Resumo de vulnerabilidades do WordPress: setembro de 2019, parte 2

7. DELUCKS SEO

DELUCKS SEO versão 2.1.7 e abaixo tem uma vulnerabilidade de atualização de opção não autenticada.

O que você deveria fazer

8. Avaliações ricas

Rich Reviews versão 1.7.4 e abaixo tem uma vulnerabilidade de atualização de opções de plug-in não autenticado.

O que você deveria fazer

Temas WordPress

9. Selio - Diretório de Imóveis

Selio - Real Estate Directory versão 1.1 e abaixo tem uma vulnerabilidade SQL Injection e Persistent Cross-Site Scripting.

O que você deveria fazer

10. Nexos - Imóveis

Nexos - Real Estate versão 1.1 e abaixo tem uma vulnerabilidade SQL Injection e Persistent Cross-Site Scripting.

O que você deveria fazer

Como ser proativo em relação às vulnerabilidades de plug-ins e temas do WordPress

Executar software desatualizado é o principal motivo pelo qual os sites do WordPress são hackeados. É crucial para a segurança do seu site WordPress que você tenha uma rotina de atualização. Você deve entrar em seus sites pelo menos uma vez por semana para realizar atualizações.

Atualizações automáticas podem ajudar

As atualizações automáticas são uma ótima opção para sites WordPress que não mudam com muita frequência. A falta de atenção geralmente deixa esses sites negligenciados e vulneráveis ​​a ataques. Mesmo com as configurações de segurança recomendadas, a execução de software vulnerável em seu site pode fornecer a um invasor um ponto de entrada em seu site.

Usando o recurso de gerenciamento de versão do plugin iThemes Security Pro, você pode habilitar atualizações automáticas do WordPress para garantir que está obtendo os patches de segurança mais recentes. Essas configurações ajudam a proteger seu site com opções para atualizar automaticamente para novas versões ou aumentar a segurança do usuário quando o software do site está desatualizado.

Opções de atualização de gerenciamento de versão

• Atualizações do WordPress - instale automaticamente a versão mais recente do WordPress.
• Atualizações automáticas de plug-ins - instala automaticamente as atualizações de plug-ins mais recentes. Isso deve ser habilitado, a menos que você mantenha ativamente este site diariamente e instale as atualizações manualmente logo após serem lançadas.
• Atualizações automáticas de tema - instala automaticamente as atualizações de tema mais recentes. Isso deve ser habilitado, a menos que seu tema tenha personalizações de arquivo.
• Controle granular sobre atualizações de plug-ins e temas - você pode ter plug-ins / temas que gostaria de atualizar manualmente ou atrasar a atualização até que o lançamento tenha tempo de se provar estável. Você pode escolher Personalizado para a oportunidade de atribuir cada plugin ou tema para atualizar imediatamente ( Ativar ), não atualizar automaticamente ( Desativar ) ou atualizar com um atraso de um determinado período de dias ( Atraso ).

Fortalecimento e alerta para questões críticas

• Fortaleça o site ao executar software desatualizado - adicione automaticamente proteções extras ao site quando uma atualização disponível não tiver sido instalada por um mês. O plugin de segurança do iThemes ativará automaticamente uma segurança mais rígida quando uma atualização não for instalada por um mês. Primeiro, ele forçará todos os usuários que não têm dois fatores habilitados a fornecer um código de login enviado para seu endereço de e-mail antes de fazer o login novamente. Em segundo lugar, ele desabilitará o Editor de Arquivos WP (para impedir que as pessoas editem o plugin ou o código do tema) , Executa pingbacks de XML-RPC e bloqueia várias tentativas de autenticação por solicitação XML-RPC (ambos tornarão o XML-RPC mais forte contra ataques sem ter que desligá-lo completamente).
• Scan for Other Old WordPress Sites - Isto irá verificar se há outras instalações WordPress desatualizadas em sua conta de hospedagem. Um único site WordPress desatualizado com uma vulnerabilidade pode permitir que invasores comprometam todos os outros sites na mesma conta de hospedagem.
• Enviar notificações por email - para problemas que requerem intervenção, um email é enviado aos usuários de nível de administrador.

Violações da Web

1. DoorDash

A DoorDash divulgou em uma postagem do blog que 4,9 milhões de dados de clientes, comerciantes e funcionários foram comprometidos durante uma violação ocorrida em 4 de maio de 2019.

A violação incluiu nomes, endereços de e-mail, endereços físicos, números de telefone e senhas com hash. Felizmente, eles não armazenaram as senhas em texto simples, então será muito difícil para o invasor decifrar e usar as senhas.

Os últimos 4 dígitos de alguns cartões de crédito foram comprometidos, mas nenhum número completo de cartão de crédito ou números CVV foram acessados.

Infelizmente, alguns dos números das carteiras de motorista dos funcionários foram incluídos na violação.

Se você for um cliente do DoorDash, pode contatá-lo no call center dedicado, a configuração para suporte em 855-646-4683

2. LastPass

O Chrome Project Zero descobriu e divulgou uma vulnerabilidade na extensão LastPass para Chrome e Opera. A vulnerabilidade permitiria que um site mal-intencionado gere um pop-up e ignore o do_popupregister () para obter as credenciais da última conta conectada usando o LastPass.

Não há evidências de que essa vulnerabilidade tenha sido explorada em estado selvagem e o LastPass lançou um patch para as versões do Chrome e Opera de sua extensão.

A vulnerabilidade destaca a importância de usar a autenticação de dois fatores e me deixa cada vez mais animado com o futuro sem senha.

Um plug-in de segurança do WordPress pode ajudar a proteger seu site

O iThemes Security Pro, nosso plugin de segurança para WordPress, oferece mais de 30 maneiras de proteger e proteger seu site de vulnerabilidades comuns de segurança do WordPress. Com a autenticação de dois fatores do WordPress, proteção de força bruta, aplicação de senha forte e muito mais, você pode adicionar uma camada extra de segurança ao seu site.

Obtenha o iThemes Security