Podsumowanie luk w zabezpieczeniach WordPressa: grudzień 2020 r., część 1
Opublikowany: 2020-12-09W pierwszej połowie grudnia ujawniono nowe luki w zabezpieczeniach wtyczki i motywu WordPress. Ten post dotyczy najnowszych wtyczek WordPress, motywów i podstawowych luk w zabezpieczeniach oraz tego, co zrobić, jeśli uruchomisz jedną z wrażliwych wtyczek lub motywów w swojej witrynie.
Podsumowanie luk w zabezpieczeniach WordPress jest podzielone na trzy różne kategorie: rdzeń WordPress, wtyczki WordPress i motywy WordPress.
Główne luki w WordPressie
W tym miesiącu nie ujawniono żadnych nowych podstawowych luk WordPressa.
Jednak wczoraj pojawiła się nowa główna wersja rdzenia WordPressa. WordPress 5.6 zawiera kilka nowych funkcji i ulepszeń, więc pamiętaj o aktualizacji.
Luki w zabezpieczeniach wtyczki WordPress
1. WPJobBoard
Wersje WPJobBoard poniżej 5.7.0 mają nieuwierzytelnione wstrzykiwanie SQL, odbite XSS i XFS.
2. Wtyczka WP Google Map
Wersje wtyczki WP Google Map Plugin poniżej 4.1.4 mają usterkę Authenticated SQL Injection.
3. BuddyPress
Wersje BuddyPress poniżej 6.4.0 Brak luki w zabezpieczeniach funkcji Capability Check.
4. Menedżer wydarzeń
Wersje Menedżera zdarzeń poniżej 5.9.8 mają lukę Cross-Site Scripting i SQL Injection.
5. Brama wieku
Wersje Age Gate poniżej 2.13.5 mają lukę w zabezpieczeniach nieuwierzytelnionego otwartego przekierowania.
6. Pieśń
Wszystkie wersje Canto mają podatność na nieuwierzytelniane ślepe SSRF.
7. Konstruktor profili
Wersje Profile Builder poniżej 3.3.3 zawierają lukę Authenticated Blind SQL Injection.
8. Płatne członkostwo Pro
Wersje płatnego członkostwa Pro poniżej 2.5.1 mają lukę w zabezpieczeniach uwierzytelnionego skryptu między witrynami.
9. Themify Portfolio Post
Wersje Themify Portfolio Post poniżej 1.1.6 są luką w zabezpieczeniach Authenticated Stored Cross-Site Scripting.
10. Łatwy WP SMTP
Wersje Easy WP SMTP poniżej 1.4.3 mają podatność na ujawnienie dziennika debugowania.
Luki w motywie WordPress
1. Wibar
Wersje Wibar poniżej 1.2.1 mają usterkę Authenticated Stored Cross-Site Scripting.
Grudniowa wskazówka dotycząca bezpieczeństwa: dlaczego potrzebujesz uniwersalnego użytkownika do wsparcia
Za każdym razem, gdy tworzysz nowego użytkownika w swojej witrynie, dodajesz kolejny punkt wejścia, który może wykorzystać haker. Ale prawdopodobnie będą chwile, gdy będziesz potrzebować pomocy z zewnątrz dla swojej witryny, na przykład gdy szukasz wsparcia lub po zatrudnieniu niezależnego wykonawcy. Potrzebujesz bezpiecznego sposobu na dodanie tymczasowego dostępu administratora do swojej witryny.
Przyznawanie dostępu do Twojej witryny z zewnątrz: Twoje typowe złe opcje
Zazwyczaj masz dwie możliwości zapewnienia zewnętrznego dostępu do swojej witryny…. i nie są świetne .
1. Udostępnij poświadczenia administratora
Pierwszą i najgorszą opcją jest udostępnienie nazwy użytkownika i hasła administratora WordPress.
Dlaczego udostępnianie poświadczeń administratora jest okropnym pomysłem
- Zmniejszone bezpieczeństwo — jeśli udostępnisz poświadczenia użytkownika, będziesz musiał wyłączyć uwierzytelnianie dwuskładnikowe, aby umożliwić osobie korzystającej z tych poświadczeń zalogowanie się. Google udostępnił na swoim blogu, że korzystanie z uwierzytelniania dwuskładnikowego lub weryfikacji dwuetapowej może powstrzymać 100% automatycznych ataków botów. Wyłączenie uwierzytelniania dwuskładnikowego, nawet na krótki czas, drastycznie zmniejsza bezpieczeństwo Twojej witryny.
- Niewygodne — udostępnianie poświadczeń wymaga zmiany hasła. Jeśli zapomnisz zmienić hasło, co najmniej jedna osoba ma dostęp administratora do Twojej witryny, kiedy tylko tego zechce.
2. Utwórz oddzielnego użytkownika dla technika wsparcia
Chociaż utworzenie zupełnie nowego użytkownika administratora dla specjalisty pomocy technicznej jest lepsze niż udostępnianie poświadczeń administratora, nadal nie jest to świetne.
Dlaczego tworzenie użytkownika do pomocy technicznej jest okropne
- Zwiększona podatność — utworzenie nowego użytkownika administratora dodaje kolejny punkt wejścia, który może zostać wykorzystany. Jeśli nie masz polityki dotyczącej haseł, dział pomocy technicznej może wybrać słabe hasło, przez co Twój login WordPress będzie bardziej podatny na ataki.
- Niewygodne – Przechodzenie przez proces konfigurowania nowego użytkownika za każdym razem, gdy potrzebujesz pomocy z zewnątrz, jest czasochłonne. Musisz utworzyć nowego użytkownika, a następnie pamiętać, aby usunąć użytkownika, gdy nie potrzebuje już dostępu do Twojej witryny. Jest to najlepsza praktyka bezpieczeństwa WordPress, aby usunąć wszystkich nieużywanych użytkowników z Twojej witryny.
Przyznawanie dostępu z zewnątrz do Twojej witryny: lepszy sposób
Funkcja eskalacji uprawnień iThemes Security Pro Privilege umożliwia tymczasowe przyznanie użytkownikowi dodatkowych możliwości.
Eskalacja uprawnień umożliwia łatwe i bezpieczne utworzenie uniwersalnego użytkownika, którego możesz udostępnić dowolnym zewnętrznym programistom lub technikom pomocy technicznej, którzy potrzebują tymczasowego dostępu do Twojej witryny.
Dzięki eskalacji uprawnień możesz utworzyć nowego użytkownika i nazwać go Support oraz nadać mu rolę subskrybenta. Następnym razem, gdy będziesz musiał zapewnić tymczasowy dostęp do swojej witryny, możesz zmienić użytkownika Wsparcia z subskrybenta na administratora. W dalszej części posta omówimy, jak to zrobić, ale najpierw porozmawiajmy o tym, dlaczego eskalacja uprawnień jest lepszym sposobem przyznawania dostępu do Twojej witryny.
Dlaczego eskalacja uprawnień jest lepsza
- Łatwy – nie musisz tworzyć nowego użytkownika za każdym razem, gdy chcesz przyznać dostęp do swojej witryny.
- Automatycznie — eskalacja uprawnień trwa tylko 24 godziny. Po upływie 24 godzin użytkownik automatycznie traci wszystkie dodatkowe uprawnienia. Nie musisz pamiętać o usuwaniu użytkowników lub zmianie haseł.
- Bez poświęcenia w zakresie bezpieczeństwa – nadal możesz wymagać od tego uniwersalnego użytkownika wsparcia, aby używał dwuskładnikowej metody e-mail do logowania, co oznacza, że masz ten sam poziom bezpieczeństwa, co inni administratorzy. Ponieważ rzeczywista rola użytkownika to subskrybent, nie ryzykujesz pozostawienia jej na swojej stronie internetowej.
Jak korzystać z eskalacji uprawnień w iThemes Security Pro
Aby rozpocząć, włącz Eskalację uprawnień na głównej stronie ustawień zabezpieczeń.
Możesz utworzyć nowego użytkownika i nazwać go Support oraz nadać mu rolę użytkownika Subskrybent. Następnym razem, gdy będziesz musiał zapewnić tymczasowy dostęp do swojej witryny, przejdź do strony profilu użytkownika pomocy technicznej.
Zaktualizuj adres e-mail, aby osoba z zewnątrz mogła poprosić o nowe hasło. Następnie przewiń w dół, aż zobaczysz ustawienia Tymczasowej eskalacji uprawnień. Kliknij przełącznik Ustaw rolę tymczasową i wybierz opcję Administrator. Użytkownik będzie miał teraz dostęp administracyjny przez następne 24 godziny.
Jeśli nie potrzebują pełnych 24 godzin, możesz odwołać eskalację uprawnień na stronie profilu użytkownika. Jeśli potrzebujesz więcej niż 24 godziny, możesz ustawić dokładną liczbę dni, których potrzebujesz w polu Dni .
Zobacz jak to działa
Wtyczka bezpieczeństwa WordPress może pomóc w zabezpieczeniu Twojej witryny
iThemes Security Pro, nasza wtyczka bezpieczeństwa WordPress, oferuje ponad 50 sposobów zabezpieczenia i ochrony Twojej witryny przed typowymi lukami w zabezpieczeniach WordPress. Dzięki WordPress, uwierzytelnianiu dwuskładnikowemu, ochronie przed brutalną siłą, silnemu egzekwowaniu haseł i nie tylko, możesz dodać dodatkową warstwę bezpieczeństwa do swojej witryny.
Uzyskaj iThemes Security Pro
Co tydzień Michael opracowuje raport na temat luk w zabezpieczeniach WordPressa, aby pomóc chronić Twoje witryny. Jako Product Manager w iThemes pomaga nam w dalszym ulepszaniu linii produktów iThemes. Jest wielkim kujonem i uwielbia uczyć się wszystkich rzeczy technicznych, starych i nowych. Możesz znaleźć Michaela spędzającego czas z żoną i córką, czytającego lub słuchającego muzyki, gdy nie pracuje.
