WordPress Vulnerability Roundup: octombrie 2019, partea 1

Publicat: 2019-10-26

În prima jumătate a lunii octombrie au fost dezvăluite mai multe vulnerabilități noi pentru pluginuri și teme WordPress, așa că dorim să vă informăm. În această postare, acoperim vulnerabilitățile recente ale pluginurilor și temelor WordPress și ce trebuie să faceți dacă rulați unul dintre pluginurile sau temele vulnerabile de pe site-ul dvs. web.

Împărțim Roundup-ul Vulnerabilității WordPress în patru categorii diferite:

  • 1. Nucleul WordPress
  • 2. Plugin-uri WordPress
  • 3. Teme WordPress
  • 4. Încălcări din jurul internetului

* Includem încălcări din jurul web, deoarece este esențial să conștientizăm și vulnerabilitățile din afara ecosistemului WordPress. Exploatările către software-ul serverului pot expune date sensibile. Încălcările bazei de date pot expune acreditările utilizatorilor de pe site-ul dvs., deschizând ușa atacatorilor pentru a vă accesa site-ul.

Actualizare WordPress Core Security

WordPress 5.2.3 și mai jos are mai multe vulnerabilități:

  • Scripturi între site-uri
  • Postări neautentificate
  • Cross-Site Scripting care conduce la o injecție Javascript
  • JSON Cache Poisoning
  • Solicitare falsă cerere pe partea serverului
  • Validare referitoare în administrator.

Ce ar trebui sa faci

Vulnerabilitățile au fost reparate și ar trebui să actualizați la versiunea 5.2.4.

Vulnerabilități ale pluginului WordPress

Mai multe vulnerabilități noi pentru pluginurile WordPress au fost descoperite în luna octombrie. Asigurați-vă că urmați acțiunea sugerată de mai jos pentru a actualiza pluginul sau pentru a-l dezinstala complet.

1. Securitate și firewall WP All In One

Sigla de securitate All in One

All In One WP Security & Firewall versiunea 4.4.1 și mai jos are o Redirecție deschisă care expune pagina de conectare „ascunsă”.

Dacă vă bazați încă pe un login „ascuns” pentru a vă asigura datele de conectare WordPress, este timpul să vă actualizați metodele. Consultați cele 5 reguli simple pentru securitatea conectării la WordPress.

Ce ar trebui sa faci

Vulnerabilitatea a fost reparată și ar trebui să o actualizați la versiunea 4.4.2.

2. Popup Maker

Logo-ul Popup Maker

Popup Maker versiunea 1.8.12 și mai jos are o vulnerabilitate de autentificare întreruptă.

Ce ar trebui sa faci

Vulnerabilitatea a fost reparată și ar trebui să actualizați la versiunea 1.8.13.

3. iThemes Sync

Sigla iThemes Sync

iThemes Sync versiunea 2.0.17 și mai jos prezintă o vulnerabilitate insuficientă de validare a cheii securizate. Vulnerabilitatea ar putea duce la un compromis complet al unui site WordPress, deci confirmați că site-ul dvs. rulează versiunea 2.0.18

Ce ar trebui sa faci

Vulnerabilitatea a fost reparată și ar trebui să actualizați la versiunea 2.0.18.

4. Descărcați pluginuri și teme din tabloul de bord

Descărcați pluginuri și teme din sigla tabloului de bord

Descărcați pluginuri și teme din tabloul de bord versiunea 1.5.0 și mai jos este vulnerabil la un atac XSS stocat neautentificat.

Ce ar trebui sa faci

Vulnerabilitatea a fost reparată și ar trebui să actualizați la versiunea 1.6.0.

5. wpDataTables

Sigla wpDataTables

wpDataTables versiunea 2.0.7 și mai jos este vulnerabil la un atac Cross-Site Scripting și SQL Injection.

Ce ar trebui sa faci

Vulnerabilitatea a fost reparată și ar trebui să actualizați la versiunea 2.0.8.

6. Google Analytics al Larei

Sigla Google Analytics a Larei

Google Analytics 2.0.4 și versiunile ulterioare ale Larei sunt vulnerabile la un atac autentificat stocat pe mai multe site-uri.

Ce ar trebui sa faci

Vulnerabilitatea a fost reparată și ar trebui să actualizați la versiunea 2.0.5.

7. Exportați utilizatorii în CSV

Exportați utilizatorii în sigla CSV

Exportul utilizatorilor în versiunea CSV 1.3 și mai jos prezintă o vulnerabilitate a accesului CSV neautorizat.

Ce ar trebui sa faci

Vulnerabilitatea a fost reparată și ar trebui să o actualizați la versiunea 1.4.

8. Plugin SoundPress

Logo-ul SoundPress Plugin

SoundPress Plugin versiunea 2.2.0 și mai jos este vulnerabil la un atac Cross-Site Scripting.

Ce ar trebui sa faci

Vulnerabilitatea a fost reparată și ar trebui să o actualizați la versiunea 1.4.

Teme WordPress

Nu a fost dezvăluită nicio vulnerabilitate a temei în prima jumătate a lunii octombrie 2019.

Cum să fii proactiv în legătură cu vulnerabilitățile temei și pluginurilor WordPress

Rularea software-ului învechit este motivul pentru care site-urile WordPress sunt piratate. Este crucial pentru securitatea site-ului dvs. WordPress să aveți o rutină de actualizare. Ar trebui să vă conectați la site-urile dvs. cel puțin o dată pe săptămână pentru a efectua actualizări.

Actualizările automate vă pot ajuta

Actualizările automate sunt o alegere excelentă pentru site-urile web WordPress care nu se schimbă foarte des. Lipsa de atenție lasă adesea aceste site-uri neglijate și vulnerabile la atacuri. Chiar și cu setările de securitate recomandate, rularea unui software vulnerabil pe site-ul dvs. poate oferi atacatorului un punct de intrare pe site-ul dvs.

Folosind funcția de gestionare a versiunilor pluginului iThemes Security Pro, puteți activa actualizările automate WordPress pentru a vă asigura că primiți cele mai recente patch-uri de securitate. Aceste setări vă ajută să vă protejați site-ul cu opțiuni de actualizare automată la versiuni noi sau pentru a spori securitatea utilizatorului atunci când software-ul site-ului este depășit.

Opțiuni de actualizare a gestionării versiunilor
  • Actualizări WordPress - Instalați automat cea mai recentă versiune WordPress.
  • Actualizări automate pentru pluginuri - Instalați automat cele mai recente actualizări pentru pluginuri. Acest lucru ar trebui să fie activat, cu excepția cazului în care întrețineți activ acest site zilnic și instalați manual actualizările la scurt timp după lansare.
  • Actualizări automate ale temei - Instalați automat cele mai recente actualizări ale temei. Acest lucru ar trebui să fie activat cu excepția cazului în care tema dvs. are personalizări de fișiere.
  • Control granular asupra actualizărilor de pluginuri și teme - Este posibil să aveți pluginuri / teme pe care doriți să le actualizați manual sau să întârziați actualizarea până când versiunea a avut timp să se dovedească stabilă. Puteți alege Personalizat pentru posibilitatea de a atribui fiecărui plugin sau temă fie actualizarea imediată ( Activare ), nu actualizarea automată deloc ( Dezactivare ), fie actualizarea cu o întârziere de o anumită cantitate de zile ( Întârziere ).

Consolidarea și alertarea asupra problemelor critice
  • Consolidați site-ul atunci când rulați software depășit - Adăugați automat protecții suplimentare site-ului atunci când nu a fost instalată o actualizare disponibilă de o lună. Pluginul iThemes Security va activa automat o securitate mai strictă atunci când nu a fost instalată o actualizare de o lună. În primul rând, va forța toți utilizatorii care nu au doi factori activi să furnizeze un cod de autentificare trimis la adresa lor de e-mail înainte de a vă conecta din nou. , Pingback-uri XML-RPC și blochează mai multe încercări de autentificare pentru fiecare solicitare XML-RPC (ambele vor face XML-RPC mai puternic împotriva atacurilor fără a fi nevoie să îl oprești complet).
  • Căutați alte site-uri WordPress vechi - Aceasta va verifica dacă există alte instalări WordPress învechite pe contul dvs. de găzduire. Un singur site WordPress învechit cu o vulnerabilitate ar putea permite atacatorilor să compromită toate celelalte site-uri de pe același cont de găzduire.
  • Trimiteți notificări prin e-mail - Pentru problemele care necesită intervenție, un e-mail este trimis utilizatorilor la nivel de administrator.

Încălcări din jurul internetului

1. Hackerii care folosesc GIF-uri pentru a ataca Drupal

Akami - o companie de cercetare a securității - a observat o creștere a atacurilor care încorporează coduri rău intenționate în fișierele .gif. Vestea bună este că Drupal a remediat această vulnerabilitate cu mai mult de un an în urmă. Vestea proastă este că site-urile slab întreținute încă nu au fost actualizate.

Motivul numărul unu pentru care atacurile rău intenționate au succes se datorează software-ului învechit. Nu fi tipul / galeria al cărui site este compromis de o actualizare de un an. Actualizați-vă site-ul

2. Vulnerabilitatea semnalului permite hackerilor să asculte microfoane Android

Logo-ul semnalului

Google Project Zero a dezvăluit recent o vulnerabilitate în aplicația de mesagerie Signal. Vulnerabilitatea poate fi utilizată la apelarea telefonului cuiva folosind aplicația Signal. În timpul apelului telefonic, hackerul va trebui să apese butonul de dezactivare a sunetului în timp ce sună telefonul țintei. Apăsarea butonului de dezactivare a sunetului va forța dispozitivul țintei să răspundă la apel, permițând atacatorului să ascultă semnul lor.

După ce a fost notificat de bug de Google Project Zero, Signal a lansat rapid un patch. Exploatarea a cerut atacatorului să elimine și să modifice codul din aplicație. Din fericire, din cauza dificultății, nu există rapoarte despre exploatarea folosită în sălbăticie.

Octombrie 2019, Partea 1 Rezumatul vulnerabilității WordPress

Tip
Vulnerabilitate
Remediați

Miezul
  • Scripturi între site-uri
  • Postări neautentificate
  • Cross-Site Scripting care conduce la o injecție Javascript
  • JSON Cache Poisoning
  • Solicitare falsă cerere pe partea serverului
  • Validare referitoare în administrator.
Vulnerabilitățile au fost reparate și ar trebui să actualizați la versiunea 5.2.4.
Pluginuri

All In One WP Security & Firewall versiunea 4.4.1 și mai jos are o Redirecție deschisă care expune pagina de conectare „ascunsă”.

Vulnerabilitatea a fost reparată și ar trebui să o actualizați la versiunea 4.4.2.

Popup Maker versiunea 1.8.12 și mai jos are o vulnerabilitate de autentificare întreruptă.

Vulnerabilitatea a fost reparată și ar trebui să actualizați la versiunea 1.8.13

iThemes Sync versiunea 2.0.17 și mai jos prezintă o vulnerabilitate insuficientă de validare a cheii securizate. Vulnerabilitatea ar putea duce la un compromis complet al unui site WordPress, deci confirmați că site-ul dvs. rulează versiunea 2.0.18

Vulnerabilitatea a fost reparată și ar trebui să actualizați la versiunea 2.0.18.

Descărcați pluginuri și teme din tabloul de bord versiunea 1.5.0 și mai jos este vulnerabil la un atac XSS stocat neautentificat.

Vulnerabilitatea a fost reparată și ar trebui să actualizați la versiunea 1.6.0.

wpDataTables versiunea 2.0.7 și mai jos este vulnerabil la un atac Cross-Site Scripting și SQL Injection.

Vulnerabilitatea a fost reparată și ar trebui să actualizați la versiunea 2.0.8.

Google Analytics 2.0.4 și versiunile ulterioare ale Larei sunt vulnerabile la un atac autentificat stocat pe mai multe site-uri.

Vulnerabilitatea a fost reparată și ar trebui să actualizați la versiunea 2.0.5.

Exportați utilizatorii în versiunea CSV 1.3 și mai jos prezintă o vulnerabilitate neautorizată în acces CSV.

Vulnerabilitatea a fost reparată și ar trebui să o actualizați la versiunea 1.4.

Teme
Nu a fost dezvăluită nicio vulnerabilitate a temei în prima jumătate a lunii octombrie 2019.
Nu a fost dezvăluită nicio vulnerabilitate a temei în prima jumătate a lunii octombrie 2019.

Un plugin de securitate WordPress vă poate ajuta să vă protejați site-ul web

iThemes Security Pro, pluginul nostru de securitate WordPress, oferă peste 30 de moduri de a vă proteja și proteja site-ul împotriva vulnerabilităților comune de securitate WordPress. Cu WordPress, autentificarea în doi factori, protecția forței brute, aplicarea puternică a parolei și multe altele, puteți adăuga un strat suplimentar de securitate site-ului dvs. web.

Aflați mai multe despre securitatea WordPress cu 10 sfaturi cheie. Descărcați acum cartea electronică: un ghid pentru securitatea WordPress
Descarcă acum

Obțineți securitatea iThemes