WordPress Vulnerability Roundup: septembrie 2019, partea 2

7. DELUCKS SEO

DELUCKS SEO versiunea 2.1.7 și mai jos prezintă o vulnerabilitate a actualizării opțiunilor neautentificate.

Ce ar trebui sa faci

8. Recenzii bogate

Rich Reviews versiunea 1.7.4 și mai jos are o vulnerabilitate de actualizare a opțiunilor de plugin neautentificate.

Ce ar trebui sa faci

Teme WordPress

9. Selio - Director imobiliar

Selio - Directorul imobiliar versiunea 1.1 și mai jos are o vulnerabilitate SQL Injection și Persistent Cross-Site Scripting.

Ce ar trebui sa faci

10. Nexos - Imobiliare

Nexos - Imobiliare versiunea 1.1 și mai jos are o vulnerabilitate SQL Injection și Persistent Cross-Site Scripting.

Ce ar trebui sa faci

Cum să fii proactiv în legătură cu vulnerabilitățile temei și pluginurilor WordPress

Rularea software-ului învechit este motivul pentru care site-urile WordPress sunt piratate. Este crucial pentru securitatea site-ului dvs. WordPress să aveți o rutină de actualizare. Ar trebui să vă conectați la site-urile dvs. cel puțin o dată pe săptămână pentru a efectua actualizări.

Actualizările automate vă pot ajuta

Actualizările automate sunt o alegere excelentă pentru site-urile web WordPress care nu se schimbă foarte des. Lipsa de atenție lasă adesea aceste site-uri neglijate și vulnerabile la atacuri. Chiar și cu setările de securitate recomandate, rularea unui software vulnerabil pe site-ul dvs. poate oferi atacatorului un punct de intrare pe site-ul dvs.

Folosind funcția de gestionare a versiunilor pluginului iThemes Security Pro, puteți activa actualizările automate WordPress pentru a vă asigura că primiți cele mai recente patch-uri de securitate. Aceste setări vă ajută să vă protejați site-ul cu opțiuni de actualizare automată la versiuni noi sau pentru a spori securitatea utilizatorului atunci când software-ul site-ului este depășit.

Opțiuni de actualizare a gestionării versiunilor

• Actualizări WordPress - Instalați automat cea mai recentă versiune WordPress.
• Actualizări automate pentru pluginuri - Instalați automat cele mai recente actualizări pentru pluginuri. Acest lucru ar trebui să fie activat, cu excepția cazului în care întrețineți activ acest site zilnic și instalați manual actualizările la scurt timp după lansare.
• Actualizări automate ale temei - Instalați automat cele mai recente actualizări ale temei. Acest lucru ar trebui să fie activat cu excepția cazului în care tema dvs. are personalizări de fișiere.
• Control granular asupra actualizărilor de pluginuri și teme - Este posibil să aveți pluginuri / teme pe care doriți să le actualizați manual sau să întârziați actualizarea până când versiunea a avut timp să se dovedească stabilă. Puteți alege Personalizat pentru posibilitatea de a atribui fiecărui plugin sau temă fie actualizarea imediată ( Activare ), nu actualizarea automată deloc ( Dezactivare ), fie actualizarea cu o întârziere de o anumită cantitate de zile ( Întârziere ).

Consolidarea și alertarea asupra problemelor critice

• Consolidați site-ul atunci când rulați software depășit - Adăugați automat protecții suplimentare site-ului atunci când nu a fost instalată o actualizare disponibilă de o lună. Pluginul iThemes Security va activa automat o securitate mai strictă atunci când nu a fost instalată o actualizare de o lună. În primul rând, va forța toți utilizatorii care nu au doi factori activi să furnizeze un cod de autentificare trimis la adresa lor de e-mail înainte de a vă conecta din nou. , Pingback-uri XML-RPC și blochează mai multe încercări de autentificare pentru fiecare solicitare XML-RPC (ambele vor face XML-RPC mai puternic împotriva atacurilor fără a fi nevoie să-l opriți complet).
• Căutați alte site-uri WordPress vechi - Aceasta va verifica dacă există alte instalări WordPress învechite pe contul dvs. de găzduire. Un singur site WordPress învechit cu o vulnerabilitate ar putea permite atacatorilor să compromită toate celelalte site-uri de pe același cont de găzduire.
• Trimiteți notificări prin e-mail - Pentru problemele care necesită intervenție, un e-mail este trimis utilizatorilor la nivel de administrator.

Încălcări din jurul internetului

1. DoorDash

DoorDash a dezvăluit într-o postare pe blog că datele de 4,9 milioane de clienți, comercianți și angajați au fost compromise în timpul unei încălcări care a avut loc pe 4 mai 2019.

Încălcarea a inclus nume, adrese de e-mail, adrese fizice, numere de telefon și parole hash. Din fericire, nu au stocat parolele în text simplu, așa că va fi foarte dificil pentru atacator să descifreze și să utilizeze parolele.

Ultimele 4 cifre ale unor carduri de credit au fost compromise, dar nu au fost accesate numerele cardului de credit complet sau numerele CVV.

Din păcate, unele dintre numerele de permis ale conducătorilor auto au fost incluse în încălcare.

Dacă sunteți client DoorDash, îi puteți contacta la centrul de apel dedicat pentru a vă asigura asistență la 855–646–4683

2. LastPass

Chrome Project Zero a descoperit și a dezvăluit o vulnerabilitate în extensia LastPass pentru Chrome și Opera. Vulnerabilitatea ar permite unui site web rău intenționat să genereze un popup și să ocolească do_popupregister () pentru a obține acreditările ultimului cont conectat folosind LastPass.

Nu există dovezi că această vulnerabilitate a fost vreodată exploatată în natură și LastPass a lansat un patch pentru versiunile Chrome și Opera ale extensiei lor.

Vulnerabilitatea evidențiază importanța utilizării autentificării cu doi factori și mă face să fiu tot mai încântat de viitorul fără parolă.

Un plugin de securitate WordPress vă poate ajuta să vă protejați site-ul web

iThemes Security Pro, pluginul nostru de securitate WordPress, oferă peste 30 de moduri de a vă proteja și proteja site-ul împotriva vulnerabilităților comune de securitate WordPress. Cu autentificarea cu doi factori WordPress, protecția forței brute, aplicarea puternică a parolei și multe altele, puteți adăuga un strat suplimentar de securitate site-ului dvs. web.

Obțineți securitatea iThemes