Raport de vulnerabilitate WordPress: mai 2021, partea 1

Publicat: 2021-05-05

Pluginurile și temele vulnerabile sunt motivul # 1 pentru care site-urile WordPress sunt piratate. Acest raport acoperă vulnerabilitățile recente ale pluginului, temei și nucleului WordPress și ce trebuie făcut dacă rulați unul dintre pluginurile sau temele vulnerabile de pe site-ul dvs. web.

Fiecare vulnerabilitate va avea un grad de severitate scăzut , mediu , ridicat sau critic . Divulgarea responsabilă și raportarea vulnerabilităților este o parte integrantă a păstrării în siguranță a comunității WordPress. Vă rugăm să împărtășiți această postare prietenilor dvs. pentru a vă ajuta să scoateți cuvântul și să faceți WordPress mai sigur pentru toată lumea.

În raportul din mai, partea 1

Vulnerabilități de bază WordPress

Nici o nouă vulnerabilitate de bază WordPress nu a fost dezvăluită până acum în mai 2021.

WordPress 5.7.1 a fost lansat pe 15 aprilie 2021. Această versiune de securitate și întreținere include 26 de remedieri de erori în plus față de două remedieri de securitate. Deoarece aceasta este o versiune de securitate a nucleului WordPress, este recomandat să vă actualizați site-urile imediat.

Vulnerabilități ale pluginului WordPress

1. AcyMailing

Vulnerabilitate : Redirecționare deschisă
Patched în versiunea : 7.5.0
Severitate : medie

Vulnerabilitatea este reparată, deci ar trebui să actualizați la versiunea 7.5.0+.

2. Dați WP

Vulnerabilitate : Scripturi cross-site stocate autentificate
Patched în versiunea : 2.10.4
Severitate : medie

Vulnerabilitatea este reparată, deci ar trebui să actualizați la versiunea 2.10.4+.

3. Descărcați Manager

Vulnerabilitate : Modificarea setărilor pluginului prin CSRF
Patched în versiunea : 3.1.22
Severitate : medie

Vulnerabilitate : utilizare neautorizată a Managerului de active
Patched în versiunea : 3.1.23
Severitate : mare

Vulnerabilitate : Încărcare fișier PHP4 autentificat în RCE
Patched în versiunea : 3.1.19
Severitate : critic

Vulnerabilitatea este reparată, deci ar trebui să actualizați la versiunea 3.1.23+.

4. Protecție împotriva spamului, AntiSpam, FireWall de CleanTalk

Vulnerabilitate : injecție SQL nevătuită pentru blind
Patched în versiunea : 5.153.4
Severitate : mare

Vulnerabilitatea este reparată, deci ar trebui să actualizați la versiunea 5.153.4+.

5. Recenzii ale clienților WP

Vulnerabilitate : Scripturi cross-site stocate autentificate
Patched în versiunea : 3.5.6
Severitate : medie

Vulnerabilitatea este reparată, deci ar trebui să actualizați la versiunea 3.5.6+.

Vulnerabilități ale temei WordPress

1. Mergeți

Vulnerabilitate : injecție SQL nevătuită pentru blind
Patched în versiunea : 2.1
Severitate : critic

Vulnerabilitate : Scripturi între site-uri reflectate
Patched în versiunea : 2.1
Severitate : mare

Vulnerabilitatea este reparată, deci ar trebui să actualizați la versiunea 2.1+.

O notă privind dezvăluirea responsabilă

S-ar putea să vă întrebați de ce o vulnerabilitate ar fi dezvăluită dacă le oferă hackerilor un exploit de atac. Ei bine, este foarte obișnuit ca un cercetător în securitate să găsească și să raporteze în mod privat vulnerabilitatea dezvoltatorului de software.

Cu dezvăluirea responsabilă , raportul inițial al cercetătorului este făcut în mod privat dezvoltatorilor companiei care deține software-ul, dar cu acordul că detaliile complete vor fi publicate odată ce un patch a fost pus la dispoziție. Pentru vulnerabilitățile semnificative de securitate, ar putea exista o ușoară întârziere în dezvăluirea vulnerabilității, pentru a oferi mai multor oameni timp de corecție.

Cercetătorul de securitate poate oferi un termen limită pentru ca dezvoltatorul de software să răspundă la raport sau să furnizeze un patch. Dacă acest termen nu este respectat, atunci cercetătorul poate dezvălui în mod public vulnerabilitatea de a pune presiune pe dezvoltator să emită un patch.

Dezvăluirea publică a unei vulnerabilități și introducerea aparentă a unei vulnerabilități Zero-Day - un tip de vulnerabilitate care nu are patch și care este exploatată în sălbăticie - poate părea contraproductivă. Dar, este singura pârghie pe care o are un cercetător pentru a-l presiona pe dezvoltator să remedieze vulnerabilitatea.

Dacă un hacker ar descoperi vulnerabilitatea, ar putea folosi în liniște Exploit-ul și ar putea provoca daune utilizatorului final (acesta ești tu), în timp ce dezvoltatorul de software rămâne conținut la lăsarea vulnerabilității fără corecții. Project Zero de la Google are îndrumări similare atunci când vine vorba de dezvăluirea vulnerabilităților. Ei publică detaliile complete ale vulnerabilității după 90 de zile, indiferent dacă vulnerabilitatea a fost sau nu reparată.

Cum să vă protejați site-ul WordPress de pluginuri și teme vulnerabile

Site Scanner-ul pluginului iThemes Security Pro este un alt mod de a vă securiza și proteja site-ul WordPress de prima cauză a tuturor hacks-urilor software: pluginuri învechite și teme cu vulnerabilități cunoscute. Site Scanner verifică site-ul dvs. pentru vulnerabilități cunoscute și aplică automat un patch dacă este disponibil.

Cele 3 tipuri de vulnerabilități WordPress verificate

Vulnerabilități WordPress
Vulnerabilități ale pluginului
Vulnerabilități tematice

Pentru a activa scanarea site-ului la noile instalări, navigați la setările iThemes Security Pro și faceți clic pe butonul Activare din modulul Setări scanare site .

Pentru a declanșa o scanare manuală a site-ului, faceți clic pe butonul Scanare acum de pe widgetul de scanare a site - ului situat în bara laterală dreaptă a setărilor de securitate.

Rezultatele scanării site-ului vor fi afișate în widget.

Dacă Scanarea site-ului detectează o vulnerabilitate, faceți clic pe linkul de vulnerabilitate pentru a vizualiza pagina de detalii.

În pagina vulnerabilității Site Scan, veți vedea dacă există o remediere disponibilă pentru vulnerabilitate. Dacă există un patch disponibil, puteți face clic pe butonul Actualizare plugin pentru a aplica remedierea pe site-ul dvs. web.

Poate exista o întârziere între momentul în care un patch este disponibil și Baza de date iThemes Security Vulnerability este actualizată pentru a reflecta remedierea. În acest caz, puteți dezactiva notificarea pentru a nu mai primi alerte legate de vulnerabilitate.

Important: nu trebuie să dezactivați o notificare de vulnerabilitate până când nu ați confirmat că versiunea actuală include o remediere de securitate sau dacă vulnerabilitatea nu vă afectează site-ul.

iThemes Security Pro, pluginul nostru de securitate WordPress, oferă peste 50 de moduri de a vă securiza și proteja site-ul împotriva vulnerabilităților comune de securitate WordPress. Cu WordPress, autentificarea în doi factori, protecția forței brute, aplicarea puternică a parolei și multe altele, puteți adăuga un strat suplimentar de securitate site-ului dvs. web.

Obțineți iThemes Security Pro

Michael Moore

În fiecare săptămână, Michael realizează Raportul de vulnerabilitate WordPress pentru a vă menține site-urile în siguranță. În calitate de manager de produs la iThemes, el ne ajută să continuăm să îmbunătățim gama de produse iThemes. Este un tocilar uriaș și iubește să învețe despre toate lucrurile tehnice, vechi și noi. Îl poți găsi pe Michael stând cu soția și fiica sa, citind sau ascultând muzică atunci când nu funcționează.