Podsumowanie luk w zabezpieczeniach WordPressa: listopad 2020 r., część 1

Opublikowany: 2021-03-10

W pierwszej połowie listopada ujawniono sporo nowych podatności wtyczek i motywów WordPress. Ten post dotyczy ostatniej wtyczki WordPress, motywu i podstawowych luk w zabezpieczeniach oraz tego, co zrobić, jeśli uruchomisz jedną z wrażliwych wtyczek lub motywów w swojej witrynie.

Podsumowanie luk w zabezpieczeniach WordPress jest podzielone na trzy różne kategorie: rdzeń WordPress, wtyczki WordPress i motywy WordPress.

W listopadowym, części 1 Raporcie

Główne luki w WordPressie

WordPress 5.5.2 został wydany 29 października i zawierał 10 podstawowych poprawek bezpieczeństwa WordPress.

Oto lista poprawek bezpieczeństwa wspomnianych w poście o wydaniu WordPress 5.5.2.

Wzmocnione żądania deserializacji.
Poprawka wyłączająca umieszczanie spamu z wyłączonych witryn w sieci wielostanowiskowej .
Naprawiono problem z zabezpieczeniami, który mógł prowadzić do XSS ze zmiennych globalnych.
Naprawiono problem z eskalacją uprawnień w XML-RPC.
Naprawiono problem związany z eskalacją uprawnień w związku z komentowaniem postów za pośrednictwem XML-RPC.
Naprawiono problem bezpieczeństwa, w którym atak DoS mógł prowadzić do RCE.
Usunięto metodę przechowywania XSS w informacjach o wiadomościach.
Usunięto metodę omijania chronionej meta, która może prowadzić do arbitralnego usunięcia pliku.
Usunięto metodę, która może prowadzić do CSRF.

Luki zostały załatane, więc zaktualizuj WordPress do wersji 5.5.2.

Luki w zabezpieczeniach wtyczki WordPress

1. Wyszukiwarka SW Ajax WooCommerce

Wersje SW Ajax WooCommerce Search poniżej 1.2.8 mają podatność na nieuwierzytelnione odbicie XSS i XFS.

Luka została załatana i należy zaktualizować ją do wersji 1.2.8.

2. AccessPress Ikony społecznościowe

Wersje AccessPress Social Icons poniżej 1.8.1 mają lukę w zabezpieczeniach Authenticated SQL Injection.

Luka została załatana i należy zaktualizować ją do wersji 1.8.1.

3. Wsparcie zgodności z RODO CCPA

Wsparcie zgodności z RODO CCPA Wersje poniżej 2.4 mają usterkę nieuwierzytelnionego wstrzykiwania obiektu PHP.

Luka została załatana i należy zaktualizować ją do wersji 2.4.

4. Rzeczywistość rozszerzona

Wszystkie wersje Augmented Reality mają nieuwierzytelnione przesyłanie plików PHP, co prowadzi do luki w RCE.

Usuń wtyczkę, dopóki nie zostanie wydana poprawka bezpieczeństwa.

5. Welcart e-commerce

Wersje Welcart e-Commerce poniżej 1.9.36 mają usterkę Authenticated PHP Object Injection.

Luka została załatana i należy zaktualizować ją do wersji 1.9.36.

6. WooCommerce

Wersje WooCommerce poniżej 4.6.2 mają lukę w tworzeniu konta gościa.

Luka została załatana i należy zaktualizować ją do wersji 4.6.2.

7. Bloki WooCommerce

Wersje WooCommerce Blocks poniżej 3.7.1 mają lukę w tworzeniu konta gościa.

Luka została załatana i należy zaktualizować ją do wersji 3.7.1.

8. Porzucony koszyk Lite dla WooCommerce

Abandoned Cart Lite for WooCommerce w wersjach poniżej 5.8.3 zawiera lukę w zabezpieczeniach nieautoryzowanego wstrzyknięcia SQL.

Luka została załatana i należy zaktualizować ją do wersji 5.8.3.

9. Dziennik aktywności WP

Wersje dziennika aktywności WP poniżej 4.1.5 mają lukę SQL Injection w zewnętrznym module bazy danych.

Luka została załatana i należy zaktualizować ją do wersji 4.1.5.

10. Ostateczny członek

Wersje Ultimate Member poniżej 2.1.12 mają podatność na eskalację nieuwierzytelnionych uprawnień przez role użytkowników, aktualizację profilu i meta użytkowników.

Luka została załatana i należy zaktualizować ją do wersji 2.1.12.

11. Ostateczne recenzje

Wersje Ultimate Reviews poniżej 2.1.33 mają usterkę nieuwierzytelnionego wstrzykiwania obiektu PHP.

Luka została załatana i należy zaktualizować ją do wersji 2.1.33.

Luki w motywie WordPress

1. ZielonyMart

Wersje GreenMart poniżej 2.4.3 mają lukę w zabezpieczeniach Reflected Cross-Site Scripting.

Luka została załatana i należy zaktualizować ją do wersji 2.4.3.

Listopadowa wskazówka dotycząca bezpieczeństwa: Dlaczego potrzebujesz dziennika bezpieczeństwa WordPress

Rejestrowanie jest istotną częścią Twojej strategii bezpieczeństwa WordPress. Niewystarczające rejestrowanie i monitorowanie może prowadzić do opóźnienia w wykryciu naruszenia bezpieczeństwa. Większość badań nad naruszeniami pokazuje, że czas na wykrycie naruszenia wynosi ponad 200 dni! Taka ilość czasu pozwala atakującemu na włamanie się do innych systemów, modyfikację, kradzież lub zniszczenie większej ilości danych. To z tych powodów Insufficient Logging znalazł się na liście 10 największych zagrożeń bezpieczeństwa aplikacji internetowych OWASP.

Większość badań nad naruszeniami pokazuje, że czas na wykrycie naruszenia wynosi ponad 200 dni!

Dzienniki bezpieczeństwa WordPress mają kilka zalet w ogólnej strategii bezpieczeństwa.

Tożsamość i powstrzymanie złośliwego zachowania.
Dostrzeż aktywność, która może ostrzec Cię o naruszeniu.
Oceń, ile szkód zostało wyrządzonych.
Pomoc w naprawie zhakowanej witryny.

Jeśli Twoja witryna zostanie zhakowana, będziesz potrzebować najlepszych informacji, które pomogą w szybkim dochodzeniu i odzyskaniu.

Czym są dzienniki bezpieczeństwa WordPress?

Dzienniki bezpieczeństwa WordPress w iThemes Security Pro śledzi ważne zdarzenia związane z bezpieczeństwem, które występują w Twojej witrynie. Zdarzenia te są ważne do monitorowania, aby wskazać, czy lub kiedy nastąpi naruszenie bezpieczeństwa.

Dzienniki bezpieczeństwa Twojej witryny są istotną częścią każdej strategii bezpieczeństwa. Informacje znalezione w tych rekordach mogą zostać wykorzystane do zablokowania złych podmiotów, wyróżnienia niechcianej zmiany w witrynie oraz pomocy w zidentyfikowaniu i poprawieniu punktu wejścia udanego ataku.

Jak dodać dzienniki bezpieczeństwa WordPress do swojej witryny?

Najłatwiejszym sposobem dodania logowania bezpieczeństwa do swojej witryny jest wtyczka, taka jak iThemes Security Pro. Jak tylko iThemes Security Pro zostanie zainstalowany i aktywowany, rozpocznie monitorowanie i rejestrowanie ważnych działań związanych z bezpieczeństwem w Twojej witrynie.

Wtyczka dzienników bezpieczeństwa wordpress

iThemes Security Pro następnie przekształca dane z dzienników w pulpit bezpieczeństwa WordPress w czasie rzeczywistym, dzięki czemu możesz uzyskać lepszy widok wszystkich działań związanych z bezpieczeństwem w Twojej witrynie.

Sprawdź nasz post w dziennikach bezpieczeństwa WordPress, aby dowiedzieć się, jakie zdarzenia bezpieczeństwa powinieneś monitorować i jak je rejestrować.

Zobacz jak to działa

Wtyczka bezpieczeństwa WordPress może pomóc w zabezpieczeniu Twojej witryny

iThemes Security Pro, nasza wtyczka bezpieczeństwa WordPress, oferuje ponad 50 sposobów zabezpieczenia i ochrony Twojej witryny przed typowymi lukami w zabezpieczeniach WordPress. Dzięki WordPress, uwierzytelnianiu dwuskładnikowemu, ochronie przed brutalną siłą, silnemu egzekwowaniu haseł i nie tylko, możesz dodać dodatkową warstwę bezpieczeństwa do swojej witryny.

Uzyskaj iThemes Security Pro

Michael Moore

Co tydzień Michael opracowuje raport na temat luk w zabezpieczeniach WordPressa, aby pomóc chronić Twoje witryny. Jako Product Manager w iThemes pomaga nam w dalszym ulepszaniu linii produktów iThemes. Jest wielkim kujonem i uwielbia uczyć się wszystkich rzeczy technicznych, starych i nowych. Możesz znaleźć Michaela spędzającego czas z żoną i córką, czytającego lub słuchającego muzyki, gdy nie pracuje.