Resumo de vulnerabilidades do WordPress: dezembro de 2019

2. Materialis

Materialis versões 1.0.172 e abaixo têm uma vulnerabilidade de atualização de opções autenticadas.

O que você deveria fazer

Como ser proativo em relação às vulnerabilidades de plug-ins e temas do WordPress

Executar software desatualizado é o principal motivo pelo qual os sites do WordPress são hackeados. É crucial para a segurança do seu site WordPress que você tenha uma rotina de atualização. Você deve entrar em seus sites pelo menos uma vez por semana para realizar atualizações.

Atualizações automáticas podem ajudar

As atualizações automáticas são uma ótima opção para sites WordPress que não mudam com muita frequência. A falta de atenção geralmente deixa esses sites negligenciados e vulneráveis ​​a ataques. Mesmo com as configurações de segurança recomendadas, a execução de software vulnerável em seu site pode fornecer a um invasor um ponto de entrada em seu site.

Usando o recurso de gerenciamento de versão do plugin iThemes Security Pro, você pode habilitar atualizações automáticas do WordPress para garantir que está obtendo os patches de segurança mais recentes. Essas configurações ajudam a proteger seu site com opções para atualizar automaticamente para novas versões ou aumentar a segurança do usuário quando o software do site está desatualizado.

Opções de atualização de gerenciamento de versão

• Atualizações do WordPress - instale automaticamente a versão mais recente do WordPress.
• Atualizações automáticas de plug-ins - instala automaticamente as atualizações de plug-ins mais recentes. Isso deve ser habilitado, a menos que você mantenha ativamente este site diariamente e instale as atualizações manualmente logo após serem lançadas.
• Atualizações automáticas de tema - instala automaticamente as atualizações de tema mais recentes. Isso deve ser habilitado, a menos que seu tema tenha personalizações de arquivo.
• Controle granular sobre atualizações de plug-ins e temas - você pode ter plug-ins / temas que gostaria de atualizar manualmente ou atrasar a atualização até que o lançamento tenha tempo de se provar estável. Você pode escolher Personalizado para a oportunidade de atribuir cada plugin ou tema para atualizar imediatamente ( Ativar ), não atualizar automaticamente ( Desativar ) ou atualizar com um atraso de um determinado período de dias ( Atraso ).

Fortalecimento e alerta para questões críticas

• Fortaleça o site ao executar software desatualizado - adicione automaticamente proteções extras ao site quando uma atualização disponível não tiver sido instalada por um mês. O plugin de segurança do iThemes ativará automaticamente uma segurança mais rígida quando uma atualização não for instalada por um mês. Primeiro, ele forçará todos os usuários que não têm dois fatores habilitados a fornecer um código de login enviado para seu endereço de e-mail antes de fazer o login novamente. Em segundo lugar, ele desabilitará o Editor de Arquivos WP (para impedir que as pessoas editem o plugin ou o código do tema) , Pingbacks XML-RPC e bloquear várias tentativas de autenticação por solicitação XML-RPC (ambos tornarão o XML-RPC mais forte contra ataques sem ter que desligá-lo completamente).
• Scan for Other Old WordPress Sites - Isto irá verificar se há outras instalações WordPress desatualizadas em sua conta de hospedagem. Um único site WordPress desatualizado com uma vulnerabilidade pode permitir que invasores comprometam todos os outros sites na mesma conta de hospedagem.
• Enviar notificações por email - para problemas que requerem intervenção, um email é enviado aos usuários de nível de administrador.

Gerenciando vários sites WP? Atualize Plugins, Temas e Core de uma vez a partir do Painel de Sincronização do iThemes

iThemes Sync é nosso painel central para ajudá-lo a gerenciar vários sites WordPress. No painel de sincronização, você pode visualizar as atualizações disponíveis para todos os seus sites e, em seguida, atualizar plug-ins, temas e o núcleo do WordPress com um clique . Você também pode receber notificações diárias por e-mail quando uma nova atualização de versão estiver disponível.

Violações da Web

Incluímos violações de toda a web porque é essencial também estar ciente das vulnerabilidades fora do ecossistema WordPress. Explorações de software de servidor podem expor dados confidenciais. Violações de banco de dados podem expor as credenciais dos usuários em seu site, abrindo a porta para que invasores acessem seu site.

1. Ring Camera Hacks

Infelizmente, algumas famílias estão relatando episódios de assédio depois que seus dispositivos Ring foram hackeados. Se você estiver usando qualquer câmera de segurança que permite visualizar remotamente um feed ao vivo, você deve saber como os hackers estão invadindo as câmeras anelares.

De acordo com um porta-voz do Ring, esses relatórios de hacks foram isolados e não foram relacionados a hackeados ou violações do Ring Security. Essa é uma excelente notícia e significa que o provável culpado dos hacks foram as senhas fracas e o não uso de 2FA. Um ataque de força bruta, quando um bot malicioso tenta uma combinação aleatória de nomes de usuário e senhas até obter sucesso e eles podem obter acesso à sua conta.

Felizmente para nós, é muito fácil proteger suas contas de um ataque de força bruta. De acordo com pesquisas de segurança do Google, o uso de autenticação de dois fatores interromperá 100% dos ataques de bots. Se você estiver instalando um dispositivo IoT - especialmente um que permite ver e ouvir o que está acontecendo dentro de sua casa - certifique-se de proteger você e seu família usando uma senha forte e autenticação de dois fatores.

Resumo das vulnerabilidades do WordPress para
Dezembro de 2019, Parte 1