Podsumowanie luk w zabezpieczeniach WordPress: wrzesień 2019, część 2

Opublikowany: 2019-11-13

* Zaktualizowano 13 listopada 2019 r., aby odzwierciedlić przyjęcie i poprawkę Rich Reviews autorstwa Starfish Reviews. Wielkie podziękowania dla Starfish Reviews za uratowanie wtyczki Rich Reviews!

W drugiej połowie września ujawniono kilka nowych luk w wtyczkach i motywach WordPressa, więc chcemy Cię poinformować. W tym poście omówimy najnowsze luki w zabezpieczeniach wtyczek i motywów WordPress oraz co zrobić, jeśli używasz jednej z wrażliwych wtyczek lub motywów w swojej witrynie.

Podsumowanie luk w zabezpieczeniach WordPress dzielimy na cztery różne kategorie:

1. Rdzeń WordPress
2. Wtyczki WordPress
3. Motywy WordPress
4. Wykroczenia z całej sieci

* Uwzględniamy naruszenia z całej sieci, ponieważ ważne jest, aby mieć świadomość luk poza ekosystemem WordPress. Exploity oprogramowania serwerowego mogą ujawnić poufne dane. Naruszenia bazy danych mogą ujawnić dane uwierzytelniające użytkowników w Twojej witrynie, otwierając drzwi dla atakujących w celu uzyskania dostępu do Twojej witryny.

Główne luki w WordPressie

W drugiej połowie września 2019 r. nie ujawniono żadnych luk WordPressa.

Luki w zabezpieczeniach wtyczki WordPress

W sierpniu wykryto kilka nowych luk w zabezpieczeniach wtyczki WordPress. Postępuj zgodnie z sugerowaną czynnością poniżej, aby zaktualizować wtyczkę lub całkowicie ją odinstalować.

1. Fragmenty reklam drzewiastych

Logo fragmentów reklamy drzewnej

Woody Ad Snippets w wersji 2.2.8 i starszych jest podatny na atak Cross-Site Scripting.

Co powinieneś zrobić

Luka została załatana i należy zaktualizować ją do wersji 2.2.9.

2. Łatwe FancyBox

Łatwe logo FancyBox

Easy FancyBox w wersji 1.8.17 i starszych jest podatny na atak Cross-Site Scripting.

Co powinieneś zrobić

Luka została załatana i należy zaktualizować ją do wersji 1.8.18.

3. Zaawansowane filtry produktów AJAX

zaawansowane logo filtra produktów ajax

Zaawansowane filtry produktów AJAX w wersji 1.3.6 i starszych są podatne na aktualizację nieuwierzytelnionych ustawień. Luka umożliwiłaby atakującemu przekierowanie ruchu do złośliwej witryny.

Co powinieneś zrobić

Luka została załatana i należy zaktualizować ją do wersji 1.3.7.

4. Daj

Give w wersji 2.5.4 i niższej jest podatna na atak z obejściem uwierzytelniania.

Co powinieneś zrobić

Luka została załatana i należy zaktualizować ją do wersji 2.5.5.

5. Motors Dealer samochodowy i ogłoszenia drobne

Logo dealera samochodowego i ogłoszeń drobnych

Motors Car Dealer & Classified Ads w wersji 1.4.0 i starszych ma wiele luk, w tym import i eksport nieuwierzytelnionych ustawień, co prowadzi do ataku Stored Cross-Site Scripting. Luka umożliwiłaby atakującemu przekierowanie ruchu do złośliwej witryny.

Co powinieneś zrobić

Luka została załatana i należy zaktualizować ją do wersji 1.4.1.

6. Najczęstsze pytania

Najlepsze logo FAQ

Ultimate FAQ w wersji 1.8.24 i starszych jest podatny na atak nieuwierzytelnionego importu i eksportu ustawień.

Co powinieneś zrobić

Luka została załatana i należy zaktualizować ją do wersji 1.8.25.

7. BRAKUJE SEO

Usuwa logo SEO

DELUCKS SEO w wersji 2.1.7 i niższej zawiera lukę w zabezpieczeniach nieuwierzytelnionej aktualizacji opcji.

Co powinieneś zrobić

Luka została załatana i należy zaktualizować ją do wersji 2.1.8.

8. Bogate recenzje

Bogate logo recenzji

Bogate recenzje w wersji 1.7.4 i starszej zawierają lukę dotyczącą aktualizacji nieuwierzytelnionych opcji wtyczek.

Co powinieneś zrobić

Luka została załatana i należy zaktualizować ją do wersji 1.83.

Motywy WordPress

9. Selio – Katalog nieruchomości

Selio Logo

Selio – Katalog nieruchomości w wersji 1.1 i niższych zawiera lukę SQL Injection i Persistent Cross-Site Scripting.

Co powinieneś zrobić

Luka została załatana i należy zaktualizować ją do wersji 1.1.1.

10. Nexos – Nieruchomości

Logo Nexosa

Nexos – Real Estate w wersji 1.1 i starszej ma lukę SQL Injection i Persistent Cross-Site Scripting.

Co powinieneś zrobić

Luka została załatana i należy zaktualizować ją do wersji 1.1.1.

Jak być proaktywnym w kwestii luk w motywach i wtyczkach WordPress

Uruchamianie przestarzałego oprogramowania jest głównym powodem ataków na witryny WordPress. Dla bezpieczeństwa Twojej witryny WordPress ma kluczowe znaczenie, jeśli masz rutynę aktualizacji. Powinieneś logować się do swoich witryn co najmniej raz w tygodniu, aby przeprowadzić aktualizacje.

Automatyczne aktualizacje mogą pomóc

Automatyczne aktualizacje to doskonały wybór dla witryn WordPress, które nie zmieniają się zbyt często. Brak uwagi często powoduje, że te strony są zaniedbane i podatne na ataki. Nawet przy zalecanych ustawieniach zabezpieczeń uruchomienie w witrynie podatnego na ataki oprogramowania może dać atakującemu punkt wejścia do witryny.

Korzystając z funkcji zarządzania wersjami wtyczki iThemes Security Pro, możesz włączyć automatyczne aktualizacje WordPress, aby mieć pewność, że otrzymujesz najnowsze poprawki zabezpieczeń. Te ustawienia pomagają chronić witrynę dzięki opcjom automatycznej aktualizacji do nowych wersji lub zwiększania bezpieczeństwa użytkowników, gdy oprogramowanie witryny jest nieaktualne.

Opcje aktualizacji zarządzania wersjami

Aktualizacje WordPress – Automatycznie zainstaluj najnowszą wersję WordPress.
Automatyczne aktualizacje wtyczek — Automatycznie instaluj najnowsze aktualizacje wtyczek. Powinno to być włączone, chyba że codziennie aktywnie utrzymujesz tę witrynę i instalujesz aktualizacje ręcznie wkrótce po ich wydaniu.
Automatyczne aktualizacje motywu — automatycznie instaluj najnowsze aktualizacje motywu. Powinno to być włączone, chyba że Twój motyw ma dostosowania plików.
Szczegółowa kontrola nad aktualizacjami wtyczek i motywów — możesz mieć wtyczki/motywy, które chcesz zaktualizować ręcznie lub opóźnić aktualizację do czasu, gdy wersja będzie stabilna. Możesz wybrać opcję Niestandardowa, aby umożliwić przypisanie każdej wtyczce lub motywowi aktualizacji natychmiastowej ( Włącz ), nie aktualizującej się wcale ( Wyłącz ) lub aktualizacji z opóźnieniem o określoną liczbę dni ( Opóźnienie ).

Wzmacnianie i ostrzeganie o krytycznych problemach

Wzmocnij witrynę, gdy działa przestarzałe oprogramowanie — Automatycznie dodaj dodatkowe zabezpieczenia do witryny, gdy dostępna aktualizacja nie została zainstalowana przez miesiąc. Wtyczka iThemes Security automatycznie włączy bardziej rygorystyczne zabezpieczenia, gdy aktualizacja nie zostanie zainstalowana przez miesiąc. Po pierwsze, zmusi wszystkich użytkowników, którzy nie mają włączonej funkcji dwuskładnikowej, do podania kodu logowania wysłanego na ich adres e-mail przed ponownym zalogowaniem. Po drugie, wyłączy Edytor plików WP (aby zablokować osobom możliwość edycji kodu wtyczki lub motywu) , pingbacki XML-RPC i blokowanie wielokrotnych prób uwierzytelnienia na żądanie XML-RPC (obie te działania wzmocnią XML-RPC przed atakami bez konieczności całkowitego wyłączania).
Skanuj w poszukiwaniu innych starych witryn WordPress — sprawdzi to, czy na Twoim koncie hostingowym nie ma innych nieaktualnych instalacji WordPress. Pojedyncza nieaktualna witryna WordPress z luką może umożliwić atakującym złamanie zabezpieczeń wszystkich innych witryn na tym samym koncie hostingowym.
Wysyłaj powiadomienia e-mail — w przypadku problemów wymagających interwencji wysyłana jest wiadomość e-mail do użytkowników na poziomie administratora.

Wykroczenia z całej sieci

1. Kreska drzwi

Logo szyldu drzwi

DoorDash ujawnił w poście na blogu, że 4,9 miliona klientów, sprzedawców i danych pracowników zostało skompromitowanych podczas naruszenia, które miało miejsce 4 maja 2019 r.

Naruszenie obejmowało nazwiska, adresy e-mail, adresy fizyczne, numery telefonów i zaszyfrowane hasła. Na szczęście nie przechowywali haseł w postaci zwykłego tekstu, więc hakerowi będzie bardzo trudno odszyfrować i użyć haseł.

Ostatnie 4 cyfry niektórych kart kredytowych zostały naruszone, ale nie uzyskano dostępu do pełnych numerów kart kredytowych ani numerów CVV.

Niestety niektóre z numerów prawa jazdy pracowników zostały uwzględnione w naruszeniu.

Jeśli jesteś klientem DoorDash, możesz skontaktować się z nimi w dedykowanym centrum obsługi telefonicznej, aby uzyskać pomoc pod numerem 855–646–4683

2. Ostatnie przejście

Logo LastPass

Chrome Project Zero wykrył i ujawnił lukę w rozszerzeniu LastPass dla Chrome i Opery. Luka umożliwiłaby złośliwej witrynie wygenerowanie wyskakującego okienka i ominięcie funkcji do_popupregister() w celu uzyskania danych uwierzytelniających ostatniego zalogowanego konta przy użyciu LastPass.

Nie ma dowodów na to, że ta luka została kiedykolwiek wykorzystana na wolności, a LastPass wydał łatkę dla wersji Chrome i Opera swojego rozszerzenia.

Luka ta podkreśla znaczenie korzystania z uwierzytelniania dwuskładnikowego i sprawia, że coraz bardziej ekscytuję się przyszłością bez haseł.

Wtyczka bezpieczeństwa WordPress może pomóc w zabezpieczeniu Twojej witryny

iThemes Security Pro, nasza wtyczka bezpieczeństwa WordPress, oferuje ponad 30 sposobów zabezpieczenia i ochrony Twojej witryny przed typowymi lukami w zabezpieczeniach WordPress. Dzięki dwuskładnikowemu uwierzytelnianiu WordPress, ochronie przed brute force, silnemu egzekwowaniu haseł i nie tylko, możesz dodać dodatkową warstwę bezpieczeństwa do swojej witryny.

Dowiedz się więcej o bezpieczeństwie WordPress z 10 kluczowymi wskazówkami. Pobierz teraz ebook: Przewodnik po zabezpieczeniach WordPress

Pobierz teraz

Uzyskaj zabezpieczenia iThemes

Michael Moore

Co tydzień Michael opracowuje raport na temat luk w zabezpieczeniach WordPressa, aby pomóc chronić Twoje witryny. Jako Product Manager w iThemes pomaga nam w dalszym ulepszaniu linii produktów iThemes. Jest wielkim kujonem i uwielbia uczyć się wszystkich rzeczy technicznych, starych i nowych. Możesz znaleźć Michaela spędzającego czas z żoną i córką, czytającego lub słuchającego muzyki, gdy nie pracuje.