Отчет об уязвимостях WordPress: май 2021 г., часть 3

Опубликовано: 2021-05-19

Уязвимые плагины и темы - причина №1 взлома веб-сайтов WordPress. Еженедельный отчет об уязвимостях WordPress, созданный на основе WPScan, охватывает недавние уязвимости плагинов, тем и основных уязвимостей WordPress, а также что делать, если вы запускаете один из уязвимых плагинов или тем на своем веб-сайте.

У каждой уязвимости будет низкий , средний , высокий или критический уровень серьезности. Ответственное раскрытие уязвимостей и сообщение о них - неотъемлемая часть обеспечения безопасности сообщества WordPress. Пожалуйста, поделитесь этим постом со своими друзьями, чтобы помочь распространить информацию и сделать WordPress более безопасным для всех.

В майском отчете по части 3

    Уязвимости ядра WordPress

    На этой неделе мы увидели выпуск безопасности WordPress 5.7.2 с одной проблемой безопасности, затрагивающей версии WordPress от 3.7 до 5.7. Если вы еще не обновились до 5.7, все версии WordPress, начиная с 3.7, также были обновлены, чтобы исправить проблему с безопасностью внедрения объектов в PHPMailer.

    1. Версия безопасности WordPress 5.7.2

    Уязвимость : внедрение объекта в PHPMailer
    Запатчен в версии : 5.7.2
    Оценка серьезности : средняя

    Уязвимость исправлена, поэтому вам следует обновить все свои сайты сегодня до WordPress 5.7.2.

    Уязвимости плагина WordPress

    1. Фотогалерея

    Плагин: Фотогалерея
    Уязвимость : сохраненные межсайтовые сценарии с проверкой подлинности через заголовок галереи
    Запатчен в версии : 1.5.67
    Степень серьезности : средняя

    Уязвимость исправлена, поэтому вам следует выполнить обновление до версии 1.5.67+.

    2. Еженедельное расписание

    Плагин: Еженедельное расписание
    Уязвимость : сохраненные межсайтовые сценарии с проверкой подлинности
    Запатчен в версии : 3.4.3
    Оценка серьезности : средняя

    Уязвимость исправлена, поэтому вам следует выполнить обновление до версии 3.4.3+.

    3. Внешние СМИ

    Плагин: External Media
    Уязвимость : загрузка произвольного файла с проверкой подлинности
    Запатчен в версии : 1.0.34
    Оценка серьезности : критическая

    Уязвимость исправлена, поэтому вам следует выполнить обновление до версии 1.0.34+.

    4. WP Super Cache

    Плагин: WP Super Cache
    Уязвимость : удаленное выполнение кода с проверкой подлинности
    Запатчен в версии : 1.7.3
    Оценка серьезности : высокая

    Уязвимость исправлена, поэтому вам следует выполнить обновление до версии 1.7.3+.

    5. Резервное копирование базы данных для WordPress

    Плагин: Резервное копирование базы данных для WordPress
    Уязвимость : постоянный межсайтовый скриптинг с проверкой подлинности
    Запатчен в версии : 2.4
    Оценка серьезности : средняя

    Уязвимость исправлена, поэтому вам следует выполнить обновление до версии 2.4+.

    Уязвимости темы WordPress

    1. Средний

    Тема: средний
    Уязвимость : неаутентифицированный отраженный межсайтовый скриптинг
    Исправлено в версии : исправление неизвестно
    Оценка серьезности : средняя

    Эта уязвимость НЕ была исправлена. Деинсталлируйте и удаляйте тему, пока не будет выпущен патч.

    2. Листео

    Тема: Listeo
    Уязвимость : множественные уязвимости XSS и XFS.
    Запатчен в версии : 1.6.11
    Оценка серьезности : средняя

    Уязвимость : множественные аутентифицированные уязвимости IDOR
    Запатчен в версии : 1.6.11
    SeverityScore : средний

    Уязвимость исправлена, поэтому вам следует выполнить обновление до версии 1.6.11+.

    3. Белло

    Тема: Listeo
    Уязвимость : аутентифицированные XSS и XFS.
    Запатчен в версии : 1.6.0
    Оценка серьезности : средняя

    Уязвимость : неаутентифицированные отраженные XSS и XFS
    Запатчен в версии : 1.6.0
    SeverityScore : средний

    Уязвимость : неаутентифицированная слепая инъекция SQL
    Запатчен в версии : 1.6.0
    SeverityScore : критический

    Уязвимость исправлена, поэтому вам следует выполнить обновление до версии 1.6.0+.

    Примечание об ответственном раскрытии информации

    Вам может быть интересно, почему уязвимость раскрывается, если она дает хакерам возможность атаковать. Что ж, очень часто исследователь безопасности находит уязвимость и в частном порядке сообщает о ней разработчику программного обеспечения.

    При ответственном раскрытии информации первоначальный отчет исследователя направляется в частном порядке разработчикам компании, владеющей программным обеспечением, но с соглашением о том, что полная информация будет опубликована после того, как исправление станет доступным. Для значительных уязвимостей безопасности может быть небольшая задержка в раскрытии уязвимости, чтобы дать большему количеству людей время для исправления.

    Исследователь безопасности может указать крайний срок для разработчика программного обеспечения, чтобы ответить на отчет или предоставить исправление. Если этот срок не соблюден, исследователь может публично раскрыть уязвимость, чтобы заставить разработчика выпустить исправление.

    Публичное раскрытие уязвимости и кажущееся введение уязвимости нулевого дня - типа уязвимости, для которой нет исправления и которая эксплуатируется в дикой природе - может показаться контрпродуктивным. Но это единственное средство, с помощью которого исследователь может оказать давление на разработчика, чтобы исправить уязвимость.

    Если бы хакер обнаружил уязвимость, он мог бы незаметно использовать эксплойт и нанести ущерб конечному пользователю (это вы), в то время как разработчик программного обеспечения остается довольным, оставив уязвимость не исправленной. У Google Project Zero есть аналогичные рекомендации, когда дело доходит до раскрытия уязвимостей. Они публикуют полную информацию об уязвимости через 90 дней, независимо от того, была ли уязвимость исправлена.

    Как защитить свой сайт WordPress от уязвимых плагинов и тем

    Сканер сайта плагина iThemes Security Pro - это еще один способ обезопасить и защитить ваш сайт WordPress от основной причины всех взломов программного обеспечения: устаревших плагинов и тем с известными уязвимостями. Сканер сайта проверяет ваш сайт на наличие известных уязвимостей и автоматически применяет исправление, если оно доступно.

    3 типа проверенных уязвимостей WordPress

    1. Уязвимости WordPress
    2. Уязвимости плагина
    3. Уязвимости темы

    Чтобы включить сканирование сайта при новых установках, перейдите к настройкам iThemes Security Pro и нажмите кнопку « Включить» в модуле настроек сканирования сайта .

    Чтобы запустить сканирование сайта вручную, нажмите кнопку Сканировать сейчас в виджете сканирования сайта, расположенном на правой боковой панели настроек безопасности.

    Результаты сканирования сайта отобразятся в виджете.

    Если сканирование сайта обнаруживает уязвимость, щелкните ссылку уязвимости, чтобы просмотреть страницу с подробностями.

    На странице «Проверка уязвимостей» вы увидите, доступно ли исправление для этой уязвимости. Если доступно исправление, вы можете нажать кнопку « Обновить подключаемый модуль» , чтобы применить исправление на своем веб-сайте.

    Может быть задержка между появлением исправления и обновлением базы данных уязвимостей безопасности iThemes, чтобы отразить исправление. В этом случае вы можете отключить уведомление, чтобы больше не получать оповещения, связанные с уязвимостью.

    Важно: не следует отключать уведомление об уязвимости, пока вы не подтвердите, что ваша текущая версия включает исправление безопасности или уязвимость не влияет на ваш сайт.

    iThemes Security Pro, наш плагин безопасности WordPress, предлагает более 50 способов защиты и защиты вашего сайта от распространенных уязвимостей безопасности WordPress. С помощью WordPress, двухфакторной аутентификации, защиты от перебора паролей, надежного применения пароля и многого другого вы можете добавить дополнительный уровень безопасности на свой веб-сайт.

    Получите iThemes Security Pro

    отчет об уязвимостях wordpress - безопасность