Breviar de vulnerabilități WordPress: noiembrie 2019, prima parte
Publicat: 2019-11-15În prima jumătate a lunii noiembrie au fost dezvăluite mai multe vulnerabilități noi pentru pluginuri și teme WordPress, așa că dorim să vă informăm. În această postare, acoperim vulnerabilitățile recente ale pluginurilor și temelor WordPress și ce trebuie să faceți dacă rulați unul dintre pluginurile sau temele vulnerabile de pe site-ul dvs. web.
Împărțim Roundup-ul Vulnerabilității WordPress în patru categorii diferite:
- 1. Nucleul WordPress
- 2. Plugin-uri WordPress
- 3. Teme WordPress
- 4. Încălcări din jurul internetului
* Includem încălcări din jurul web, deoarece este esențial să conștientizăm și vulnerabilitățile din afara ecosistemului WordPress. Exploatările către software-ul serverului pot expune date sensibile. Încălcările bazei de date pot expune acreditările utilizatorilor de pe site-ul dvs., deschizând ușa atacatorilor pentru a vă accesa site-ul.
Actualizare WordPress Core Security
WordPress 5.3 a scăzut săptămâna aceasta, așa că asigurați-vă că vă actualizați site-urile cât mai curând posibil. Iată o privire rapidă asupra primelor 20 de caracteristici noi și îmbunătățiri în WordPress 5.3.
Vulnerabilități ale pluginului WordPress
Mai multe vulnerabilități noi pentru pluginurile WordPress au fost descoperite în luna octombrie. Asigurați-vă că urmați acțiunea sugerată de mai jos pentru a actualiza pluginul sau pentru a-l dezinstala complet.
1. SVG sigur
Versiunea sigură a versiunii 1.9.5 și mai jos este vulnerabilă la un atac By-Site Scripting Cross-Site. Vulnerabilitatea permite unui atacator să ocolească protecția adăugată de Safe SVG.
Ce ar trebui sa faci
2. Comutator valutar pentru WooCommerce
Change Switcher pentru WooCommerce versiunea 2.11.1 are o vulnerabilitate de ocolire a restricțiilor de securitate care ar permite unui atacator să activeze o monedă care nu este activată în prezent în setări.
Ce ar trebui sa faci
3. Chat live Tidio
Tidio Live Chat versiunea 4.1 și mai jos este vulnerabilă la o cerere de falsificare între site-uri care duce la un atac de scripturi între site-uri. Vulnerabilitatea ar permite unui atacator să-i păcălească pe administratori să adauge o sarcină utilă rău intenționată care să fie prezentată tuturor vizitatorilor.
Ce ar trebui sa faci
4. IgniteUp - În curând și modul de întreținere
IgniteUp - În curând și Modul de întreținere versiunea 3.4 și mai jos are vulnerabilități multiple.
- Ștergerea fișierelor arbitrare
- Injecție HTML și CSRF în mesajele de e-mail
- Scripturi cross-site stocate
- Divulgarea adresei de e-mail a abonaților
- Ștergerea arbitrară a abonatului
- Comutator șablon al pluginului arbitrar
Ce ar trebui sa faci
5. Blog2Social: Social Media Auto Post & Scheduler
Blog2Social: Social Media Auto Post & Scheduler versiunea 5.8.1 are o vulnerabilitate Cross-Site Scripting. Vulnerabilitatea ar permite unui atacator să execute coduri HTML și JavaScript arbitrare care ar putea fi executate printr-un link rău intenționat.
Ce ar trebui sa faci
6. Glisorul WP Google Review
WP Google Review Slider versiunea 6.1 este vulnerabil la un atac autentificat SQL Injection.
Ce ar trebui sa faci
7. YITH Plugin Framework (39 de pluginuri individuale)
Suita YITH de plugin-uri WooCommerce este vulnerabilă la un atac de modificare a setărilor autentificate. Acest grafic rezumă toate cele 39 de pluginuri YITH vulnerabile:
Rezumatul vulnerabilităților pluginului YITH
versiunea 2.2.14.
versiunea 2.3.15.
1.3.15.
1.3.12.
1.7.1.
1.3.21.
versiunea 1.3.7.
versiunea 1.4.9.
versiunea 1.3.6.
versiunea 1.2.11.
versiunea 1.2.13.
versiunea 1.2.1.
versiunea 1.2.1.
versiunea 1.5.23.
versiunea 1.3.8.
la versiunea 1.3.6.
la versiunea 1.6.3.
la versiunea 1.4.5.
actualizați-l la versiunea 1.1.17.
actualizați-l la versiunea 1.2.14.
actualizați-l la versiunea 1.7.5.
actualizați-l la versiunea 1.8.13.
ar trebui să îl actualizeze la versiunea 1.1.8.
ar trebui să-l actualizeze la versiunea 1.1.13.
ar trebui să îl actualizeze la versiunea 1.3.13.
ar trebui să îl actualizați la versiunea 1.2.15.
ar trebui să îl actualizați la versiunea 2.0.2.
și ar trebui să îl actualizați la versiune
1.3.11.
și ar trebui să îl actualizați la versiune
1.3.6.
patch-uri și ar trebui să îl actualizați
la versiunea 1.3.6.
WooCommerce
patch-uri și ar trebui să actualizați
versiunea 1.0.12.
Gateway de plată
patch-uri și ar trebui să actualizați
la versiunea 1.1.13.
patch-uri și ar trebui
actualizați-l la versiunea 1.1.13.
patch-uri și ar trebui
actualizați-l la versiune
2.1.4.
Furnizori
a fost reparat și tu
ar trebui să-l actualizeze la
versiunea 3.4.1.
și Răspunsuri
a fost reparat și tu
ar trebui să-l actualizeze la
versiunea 1.2.0.
Cart abandonat
a fost reparat,
și ar trebui
actualizați-l la versiune
1.2.0.
Verificați pentru
WooCommerce
a fost reparat,
și ar trebui
actualizați-l la
versiunea 1.2.6.
Notificări
pentru
WooCommerce
vulnerabilitate
a fost
patch-uri, și tu
ar trebui să-l actualizeze
la versiune
1.2.8.
Teme WordPress
1. Zoner - Tema imobiliară
Zoner Real Estate Theme versiunea 4.1.1 și mai jos o vulnerabilitate persistentă de referință directă a obiectelor și scripturi pe site-uri persistente.
Ce ar trebui sa faci
Cum să fii proactiv în legătură cu vulnerabilitățile temei și pluginurilor WordPress
Rularea software-ului învechit este motivul pentru care site-urile WordPress sunt piratate. Este crucial pentru securitatea site-ului dvs. WordPress să aveți o rutină de actualizare. Ar trebui să vă conectați la site-urile dvs. cel puțin o dată pe săptămână pentru a efectua actualizări.
Actualizările automate vă pot ajuta
Actualizările automate sunt o alegere excelentă pentru site-urile web WordPress care nu se schimbă foarte des. Lipsa de atenție lasă adesea aceste site-uri neglijate și vulnerabile la atacuri. Chiar și cu setările de securitate recomandate, rularea unui software vulnerabil pe site-ul dvs. poate oferi atacatorului un punct de intrare pe site-ul dvs.
Folosind funcția de gestionare a versiunilor pluginului iThemes Security Pro, puteți activa actualizările automate WordPress pentru a vă asigura că primiți cele mai recente patch-uri de securitate. Aceste setări vă ajută să vă protejați site-ul cu opțiuni de actualizare automată la versiuni noi sau pentru a spori securitatea utilizatorului atunci când software-ul site-ului este depășit.
Opțiuni de actualizare a gestionării versiunilor
- Actualizări WordPress - Instalați automat cea mai recentă versiune WordPress.
- Actualizări automate pentru pluginuri - Instalați automat cele mai recente actualizări pentru pluginuri. Acest lucru ar trebui să fie activat, cu excepția cazului în care întrețineți activ acest site zilnic și instalați manual actualizările la scurt timp după lansare.
- Actualizări automate ale temei - Instalați automat cele mai recente actualizări ale temei. Acest lucru ar trebui să fie activat cu excepția cazului în care tema dvs. are personalizări de fișiere.
- Control granular asupra actualizărilor de pluginuri și teme - Este posibil să aveți pluginuri / teme pe care doriți să le actualizați manual sau să întârziați actualizarea până când versiunea a avut timp să se dovedească stabilă. Puteți alege Personalizat pentru posibilitatea de a atribui fiecărui plugin sau temă fie actualizarea imediată ( Activare ), nu actualizarea automată deloc ( Dezactivare ), fie actualizarea cu o întârziere de o anumită cantitate de zile ( Întârziere ).
Consolidarea și alertarea asupra problemelor critice
- Consolidați site-ul atunci când rulați software depășit - Adăugați automat protecții suplimentare site-ului atunci când nu a fost instalată o actualizare disponibilă de o lună. Pluginul iThemes Security va activa automat o securitate mai strictă atunci când nu a fost instalată o actualizare de o lună. În primul rând, va forța toți utilizatorii care nu au doi factori activi să furnizeze un cod de autentificare trimis la adresa lor de e-mail înainte de a vă conecta din nou. , Pingback-uri XML-RPC și blochează mai multe încercări de autentificare pentru fiecare solicitare XML-RPC (ambele vor face XML-RPC mai puternic împotriva atacurilor fără a fi nevoie să îl oprești complet).
- Căutați alte site-uri WordPress vechi - Aceasta va verifica dacă există alte instalări WordPress învechite pe contul dvs. de găzduire. Un singur site WordPress învechit cu o vulnerabilitate ar putea permite atacatorilor să compromită toate celelalte site-uri de pe același cont de găzduire.
- Trimiteți notificări prin e-mail - Pentru problemele care necesită intervenție, un e-mail este trimis utilizatorilor la nivel de administrator.
Încălcări din jurul internetului
1. Utilizatorii WordPress infectează propriile site-uri cu pluginuri și teme pirate
Potrivit WordFence, a existat o creștere în campania de publicitate publicitară WP-VCD. Acest malware special este destul de urât, deoarece este foarte dificil de eliminat complet de pe un site infectat și se poate răspândi pe alte site-uri WordPress de pe server. Cea mai frustrantă parte pentru proprietarii de site-uri care au fost afectați de malware-ul WP-VCD este că și-au infectat propriul site. Proprietarii de site-uri care au instalat versiuni gratuite și piratate ale pluginurilor și temelor plătite, au primit puțin mai mult decât s-au negociat. Software-ul piratat a inclus un cod rău intenționat care a creat o ușă din spate cu un covor de bun venit pentru virusul WP-VCD.
În ziua 1 a Săptămânii dezastrelor iThemes WordPress, am prezentat cum să prevenim un dezastru de securitate. Unul dintre lucrurile semnificative pe care le-am acoperit a fost limitarea oportunităților de exploatare PHP, instalând doar software din surse de încredere. A avea un site infectat cu programe malware este întotdeauna agravat atunci când știți că ar fi putut și ar fi trebuit prevenit.
Rezumatul vulnerabilităților WordPress pentru
Noiembrie 2019, partea 1
Versiunea sigură SVG 1.9.5 și mai jos este vulnerabilă la un atac By-Site Scripting Cross-Site.
Change Switcher pentru versiunea WooCommerce 2.11.1 și mai jos este vulnerabil la un atac de restricție de securitate Bypass.
Tidio Live Chat versiunea 4.1 și mai jos este vulnerabilă la o cerere de falsificare între site-uri care duce la un atac de scripturi între site-uri.
IgniteUp - În curând și Modul de întreținere versiunea 3.4 și mai jos are multiple vulnerabilități.
Blog2Social: Social Media Auto Post & Scheduler versiunea 5.8.1 și mai jos este vulnerabilă la un atac Cross-Site Scripting.
WP Google Review Slider versiunea 6.1 și mai jos este vulnerabil la un atac SQL Injection autentificat.
YITH Plugin Framework Suita YITH de plugin-uri WooCommerce este vulnerabilă la un atac de modificare a setărilor autentificate.
Un plugin de securitate WordPress vă poate ajuta să vă protejați site-ul web
iThemes Security Pro, pluginul nostru de securitate WordPress, oferă peste 30 de moduri de a vă proteja și proteja site-ul împotriva vulnerabilităților comune de securitate WordPress. Cu autentificarea cu doi factori WordPress, protecția forței brute, aplicarea puternică a parolei și multe altele, puteți adăuga un strat suplimentar de securitate site-ului dvs. web.
Obțineți iThemes Security Pro
În fiecare săptămână, Michael realizează Raportul de vulnerabilitate WordPress pentru a vă menține site-urile în siguranță. În calitate de manager de produs la iThemes, el ne ajută să continuăm să îmbunătățim gama de produse iThemes. Este un tocilar uriaș și iubește să învețe despre toate lucrurile tehnice, vechi și noi. Îl poți găsi pe Michael stând cu soția și fiica sa, citind sau ascultând muzică atunci când nu funcționează.
