Podsumowanie luk w zabezpieczeniach WordPressa: marzec 2020 r., część 1

Opublikowany: 2020-11-22

W pierwszej połowie marca ujawniono nowe luki w zabezpieczeniach wtyczek i motywów WordPress, więc chcemy Cię informować. W tym poście omawiamy najnowsze luki w zabezpieczeniach wtyczek, motywów i podstawowych WordPress oraz co zrobić, jeśli używasz jednej z wrażliwych wtyczek lub motywów w swojej witrynie.

Podsumowanie luk w zabezpieczeniach WordPressa dzieli się na cztery różne kategorie:

  1. Rdzeń WordPressa
  2. Wtyczki WordPress
  3. Motywy WordPress

Główne luki w WordPressie

Dobre wieści! Jak dotąd w 2020 roku nie ujawniono żadnych podstawowych luk WordPressa.

Luki w zabezpieczeniach wtyczki WordPress

Do tej pory w tym miesiącu wykryto kilka nowych luk w zabezpieczeniach wtyczki WordPress. Postępuj zgodnie z sugerowaną czynnością poniżej, aby zaktualizować wtyczkę lub całkowicie ją odinstalować.

1. Cennik według Supsystic

Tabela cenowa Supsystic w wersjach 1.8.1 i niższych zawiera wiele luk w zabezpieczeniach.

Luki zostały załatane i należy zaktualizować je do wersji 1.8.2.

2. Elastyczne pola kasowe dla WooCommerce

Elastyczne pola kasy dla WooCommerce w wersji 2.3.1 i niższych zawierają lukę w zabezpieczeniach nieuwierzytelnionych ustawień aktualizacji. Wtyczka była aktywnie wykorzystywana na wolności i wstrzykiwała złośliwe skrypty do stron kasowych WooCommerce.

Luka została załatana i należy zaktualizować ją do wersji 2.3.2.

3. Eksportuj użytkowników

Export-Users w wersji 1.4.2 i niższej jest podatny na atak CSV Injection.

Wtyczka jest zamknięta w repozytorium wtyczek WordPress.org i powinna zostać usunięta.

4. Mapy bohaterów

Hero Maps w wersji 2.2.1 i starszej zawiera usterkę dotyczącą nieuwierzytelnionych odbitych skryptów krzyżowych.

Luka została załatana i należy zaktualizować ją do wersji 2.2.3.

5. Płatności CardGate dla WooCommerce

CardGate Payments dla WooCommerce w wersji 3.1.15 i niższych zawiera lukę w zabezpieczeniach polegającą na przejmowaniu nieautoryzowanych płatności i fałszowaniu statusu zamówienia.

Luka została załatana i należy zaktualizować ją do wersji 3.1.16.

6. Asynchroniczny JavaScript

Async JavaScript w wersji 2.19.07.14 i starszej zawiera lukę w zabezpieczeniach nieuwierzytelnionych przechowywanych skryptów między witrynami.

Luka została załatana i należy zaktualizować ją do wersji 2.20.02.27.

7. 10Kreator map internetowych dla Map Google

10Web Map Builder dla Map Google w wersji 1.0.63 i starszych zawiera lukę w zabezpieczeniach nieuwierzytelnionych przechowywanych skryptów między witrynami.

Luka została załatana i należy zaktualizować ją do wersji 1.0.64.

8. Nowoczesny kalendarz wydarzeń Lite

Modern Events Calendar Lite w wersji 5.1.6 i starszych zawiera lukę w zabezpieczeniach Stored Cross-Site Scripting.

Luka została załatana i należy zaktualizować ją do wersji 5.1.7.

9. Kalendarz rezerwacji wizyt

Kalendarz rezerwacji spotkań w wersji 1.3.34 i starszych zawiera lukę w zabezpieczeniach Authenticated Stored Cross-Site Scripting.

Luka została załatana i należy zaktualizować ją do wersji 1.3.35.

10. Formularze WP

WPForms w wersji 1.5.8.2 i niższej mają lukę w uwierzytelnianiu Cross Site Scripting.

Luka została załatana i należy zaktualizować ją do wersji 1.5.9.

11. WordPress WP-Zaawansowane wyszukiwanie

WordPress WP-Advanced-Search wersje 3.3.3 i starsze mają lukę w zabezpieczeniach nieuwierzytelnionego dostępu do bazy danych i zdalnego wykonania kodu.

Luka została załatana i należy zaktualizować ją do wersji 3.3.4.

12. Magia rejestracji

Wersje RegistrationMagic 4.6.0.1 i starsze mają wiele luk w zabezpieczeniach.

Luka została załatana i należy zaktualizować ją do wersji 4.6.0.4.

13. Brizy – Kreator Stron

Brizy – Kreator Stron w wersjach 1.0.113 i niższych zawiera lukę w zabezpieczeniach nieuwierzytelnionej aktualizacji ustawień witryny.

Luka została załatana i należy zaktualizować ją do wersji 1.0.114.

14. Niestandardowy system wprowadzania danych z możliwością wyszukiwania

Niestandardowy system wprowadzania danych z możliwością wyszukiwania w wersjach 1.7.1 i niższych zawiera lukę umożliwiającą modyfikację i usuwanie nieuwierzytelnionych danych. Luka jest aktywnie wykorzystywana.

Poprawka bezpieczeństwa nie została wydana i należy usunąć wtyczkę.

15. Dziennik audytu bezpieczeństwa WP

WP Security Audit Log w wersjach 4.0.1 i niższych Luka w zabezpieczeniach złamał kontrolę dostępu.

Luka została załatana i należy zaktualizować ją do wersji 4.0.2.

Motywy WordPress

W marcu 2020 roku nie ujawniono żadnych luk w zabezpieczeniach Theme.

Jak być proaktywnym w kwestii luk w motywach i wtyczkach WordPress

Uruchamianie przestarzałego oprogramowania jest głównym powodem ataków na witryny WordPress. Dla bezpieczeństwa Twojej witryny WordPress ma kluczowe znaczenie, jeśli masz rutynę aktualizacji. Powinieneś logować się do swoich witryn co najmniej raz w tygodniu, aby przeprowadzić aktualizacje.

Automatyczne aktualizacje mogą pomóc

Automatyczne aktualizacje to doskonały wybór dla witryn WordPress, które nie zmieniają się zbyt często. Brak uwagi często powoduje, że te strony są zaniedbane i podatne na ataki. Nawet przy zalecanych ustawieniach zabezpieczeń uruchomienie w witrynie podatnego na ataki oprogramowania może dać atakującemu punkt wejścia do witryny.

Korzystając z funkcji zarządzania wersjami wtyczki iThemes Security Pro, możesz włączyć automatyczne aktualizacje WordPress, aby mieć pewność, że otrzymujesz najnowsze poprawki zabezpieczeń. Te ustawienia pomagają chronić witrynę dzięki opcjom automatycznej aktualizacji do nowych wersji lub zwiększania bezpieczeństwa użytkowników, gdy oprogramowanie witryny jest nieaktualne.

Opcje aktualizacji zarządzania wersjami
  • Aktualizacje WordPress – Automatycznie zainstaluj najnowszą wersję WordPress.
  • Automatyczne aktualizacje wtyczek — Automatycznie instaluj najnowsze aktualizacje wtyczek. Powinno to być włączone, chyba że codziennie aktywnie utrzymujesz tę witrynę i instalujesz aktualizacje ręcznie wkrótce po ich wydaniu.
  • Automatyczne aktualizacje motywu — automatycznie instaluj najnowsze aktualizacje motywu. Powinno to być włączone, chyba że Twój motyw ma dostosowania plików.
  • Szczegółowa kontrola nad aktualizacjami wtyczek i motywów — możesz mieć wtyczki/motywy, które chcesz zaktualizować ręcznie lub opóźnić aktualizację do czasu, gdy wersja będzie stabilna. Możesz wybrać opcję Niestandardowa, aby umożliwić przypisanie każdej wtyczce lub motywowi aktualizacji natychmiastowej ( Włącz ), nie aktualizującej się wcale ( Wyłącz ) lub aktualizacji z opóźnieniem o określoną liczbę dni ( Opóźnienie ).
Wzmacnianie i ostrzeganie o krytycznych problemach
  • Wzmocnij witrynę, gdy działa przestarzałe oprogramowanie — Automatycznie dodaj dodatkowe zabezpieczenia do witryny, gdy dostępna aktualizacja nie została zainstalowana przez miesiąc. Wtyczka iThemes Security automatycznie włączy bardziej rygorystyczne zabezpieczenia, gdy aktualizacja nie zostanie zainstalowana przez miesiąc. Po pierwsze, zmusi wszystkich użytkowników, którzy nie mają włączonej funkcji dwuskładnikowej, do podania kodu logowania wysłanego na ich adres e-mail przed ponownym zalogowaniem. Po drugie, wyłączy Edytor plików WP (aby zablokować osobom możliwość edycji kodu wtyczki lub motywu) , pingbacki XML-RPC i blokowanie wielu prób uwierzytelnienia na każde żądanie XML-RPC (obie te działania wzmocnią XML-RPC przed atakami bez konieczności całkowitego wyłączenia).
  • Skanuj w poszukiwaniu innych starych witryn WordPress — sprawdzi to, czy na Twoim koncie hostingowym nie ma innych nieaktualnych instalacji WordPress. Pojedyncza nieaktualna witryna WordPress z luką może umożliwić atakującym złamanie zabezpieczeń wszystkich innych witryn na tym samym koncie hostingowym.
  • Wysyłaj powiadomienia e-mail — w przypadku problemów wymagających interwencji wysyłana jest wiadomość e-mail do użytkowników na poziomie administratora.

Zarządzanie wieloma witrynami WP? Zaktualizuj wtyczki, motywy i rdzeń na raz z pulpitu nawigacyjnego iThemes Sync

iThemes Sync to nasz centralny pulpit nawigacyjny, który pomaga zarządzać wieloma witrynami WordPress. Z pulpitu nawigacyjnego Sync możesz wyświetlić dostępne aktualizacje dla wszystkich swoich witryn, a następnie jednym kliknięciem zaktualizować wtyczki, motywy i rdzeń WordPressa . Możesz także otrzymywać codzienne powiadomienia e-mail, gdy dostępna jest nowa aktualizacja wersji.

Wypróbuj Sync BEZPŁATNIE przez 30 dniDowiedz się więcej

Wtyczka bezpieczeństwa WordPress może pomóc w zabezpieczeniu Twojej witryny

iThemes Security Pro, nasza wtyczka bezpieczeństwa WordPress, oferuje ponad 30 sposobów zabezpieczenia i ochrony Twojej witryny przed typowymi lukami w zabezpieczeniach WordPress. Dzięki WordPress, uwierzytelnianiu dwuskładnikowemu, ochronie przed brutalną siłą, silnemu egzekwowaniu haseł i nie tylko, możesz dodać dodatkową warstwę bezpieczeństwa do swojej witryny.

Dowiedz się więcej o bezpieczeństwie WordPress z 10 kluczowymi wskazówkami. Pobierz teraz ebook: Przewodnik po zabezpieczeniach WordPress
Pobierz teraz