Security Pro
Co tydzień Michael opracowuje raport na temat luk w zabezpieczeniach WordPressa, aby pomóc chronić Twoje witryny. Jako Product Manager w iThemes pomaga nam w dalszym ulepszaniu linii produktów iThemes. Jest wielkim kujonem i uwielbia uczyć się wszystkich rzeczy technicznych, starych i nowych. Możesz znaleźć Michaela spędzającego czas z żoną i córką, czytającego lub słuchającego muzyki, gdy nie pracuje.
