WordPress Vulnerability Roundup: Decembrie 2020, Partea 1

Publicat: 2020-12-09

Noi vulnerabilități ale pluginului WordPress și ale temelor au fost dezvăluite în prima jumătate a lunii decembrie. Această postare acoperă vulnerabilitățile recente ale pluginului WordPress, temei și nucleului și ce trebuie să faceți dacă rulați unul dintre pluginurile sau temele vulnerabile de pe site-ul dvs. web.

WordPress Vulnerability Roundup este împărțit în trei categorii diferite: nucleul WordPress, pluginurile WordPress și temele WordPress.

În decembrie, partea 1 Raport

    Vulnerabilități de bază WordPress

    În această lună nu au fost dezvăluite vulnerabilități noi de bază WordPress.

    Cu toate acestea, o nouă versiune majoră a nucleului WordPress tocmai a fost lansată ieri. WordPress 5.6 include mai multe funcții noi și îmbunătățiri, deci asigurați-vă că actualizați.

    Vulnerabilități ale pluginului WordPress

    1. WPJobBoard

    Versiunile WPJobBoard de mai jos 5.7.0 au vulnerabilități SQL Injection neautentificate, XSS reflectate și XFS.

    Vulnerabilitatea este reparată și ar trebui să actualizați la versiunea 5.7.0.

    2. WP Google Map Plugin

    Versiunile WP Google Map Plugin de mai jos 4.1.4 au o vulnerabilitate Authenticated SQL Injection.

    Vulnerabilitatea este reparată și ar trebui să actualizați la versiunea 4.1.4.

    3. BuddyPress

    Versiunile BuddyPress de mai jos 6.4.0 Lipsa vulnerabilității Verifică capacitatea.

    Vulnerabilitatea este reparată și ar trebui să actualizați la versiunea 6.4.0.

    4. Manager evenimente

    Versiunile de Manager de evenimente de mai jos 5.9.8 au o vulnerabilitate de tip Cross-Site Scripting și SQL Injection.

    Vulnerabilitatea este reparată și ar trebui să actualizați la versiunea 5.9.8.

    5. Poarta vârstei

    Versiunile Age Gate sub 2.13.5 prezintă o vulnerabilitate neautentificată pentru redirecționarea deschisă.

    Vulnerabilitatea este reparată și ar trebui să actualizați la versiunea 2.13.5.

    6. Canto

    Toate versiunile Canto au o vulnerabilitate SSRF Blind neautentificată.

    Eliminați pluginul până când se lansează o soluție de securitate.

    7. Generator de profiluri

    Versiunile Profile Builder de mai jos 3.3.3 au o vulnerabilitate Authenticated Blind SQL Injection.

    Vulnerabilitatea este reparată și ar trebui să actualizați la versiunea 2.2.9.

    8. Abonamente plătite Pro

    Versiunile cu abonamente plătite Pro de mai jos 2.5.1 prezintă o vulnerabilitate autentificată pe site-uri de tip Cross-Site.

    Vulnerabilitatea este reparată și ar trebui să actualizați la versiunea 2.5.1.

    9. Themify Portfolio Post

    Themify Portfolio Postează versiunile de mai jos 1.1.6 o vulnerabilitate autentificată stocată pe site-ul Cross-Site Scripting.

    Vulnerabilitatea este reparată și ar trebui să actualizați la versiunea 1.1.6.

    10. Easy WP SMTP

    Versiunile Easy WP SMTP de mai jos 1.4.3 prezintă o vulnerabilitate de divulgare a jurnalului de depanare.

    Vulnerabilitatea este reparată și ar trebui să actualizați la versiunea 1.4.3.

    Vulnerabilități ale temei WordPress

    1. Wibar

    Versiunile Wibar de mai jos 1.2.1 prezintă o vulnerabilitate Authenticated Stored Cross-Site Scripting.

    Vulnerabilitatea este reparată și ar trebui să actualizați la versiunea 1.2.1.

    Sfat de securitate din decembrie: De ce aveți nevoie de un utilizator universal pentru asistență

    De fiecare dată când creați un utilizator nou pe site-ul dvs. web, adăugați un alt punct de intrare pe care un hacker l-ar putea exploata. Dar, probabil, va fi nevoie să aveți nevoie de ajutor extern pentru site-ul dvs. web, cum ar fi atunci când căutați asistență sau după ce ați angajat un contractor independent. Aveți nevoie de un mod sigur și sigur de a adăuga acces temporar de administrator la site-ul dvs. web.

    Acordarea accesului extern la site-ul dvs. web: opțiunile dvs. tipice greșite

    De obicei, aveți două opțiuni pentru a oferi acces extern la site-ul dvs. web .... și nici unul nu este grozav .

    1. Partajați acreditările utilizatorului dvs. de administrator

    Prima și cea mai proastă opțiune este să partajați numele de utilizator și parola utilizatorului dvs. de administrator WordPress.

    De ce să partajați acreditările de administrator este o idee teribilă

    • Securitate redusă - Dacă partajați acreditările utilizatorului dvs., va trebui să dezactivați autentificarea în doi factori pentru a permite persoanei care utilizează acreditările dvs. să se conecteze. Google a distribuit pe blogul său că utilizarea autentificării în doi factori sau a verificării în doi pași poate opri 100% din atacurile automate de bot. Dezactivarea autentificării cu doi factori, chiar și pentru o perioadă scurtă de timp, reduce drastic securitatea site-ului dvs. web.
    • Inconvenient - Partajarea acreditărilor dvs. necesită schimbarea parolei. Dacă uitați să vă schimbați parola, există una sau mai multe persoane care au acces de administrator la site-ul dvs. ori de câte ori doresc.

    2. Creați un utilizator separat pentru tehnologia de asistență

    Deși crearea unui nou utilizator de administrator nou pentru specialistul în asistență este mai bună decât partajarea acreditării de administrator, totuși nu este grozav.

    De ce este teribil să creezi un utilizator pentru tehnologia de asistență

    • Vulnerabilitate crescută - Crearea unui nou utilizator administrator adaugă un alt punct de intrare care ar putea fi exploatat. Dacă nu aveți o politică de parolă, tehnologia de asistență ar putea alege o parolă slabă, ceea ce face ca datele dvs. de conectare WordPress să fie mai vulnerabile la atac.
    • Inconvenient - Trecerea prin procesul de configurare a unui nou utilizator oricând aveți nevoie de ajutor din exterior necesită mult timp. Trebuie să creați noul utilizator și apoi să vă amintiți să îl ștergeți atunci când acesta nu mai are nevoie de acces la site-ul dvs. web. Este o bună practică de securitate WordPress pentru a elimina utilizatorii neutilizați de pe site-ul dvs. web.

    Acordarea accesului extern la site-ul dvs. web: calea mai bună

    Funcția iThemes Security Pro Privilege Escalation vă permite să acordați utilizatorului capacități suplimentare temporar.

    Privilege Escalation face ușor și sigur crearea unui utilizator universal pe care îl puteți oferi oricărui dezvoltator extern sau tehnicilor de asistență care au nevoie de acces temporar la site-ul dvs. web.

    Cu Privilege Escalation, puteți crea un nou utilizator și îl puteți numi Asistență și îi puteți da rolul de utilizator Abonat. Data viitoare când trebuie să oferiți acces temporar la site-ul dvs. web, îl puteți împiedica pe utilizatorul de asistență de la un abonat la un administrator. Vom parcurge cum să facem acest lucru mai târziu în postare, dar mai întâi, să vorbim despre motivul pentru care Privilege Escalation este un mod mai bun de a acorda acces la site-ul dvs. web.

    De ce escalada privilegiilor este mai bună

    • Ușor - Nu trebuie să creați un utilizator nou de fiecare dată când trebuie să acordați acces la site-ul dvs. web.
    • Automat - escaladarea privilegiilor durează doar 24 de ore. După 24 de ore, utilizatorul își pierde automat toate privilegiile suplimentare. Nu trebuie să vă amintiți să eliminați utilizatorii sau să modificați parolele.
    • Fără sacrificii în securitate - Puteți solicita în continuare acestui utilizator de asistență universală să utilizeze metoda de e-mail cu doi factori pentru a vă conecta, ceea ce înseamnă că aveți același nivel de securitate ca și ceilalți utilizatori de administrare. Deoarece rolul real al utilizatorului este un abonat, nu riscați să îl lăsați pe site-ul dvs. web.

    Cum se utilizează escalada de privilegii în iThemes Security Pro

    Pentru a începe, activați Escalarea privilegiilor pe pagina principală a setărilor de securitate.

    Puteți crea un utilizator nou și îl puteți numi Asistență și îi puteți da rolul de utilizator Abonat. Data viitoare când trebuie să oferiți acces temporar la site-ul dvs. web, navigați la pagina de profil a utilizatorului de asistență.

    Actualizați adresa de e-mail pentru a permite persoanei de asistență externe să solicite o nouă parolă. Apoi derulați în jos până când vedeți setările de escaladă temporară a privilegiilor. Faceți clic pe comutarea Setare rol temporar și selectați Administrator. Utilizatorul va avea acum acces de administrator pentru următoarele 24 de ore.

    Dacă nu au nevoie de 24 de ore complete, puteți revoca escalada de privilegii din pagina profilului utilizatorului. Dacă aveți nevoie de mai mult de 24 de ore, puteți seta numărul exact de zile de care aveți nevoie în câmpul Zile .

    Vezi cum funcționează

    Un plugin de securitate WordPress vă poate ajuta să vă protejați site-ul web

    iThemes Security Pro, pluginul nostru de securitate WordPress, oferă peste 50 de moduri de a vă securiza și proteja site-ul împotriva vulnerabilităților comune de securitate WordPress. Cu WordPress, autentificarea în doi factori, protecția forței brute, aplicarea puternică a parolei și multe altele, puteți adăuga un strat suplimentar de securitate site-ului dvs. web.

    Obțineți iThemes Security Pro

    adunarea vulnerabilității