Обзор уязвимостей WordPress: декабрь 2019 г.
Опубликовано: 2020-01-16В первой половине декабря было обнаружено несколько новых уязвимостей плагинов и тем WordPress, поэтому мы хотим держать вас в курсе. В этом посте мы расскажем о недавних уязвимостях плагинов, тем и основных уязвимостей WordPress, а также о том, что делать, если вы используете один из уязвимых плагинов или тем на своем веб-сайте.
Обзор уязвимостей WordPress разделен на четыре категории:
- 1. Ядро WordPress
- 2. Плагины WordPress
- 3. Темы WordPress
- 4. Взломы из Интернета.
Примечание. Вы можете сразу перейти к сводной таблице уязвимостей за первую часть декабря 2019 года, которая указана ниже.
Уязвимости ядра WordPress
WordPress 5.3.1 Выпуск безопасности и обслуживания
Команда WordPress недавно обнаружила три уязвимости в WordPress версии 5.3:
- Непривилегированные пользователи могут сделать сообщение прикрепленным через REST API.
- Уязвимость межсайтового скриптинга может храниться в ссылках.
- Сохраненная уязвимость сценария перекрестного сайта с использованием содержимого редактора блоков.
Более подробную информацию можно найти в публикации WordPress 5.3.1 Security and Maintenance Release.
Что ты должен делать
Уязвимости плагина WordPress
В этом месяце было обнаружено несколько новых уязвимостей плагина WordPress. Обязательно следуйте предлагаемым ниже действиям, чтобы обновить плагин или полностью удалить его.
1. Проверка правописания WP
WP Spell Check версии 7.1.9 и ниже уязвим для атаки подделки межсайтовых запросов.
Что ты должен делать
2. CSS Hero
CSS Hero версии 4.03 и ниже уязвим для атаки Authenticated Reflected XSS.
Что ты должен делать
3. Окончательные дополнения для Beaver Builder
Ultimate Addons для Beaver Builder версии 1.24.0 и ниже уязвимы для атаки с обходом аутентификации.
Что ты должен делать
4. Окончательные дополнения для Elementor
Ultimate Addons для Elementor версии 1.20.0 и ниже уязвимы для атаки с обходом аутентификации.
Что ты должен делать
5. Календер Скаутнета
Scoutnet Kalender версии 1.1.0 и ниже уязвимы для атаки с сохранением межсайтовых сценариев.
Что ты должен делать
WordPress темы
1. Загипнотизировать
Версии Mesmerize 1.6.89 и ниже имеют уязвимость при обновлении параметров аутентификации.
Что ты должен делать
2. Materialis
В версиях Materialis 1.0.172 и ниже есть уязвимость при обновлении параметров аутентификации.
Что ты должен делать
3. ListingPro
ListingPro версии 2.0.14.2 и ниже имеют уязвимость Reflected & Persistent Cross-Site Scripting.
Что ты должен делать
4. Суперлист
Версии Superlist 2.9.2 и ниже уязвимы для атаки Stored Cross-Site Scripting.
Что ты должен делать
Как быть активным в отношении уязвимостей тем и плагинов WordPress
Использование устаревшего программного обеспечения - это причина номер один взлома сайтов WordPress. Для безопасности вашего сайта WordPress крайне важно, чтобы у вас была процедура обновления. Вы должны входить на свои сайты не реже одного раза в неделю, чтобы выполнять обновления.
Автоматические обновления могут помочь
Автоматические обновления - отличный выбор для веб-сайтов WordPress, которые не меняются очень часто. Из-за недостатка внимания эти сайты часто остаются без внимания и уязвимы для атак. Даже при рекомендуемых настройках безопасности запуск уязвимого программного обеспечения на вашем сайте может дать злоумышленнику точку входа на ваш сайт.
Использование Pro плагин функции управления версиями iThemes Security, вы можете включить автоматическое обновление WordPress , чтобы убедиться , что вы получаете последние обновления безопасности. Эти настройки помогают защитить ваш сайт с помощью опций для автоматического обновления до новых версий или повышения безопасности пользователей, когда программное обеспечение сайта устарело.
Параметры обновления управления версиями
- Обновления WordPress - автоматическая установка последней версии WordPress.
- Автоматические обновления плагинов - автоматическая установка последних обновлений плагинов. Это должно быть включено, если вы активно не поддерживаете этот сайт на ежедневной основе и не устанавливаете обновления вручную вскоре после их выпуска.
- Автоматические обновления тем - автоматическая установка последних обновлений тем. Это должно быть включено, если ваша тема не имеет настроек файла.
- Детальный контроль над обновлениями плагинов и тем - у вас могут быть плагины / темы, которые вы хотите обновить вручную или отложить обновление до тех пор, пока выпуск не станет стабильным. Вы можете выбрать « Пользовательский» для возможности назначить каждому плагину или теме немедленное обновление ( Включить ), не обновлять автоматически ( Отключить ) или обновлять с задержкой в указанное количество дней ( Задержка ).
Усиление и предупреждение о критических проблемах
- Усиление сайта при использовании устаревшего программного обеспечения - автоматическое добавление дополнительных средств защиты для сайта, если доступное обновление не было установлено в течение месяца. Плагин iThemes Security автоматически включит более строгую безопасность, если обновление не было установлено в течение месяца. Во-первых, он заставит всех пользователей, у которых не включен двухфакторный режим, предоставить код входа, отправленный на их адрес электронной почты, перед повторным входом в систему. Во-вторых, он отключит редактор файлов WP (чтобы заблокировать людей от редактирования кода плагина или темы) , Пингбэки XML-RPC и блокировка нескольких попыток аутентификации для каждого запроса XML-RPC (оба из которых сделают XML-RPC более устойчивым к атакам, не отключая его полностью).
- Сканировать другие старые сайты WordPress - это проверит наличие других устаревших установок WordPress в вашей учетной записи хостинга. Один устаревший сайт WordPress с уязвимостью может позволить злоумышленникам взломать все другие сайты в той же учетной записи хостинга.
- Отправлять уведомления по электронной почте - для проблем, требующих вмешательства, электронное письмо отправляется пользователям с правами администратора.
Управление несколькими сайтами WP? Обновите плагины, темы и ядро сразу с панели управления iThemes Sync
iThemes Sync - это наша центральная панель управления, которая поможет вам управлять несколькими сайтами WordPress. На панели управления Sync вы можете просматривать доступные обновления для всех ваших сайтов, а затем обновлять плагины, темы и ядро WordPress одним щелчком мыши . Вы также можете получать ежедневные уведомления по электронной почте, когда доступно обновление новой версии.
Нарушения со всего Интернета
Мы включаем нарушения со всего Интернета, потому что важно также знать об уязвимостях за пределами экосистемы WordPress. Эксплойты к серверному программному обеспечению могут раскрыть конфиденциальные данные. Взлом базы данных может раскрыть учетные данные пользователей на вашем сайте, открывая дверь для злоумышленников, чтобы получить доступ к вашему сайту.
1. Хаки с кольцевой камерой
К сожалению, некоторые семьи сообщают о случаях преследования после взлома их устройств Ring. Если вы используете какую-либо камеру безопасности, которая позволяет удаленно просматривать прямую трансляцию, вы должны знать, как хакеры взламывают кольцевые камеры.
По словам представителя Ring, эти сообщения о взломах были единичными и не были связаны со взломом или взломом Ring Security. Это отличная новость, и это означает, что вероятным виновником взлома были слабые пароли и неиспользование двухфакторной аутентификации. Атака методом грубой силы, когда злонамеренный бот пробует случайную комбинацию имен пользователей и паролей до тех пор, пока одна из них не будет успешной, и они могут получить доступ к вашей учетной записи.
К счастью для нас, довольно легко защитить свои учетные записи от атаки методом грубой силы. Согласно исследованиям безопасности Google, использование двухфакторной аутентификации остановит 100% атак ботов. Если вы устанавливаете устройство IoT, особенно такое, которое позволяет вам видеть и слышать, что происходит внутри вашего дома, убедитесь, что вы защищаете себя и свои семьи, используя надежный пароль и двухфакторную аутентификацию.
Обзор уязвимостей WordPress для
Декабрь 2019, часть 1
WP Spell Check версии 7.1.9 и ниже уязвим для атаки подделки межсайтовых запросов.
Ultimate Addons для Beaver Builder версии 1.24.0 и ниже уязвимы для атаки с обходом аутентификации.
Ultimate Addons для Elementor версии 1.20.0 и ниже уязвимы для атаки с обходом аутентификации.
CSS Hero версии 4.03 и ниже уязвим для атаки Authenticated Reflected XSS.
Scoutnet Kalender версии 1.1.0 и ниже уязвимы для атаки с сохранением межсайтовых сценариев.
Экспорт пользователей в CSV версии 1.3 и ниже имеет уязвимость несанкционированного доступа CSV.
Версии Mesmerize 1.6.89 и ниже имеют уязвимость при обновлении параметров аутентификации.
В версиях Materialis 1.0.172 и ниже есть уязвимость при обновлении параметров аутентификации.
Версии Superlist 2.9.2 и ниже уязвимы для атаки Stored Cross-Site Scripting.
ListingPro версии 2.0.14.2 и ниже имеют уязвимость Reflected & Persistent Cross-Site Scripting.
Плагин безопасности WordPress может помочь защитить ваш сайт
iThemes Security Pro, наш плагин безопасности WordPress, предлагает более 30 способов защиты и защиты вашего сайта от распространенных уязвимостей безопасности WordPress. С помощью WordPress, двухфакторной аутентификации, защиты от перебора паролей, надежного применения пароля и многого другого вы можете добавить дополнительный уровень безопасности на свой веб-сайт.
Получите iThemes Security
Каждую неделю Майкл составляет отчет об уязвимостях WordPress, чтобы обеспечить безопасность ваших сайтов. Как менеджер по продукту в iThemes, он помогает нам продолжать улучшать линейку продуктов iThemes. Он большой ботаник и любит узнавать обо всем, что есть в технологиях, старом и новом. Вы можете увидеть, как Майкл гуляет с женой и дочерью, читает или слушает музыку, когда не работает.
