Resumo de vulnerabilidades do WordPress: novembro de 2019, parte 1
Publicados: 2019-11-15Vários novos plug-ins do WordPress e vulnerabilidades de tema foram divulgados durante a primeira quinzena de novembro, portanto, queremos mantê-lo informado. Neste post, cobrimos vulnerabilidades recentes de plug-ins e temas do WordPress e o que fazer se você estiver executando um dos plug-ins ou temas vulneráveis em seu site.
Dividimos o Resumo de Vulnerabilidades do WordPress em quatro categorias diferentes:
- 1. Núcleo do WordPress
- 2. Plugins WordPress
- 3. Temas WordPress
- 4. Violações de toda a web
* Incluímos violações de toda a web porque é essencial também estar ciente das vulnerabilidades fora do ecossistema WordPress. Explorações de software de servidor podem expor dados confidenciais. Violações de banco de dados podem expor as credenciais dos usuários em seu site, abrindo a porta para que invasores acessem seu site.
Atualização de segurança do núcleo do WordPress
O WordPress 5.3 caiu esta semana, então certifique-se de atualizar seus sites o mais rápido possível. Aqui está uma rápida olhada nos 20 principais novos recursos e melhorias no WordPress 5.3.
Vulnerabilidades de plug-ins do WordPress
Várias novas vulnerabilidades de plug-ins do WordPress foram descobertas em outubro. Certifique-se de seguir a ação sugerida abaixo para atualizar o plug-in ou desinstalá-lo completamente.
1. SVG seguro
O Safe SVG versão 1.9.5 e anterior é vulnerável a um ataque Cross-Site Scripting Bypass. A vulnerabilidade permite que um invasor ignore a proteção adicionada pelo Safe SVG.
O que você deveria fazer
2. Comutador de moeda para WooCommerce
Currency Switcher for WooCommerce versão 2.11.1 tem uma vulnerabilidade de desvio de restrições de segurança que permitiria a um invasor habilitar uma moeda não habilitada atualmente nas configurações.
O que você deveria fazer
3. Tidio Live Chat
O Tidio Live Chat versão 4.1 e inferior é vulnerável a uma falsificação de solicitação entre sites, levando a um ataque de script entre sites. A vulnerabilidade permitiria que um invasor enganasse os administradores para que adicionassem uma carga maliciosa que seria apresentada a todos os visitantes.
O que você deveria fazer
4. IgniteUp - Em breve e modo de manutenção
IgniteUp - Em breve e modo de manutenção versão 3.4 e abaixo tem várias vulnerabilidades.
- Exclusão de arquivo arbitrário
- Injeção de HTML e CSRF em mensagens de e-mail
- Scripting Cross-Site Armazenado
- Divulgação do endereço de e-mail dos assinantes
- Exclusão arbitrária de assinante
- Mudança de modelo de plugin arbitrário
O que você deveria fazer
5. Blog2Social: Postagem automática e agendador de mídia social
Blog2Social: Social Media Auto Post & Scheduler versão 5.8.1 tem uma vulnerabilidade de Cross-Site Scripting. A vulnerabilidade permite que um invasor execute código HTML e JavaScript arbitrário que pode ser executado por meio de um link malicioso.
O que você deveria fazer
6. WP Google Review Slider
O WP Google Review Slider versão 6.1 é vulnerável a um ataque de injeção SQL autenticada.
O que você deveria fazer
7. Framework de plug-ins YITH (39 plug-ins individuais)
O conjunto YITH de plug-ins WooCommerce é vulnerável a um ataque de Alteração de configurações autenticadas. Este gráfico resume todos os 39 plug-ins YITH vulneráveis:
Resumo das vulnerabilidades do plug-in YITH
versão 2.2.14.
versão 2.3.15.
1.3.15.
1.3.12.
1.7.1.
1.3.21.
versão 1.3.7.
versão 1.4.9.
versão 1.3.6.
versão 1.2.11.
versão 1.2.13.
versão 1.2.1.
versão 1.2.1.
versão 1.5.23.
versão 1.3.8.
para a versão 1.3.6.
para a versão 1.6.3.
para a versão 1.4.5.
atualize-o para a versão 1.1.17.
atualize-o para a versão 1.2.14.
atualize-o para a versão 1.7.5.
atualize-o para a versão 1.8.13.
deve atualizá-lo para a versão 1.1.8.
deve atualizá-lo para a versão 1.1.13.
deve atualizá-lo para a versão 1.3.13.
você deve atualizá-lo para a versão 1.2.15.
você deve atualizá-lo para a versão 2.0.2.
e você deve atualizá-lo para a versão
1.3.11.
e você deve atualizá-lo para a versão
1.3.6.
patcheado, e você deve atualizá-lo
para a versão 1.3.6.
WooCommerce
corrigido, e você deve atualizar
para a versão 1.0.12.
Gateway de pagamento
corrigido, e você deve atualizar
para a versão 1.1.13.
patcheado, e você deve
atualize-o para a versão 1.1.13.
patcheado, e você deve
atualize-o para a versão
2.1.4.
Vendedores
foi corrigido, e você
deve atualizá-lo para
versão 3.4.1.
e respostas
foi corrigido, e você
deve atualizá-lo para
versão 1.2.0.
Carrinho Abandonado
foi corrigido,
e você deveria
atualize-o para a versão
1.2.0.
Check-out para
WooCommerce
foi corrigido,
e você deveria
atualize-o para
versão 1.2.6.
Notificações
para
WooCommerce
vulnerabilidade
foi
remendado e você
deveria atualizá-lo
para a versão
1.2.8.
Temas WordPress
1. Zoner - Tema Imobiliário
Zoner Real Estate Theme versão 4.1.1 e abaixo de vulnerabilidades Persistent Cross-Site Scripting e Insegure Direct Object Reference.
O que você deveria fazer
Como ser proativo em relação às vulnerabilidades de plug-ins e temas do WordPress
Executar software desatualizado é o principal motivo pelo qual os sites do WordPress são hackeados. É crucial para a segurança do seu site WordPress que você tenha uma rotina de atualização. Você deve entrar em seus sites pelo menos uma vez por semana para realizar atualizações.
Atualizações automáticas podem ajudar
As atualizações automáticas são uma ótima opção para sites WordPress que não mudam com muita frequência. A falta de atenção geralmente deixa esses sites negligenciados e vulneráveis a ataques. Mesmo com as configurações de segurança recomendadas, a execução de software vulnerável em seu site pode fornecer a um invasor um ponto de entrada em seu site.
Usando o recurso de gerenciamento de versão do plugin iThemes Security Pro, você pode habilitar atualizações automáticas do WordPress para garantir que está obtendo os patches de segurança mais recentes. Essas configurações ajudam a proteger seu site com opções para atualizar automaticamente para novas versões ou aumentar a segurança do usuário quando o software do site está desatualizado.
Opções de atualização de gerenciamento de versão
- Atualizações do WordPress - instale automaticamente a versão mais recente do WordPress.
- Atualizações automáticas de plug-ins - instala automaticamente as atualizações de plug-ins mais recentes. Isso deve ser habilitado, a menos que você mantenha ativamente este site diariamente e instale as atualizações manualmente logo após serem lançadas.
- Atualizações automáticas de tema - instala automaticamente as atualizações de tema mais recentes. Isso deve ser habilitado, a menos que seu tema tenha personalizações de arquivo.
- Controle granular sobre atualizações de plug-ins e temas - você pode ter plug-ins / temas que gostaria de atualizar manualmente ou atrasar a atualização até que o lançamento tenha tempo de se provar estável. Você pode escolher Personalizado para a oportunidade de atribuir cada plugin ou tema para atualizar imediatamente ( Ativar ), não atualizar automaticamente ( Desativar ) ou atualizar com um atraso de um determinado período de dias ( Atraso ).
Fortalecimento e alerta para questões críticas
- Fortaleça o site ao executar software desatualizado - adicione automaticamente proteções extras ao site quando uma atualização disponível não tiver sido instalada por um mês. O plugin de segurança do iThemes ativará automaticamente uma segurança mais rígida quando uma atualização não for instalada por um mês. Primeiro, ele forçará todos os usuários que não têm dois fatores habilitados a fornecer um código de login enviado para seu endereço de e-mail antes de fazer o login novamente. Em segundo lugar, ele desabilitará o Editor de Arquivos WP (para impedir que as pessoas editem o plugin ou o código do tema) , Pingbacks XML-RPC e bloquear várias tentativas de autenticação por solicitação XML-RPC (ambos tornarão o XML-RPC mais forte contra ataques sem ter que desligá-lo completamente).
- Scan for Other Old WordPress Sites - Isto irá verificar se há outras instalações WordPress desatualizadas em sua conta de hospedagem. Um único site WordPress desatualizado com uma vulnerabilidade pode permitir que invasores comprometam todos os outros sites na mesma conta de hospedagem.
- Enviar notificações por email - para problemas que requerem intervenção, um email é enviado aos usuários de nível de administrador.
Violações da Web
1. Os usuários do WordPress infectam seus próprios sites com plug-ins e temas pirateados
De acordo com o WordFence, houve um aumento na campanha de malvertising do WP-VCD. Esse malware específico é bastante desagradável, pois é muito difícil de remover completamente de um site infectado e pode se espalhar para outros sites WordPress no servidor. A parte mais frustrante para os proprietários de sites que foram afetados pelo malware WP-VCD é que eles infectaram seu próprio site. Os proprietários de sites que instalaram versões gratuitas e piratas de plug-ins e temas pagos receberam um pouco mais do que esperavam. O software pirateado incluía código malicioso que criava uma porta dos fundos com um tapete de boas-vindas para o vírus WP-VCD.
No primeiro dia da Semana de Desastres do iThemes WordPress, abordamos como evitar um desastre de segurança. Uma das coisas significativas que cobrimos foi limitar as oportunidades de exploração do PHP apenas instalando software de fontes confiáveis. Ter um site infectado com malware sempre fica pior quando você sabe que isso poderia e deveria ter sido evitado.
Resumo das vulnerabilidades do WordPress para
Novembro de 2019, Parte 1
O Safe SVG versão 1.9.5 e anterior é vulnerável a um ataque Cross-Site Scripting Bypass.
O Currency Switcher for WooCommerce versão 2.11.1 e inferior é vulnerável a um ataque de desvio de restrição de segurança.
O Tidio Live Chat versão 4.1 e inferior é vulnerável a uma falsificação de solicitação entre sites, levando a um ataque de script entre sites.
IgniteUp - Em breve e modo de manutenção versão 3.4 e abaixo tem várias vulnerabilidades.
Blog2Social: Social Media Auto Post & Scheduler versão 5.8.1 e anterior é vulnerável a um ataque de Cross-Site Scripting.
WP Google Review Slider versão 6.1 e abaixo é vulnerável a um ataque de injeção de SQL autenticado.
YITH Plugin Framework O conjunto YITH de plug-ins WooCommerce é vulnerável a um ataque de Alteração de Configurações Autenticadas.
Um plug-in de segurança do WordPress pode ajudar a proteger seu site
O iThemes Security Pro, nosso plugin de segurança para WordPress, oferece mais de 30 maneiras de proteger e proteger seu site de vulnerabilidades comuns de segurança do WordPress. Com a autenticação de dois fatores do WordPress, proteção de força bruta, aplicação de senha forte e muito mais, você pode adicionar uma camada extra de segurança ao seu site.
Obtenha o iThemes Security Pro
A cada semana, Michael elabora o Relatório de vulnerabilidade do WordPress para ajudar a manter seus sites seguros. Como Gerente de Produto da iThemes, ele nos ajuda a continuar melhorando a linha de produtos da iThemes. Ele é um nerd gigante e adora aprender sobre todas as coisas de tecnologia, antigas e novas. Você pode encontrar Michael saindo com sua esposa e filha, lendo ou ouvindo música quando não está trabalhando.
