Podsumowanie luk w zabezpieczeniach WordPress: wrzesień 2019, część 1

W pierwszej połowie września ujawniono kilka nowych luk w wtyczkach i motywach WordPress, więc chcemy Cię poinformować. W tym poście omówimy najnowsze luki w zabezpieczeniach wtyczek i motywów WordPress oraz co zrobić, jeśli używasz jednej z wrażliwych wtyczek lub motywów w swojej witrynie.

Podsumowanie luk w zabezpieczeniach WordPress dzielimy na cztery różne kategorie:

• 1. Rdzeń WordPress
• 2. Wtyczki WordPress
• 3. Motywy WordPress
• 4. Wykroczenia z całej sieci

* Uwzględniamy naruszenia z całej sieci, ponieważ ważne jest, aby mieć świadomość luk poza ekosystemem WordPress. Exploity oprogramowania serwerowego mogą ujawnić poufne dane. Naruszenia bazy danych mogą ujawnić dane uwierzytelniające użytkowników w Twojej witrynie, otwierając drzwi dla atakujących w celu uzyskania dostępu do Twojej witryny.

Główne luki w WordPressie

Poprawki bezpieczeństwa w WordPressie 5.2.3

• Rekwizyty dla Simona Scannella z RIPS Technologies za znalezienie i ujawnienie dwóch problemów. Pierwsza, luka XSS (cross-site scripting) znaleziona w podglądach postów przez autorów. Druga to luka w zabezpieczeniach cross-site scripting w przechowywanych komentarzach.
• Rekwizyty dla Tima Coena za ujawnienie problemu, w którym weryfikacja i oczyszczanie adresu URL może prowadzić do otwartego przekierowania.
• Rekwizyty dla Anshula Jaina za ujawnienie odbitych skryptów cross-site podczas przesyłania multimediów.
• Rekwizyty dla Zhouyuana Yanga z FortiGuard Labs firmy Fortinet, który ujawnił lukę umożliwiającą wykonywanie skryptów krzyżowych (XSS) w podglądach krótkich kodów.
• Rekwizyty dla Iana Dunna z Core Security Team za znalezienie i ujawnienie przypadku, w którym na pulpicie nawigacyjnym można było znaleźć odbite skrypty cross-site.
• Rekwizyty dla Soroush Dalili (@irsdl) z NCC Group za ujawnienie problemu z oczyszczaniem adresów URL, który może prowadzić do ataków XSS (cross-site scripting).
• Oprócz powyższych zmian aktualizujemy również jQuery w starszych wersjach WordPressa. Ta zmiana została dodana w wersji 5.2.1 i jest teraz przenoszona do starszych wersji.

Luki w zabezpieczeniach wtyczki WordPress

We wrześniu wykryto kilka nowych luk w zabezpieczeniach wtyczki WordPress. Postępuj zgodnie z sugerowaną czynnością poniżej, aby zaktualizować wtyczkę lub całkowicie ją odinstalować.

1. Galeria zdjęć autorstwa 10Web

Galeria zdjęć autorstwa 10Web w wersji 1.5.34 i niższej wtyczki jest podatna na ataki SQL Injection i Cross-Site Scripting.

Co powinieneś zrobić

2. Zaawansowany menedżer dostępu

Advanced Acess Manager w wersji 5.9.8.1 i starszych zawiera lukę w zabezpieczeniach dostępu do plików i ich pobierania.

Co powinieneś zrobić

3. Bilety na wydarzenia

Event Tickets w wersji 4.10.7.1 i starszych jest podatne na wstrzyknięcie CSV.

Co powinieneś zrobić

4. Wyszukaj Wyklucz

Search Exclude w wersji 1.2.2 i starszych jest podatne na arbitralną zmianę ustawień.

Co powinieneś zrobić

5. Podnośnik LMS

LifterLMS w wersji 3.34.5 i starszych jest podatny na lukę w zabezpieczeniach importu nieuwierzytelnionych opcji.

Co powinieneś zrobić

6. Aktualizacje zawartości

Aktualizacje zawartości w wersji 2.0.4 i starszych są podatne na lukę Cross-Site Scripting.

Co powinieneś zrobić

7. Karty Qwiz

Qwizcards w wersji 3.36 i starszych jest podatne na atak typu Unautenticated Reflected Cross-Site Scripting.

Co powinieneś zrobić

8. Lista kontrolna

Lista kontrolna w wersji 1.1.5 i starszych jest podatna na atak typu Unautenticated Reflected Cross-Site Scripting.

Co powinieneś zrobić

9. Płatności Spryng dla WooCommerce

Spryng Payments dla WooCommerce w wersji 1.6.7 i starszych jest podatny na atak Cross-Site Scripting.

Co powinieneś zrobić

10. Portrait-Archiv.com Photostore

Portrait-Archiv.com Photostore w wersji 5.0.4 i starszych jest podatny na atak Cross-Site Scripting.

Co powinieneś zrobić

11. ECPay Logistics dla WooCommerce

ECPay Logistics dla WooCommerce w wersji 1.2.181030 i starszych jest podatny na atak Cross-Site Scripting.

Co powinieneś zrobić

12. Technologia obecności człowieka Ellipsis

Technologia Ellipsis Human Presence Technology w wersji 2.0.8 i starszych jest podatna na atak typu Unautenticated Reflected Cross-Site Scripting.

Co powinieneś zrobić

13. SlickQuiz

SlickQuiz w wersji 1.6.7 i starszych jest podatny na ataki Cross-Site Scripting i SQL Injection.

Co powinieneś zrobić

Motywy WordPress

Jak być proaktywnym w kwestii luk w motywach i wtyczkach WordPress

Uruchamianie przestarzałego oprogramowania jest głównym powodem ataków na witryny WordPress. Dla bezpieczeństwa Twojej witryny WordPress ma kluczowe znaczenie, jeśli masz rutynę aktualizacji. Powinieneś logować się do swoich witryn co najmniej raz w tygodniu, aby przeprowadzić aktualizacje.

Automatyczne aktualizacje mogą pomóc

Automatyczne aktualizacje to doskonały wybór dla witryn WordPress, które nie zmieniają się zbyt często. Brak uwagi często powoduje, że te strony są zaniedbane i podatne na ataki. Nawet przy zalecanych ustawieniach zabezpieczeń uruchomienie w witrynie podatnego na ataki oprogramowania może dać atakującemu punkt wejścia do witryny.

Korzystając z funkcji zarządzania wersjami wtyczki iThemes Security Pro, możesz włączyć automatyczne aktualizacje WordPress, aby mieć pewność, że otrzymujesz najnowsze poprawki zabezpieczeń. Te ustawienia pomagają chronić witrynę dzięki opcjom automatycznej aktualizacji do nowych wersji lub zwiększania bezpieczeństwa użytkowników, gdy oprogramowanie witryny jest nieaktualne.

Opcje aktualizacji zarządzania wersjami

• Aktualizacje WordPress – Automatycznie zainstaluj najnowszą wersję WordPress.
• Automatyczne aktualizacje wtyczek — Automatycznie instaluj najnowsze aktualizacje wtyczek. Powinno to być włączone, chyba że codziennie aktywnie utrzymujesz tę witrynę i instalujesz aktualizacje ręcznie wkrótce po ich wydaniu.
• Automatyczne aktualizacje motywu — automatycznie instaluj najnowsze aktualizacje motywu. Powinno to być włączone, chyba że Twój motyw ma dostosowania plików.
• Szczegółowa kontrola nad aktualizacjami wtyczek i motywów — możesz mieć wtyczki/motywy, które chcesz zaktualizować ręcznie lub opóźnić aktualizację do czasu, gdy wersja będzie stabilna. Możesz wybrać opcję Niestandardowa, aby umożliwić przypisanie każdej wtyczce lub motywowi aktualizacji natychmiastowej ( Włącz ), nie aktualizującej się wcale ( Wyłącz ) lub aktualizacji z opóźnieniem o określoną liczbę dni ( Opóźnienie ).

Wzmacnianie i ostrzeganie o krytycznych problemach

• Wzmocnij witrynę, gdy działa przestarzałe oprogramowanie — Automatycznie dodaj dodatkowe zabezpieczenia do witryny, gdy dostępna aktualizacja nie została zainstalowana przez miesiąc. Wtyczka iThemes Security automatycznie włączy bardziej rygorystyczne zabezpieczenia, gdy aktualizacja nie zostanie zainstalowana przez miesiąc. Po pierwsze, zmusi wszystkich użytkowników, którzy nie mają włączonej funkcji dwuskładnikowej, do podania kodu logowania wysłanego na ich adres e-mail przed ponownym zalogowaniem. Po drugie, wyłączy Edytor plików WP (aby zablokować osobom możliwość edycji kodu wtyczki lub motywu) , pingbacki XML-RPC i blokowanie wielokrotnych prób uwierzytelnienia na żądanie XML-RPC (obie te działania wzmocnią XML-RPC przed atakami bez konieczności całkowitego wyłączania).
• Skanuj w poszukiwaniu innych starych witryn WordPress — sprawdzi to, czy na Twoim koncie hostingowym nie ma innych nieaktualnych instalacji WordPress. Pojedyncza nieaktualna witryna WordPress z luką może umożliwić atakującym złamanie zabezpieczeń wszystkich innych witryn na tym samym koncie hostingowym.
• Wysyłaj powiadomienia e-mail — w przypadku problemów wymagających interwencji wysyłana jest wiadomość e-mail do użytkowników na poziomie administratora.

Wykroczenia z całej sieci

1. Konto Jacka Dorseya na Twitterze zostało zhakowane

Jack Dorsey, dyrektor generalny Twittera, padł ofiarą ataku typu SIM swap. Zamiana karty SIM ma miejsce, gdy osoba atakująca współpracuje z operatorem telefonu komórkowego w celu przeniesienia telefonu na inny telefon. Po przejęciu Twojego numeru telefonu złośliwy aktor może następnie otrzymać Twoje dwuskładnikowe kody SMS.

Po tym, jak grupa hakerów Chuckle Squad przejęła kontrolę nad numerem telefonu komórkowego Dorsey, byli w stanie użyć Cloudhoppera do wysłania tweetów. Cloudhopper to firma, która została wcześniej przejęta przez Twittera, aby ułatwić ludziom tweetowanie za pośrednictwem wiadomości tekstowych.

2. Luka w phpMyAdmin

Wersja PHP 4.9.0.1 jest podatna na nowy atak Cross-Site Request Forgery i jest to zero-day. Luka pozwoli atakującemu na wywołanie ataku CSRF na użytkownika phpMyAdmin usuwającego dowolny serwer na stronie Ustawienia.

Pamiętaj, aby zaktualizować phpMyAdmin po wydaniu poprawki bezpieczeństwa.

Wtyczka bezpieczeństwa WordPress może pomóc w zabezpieczeniu Twojej witryny

iThemes Security Pro, nasza wtyczka bezpieczeństwa WordPress, oferuje ponad 30 sposobów zabezpieczenia i ochrony Twojej witryny przed typowymi lukami w zabezpieczeniach WordPress. Dzięki dwuskładnikowemu uwierzytelnianiu WordPress, ochronie przed brute force, silnemu egzekwowaniu haseł i nie tylko, możesz dodać dodatkową warstwę bezpieczeństwa do swojej witryny.

Uzyskaj iThemes Security Pro

Michael Moore

Co tydzień Michael opracowuje raport na temat luk w zabezpieczeniach WordPressa, aby pomóc chronić Twoje witryny. Jako Product Manager w iThemes pomaga nam w dalszym ulepszaniu linii produktów iThemes. Jest wielkim kujonem i uwielbia uczyć się wszystkich rzeczy technicznych, starych i nowych. Możesz znaleźć Michaela spędzającego czas z żoną i córką, czytającego lub słuchającego muzyki, gdy nie pracuje.