Обзор уязвимостей WordPress: ноябрь 2019 г., часть 1
Опубликовано: 2019-11-15В первой половине ноября было обнаружено несколько новых уязвимостей плагинов и тем WordPress, поэтому мы хотим держать вас в курсе. В этом посте мы расскажем о недавних уязвимостях плагинов и тем WordPress, а также о том, что делать, если вы используете один из уязвимых плагинов или тем на своем веб-сайте.
Мы делим обзор уязвимостей WordPress на четыре разные категории:
- 1. Ядро WordPress
- 2. Плагины WordPress
- 3. Темы WordPress
- 4. Взломы из Интернета.
* Мы включаем нарушения со всего Интернета, потому что важно также знать об уязвимостях за пределами экосистемы WordPress. Эксплойты к серверному программному обеспечению могут раскрыть конфиденциальные данные. Взлом базы данных может раскрыть учетные данные пользователей на вашем сайте, открывая дверь для злоумышленников, чтобы получить доступ к вашему сайту.
Обновление безопасности WordPress Core
WordPress 5.3 упал на этой неделе, поэтому обязательно обновите свои сайты как можно скорее. Вот краткий обзор 20 лучших новых функций и улучшений в WordPress 5.3.
Уязвимости плагина WordPress
В октябре этого года было обнаружено несколько новых уязвимостей плагина WordPress. Обязательно следуйте предлагаемым ниже действиям, чтобы обновить плагин или полностью удалить его.
1. Безопасный SVG
Безопасный SVG версии 1.9.5 и ниже уязвим для атаки с обходом межсайтовых сценариев. Уязвимость позволяет злоумышленнику обойти защиту, добавленную Safe SVG.
Что ты должен делать
2. Переключатель валют для WooCommerce
Переключатель валют для WooCommerce версии 2.11.1 имеет уязвимость обхода ограничений безопасности, которая позволяет злоумышленнику включить валюту, которая в настоящее время не включена в настройках.
Что ты должен делать
3. Живой чат Tidio
Tidio Live Chat версии 4.1 и ниже уязвим для подделки межсайтовых запросов, ведущей к атаке межсайтового скриптинга. Уязвимость позволит злоумышленнику обманом заставить администраторов добавить вредоносную полезную нагрузку, которая будет представлена всем посетителям.
Что ты должен делать
4. IgniteUp - скоро и режим обслуживания
IgniteUp - скоро будет и режим обслуживания версии 3.4 и ниже содержит несколько уязвимостей.
- Удаление произвольного файла
- HTML-инъекция и CSRF в сообщениях электронной почты
- Сохраненные межсайтовые сценарии
- Раскрытие электронного адреса подписчика
- Удаление произвольного подписчика
- Произвольный переключатель шаблона плагина
Что ты должен делать
5. Blog2Social: автоматическая публикация и планировщик публикаций в социальных сетях
Blog2Social: Social Media Auto Post & Scheduler версии 5.8.1 имеет уязвимость межсайтового скриптинга. Уязвимость позволяет злоумышленнику выполнить произвольный код HTML и JavaScript, который может быть выполнен по вредоносной ссылке.
Что ты должен делать
6. WP Google Review Slider.
WP Google Review Slider версии 6.1 уязвим для атаки с использованием аутентифицированного SQL-инъекции.
Что ты должен делать
7. Платформа подключаемых модулей YITH (39 отдельных подключаемых модулей)
Набор плагинов WooCommerce YITH уязвим для атаки с изменением параметров аутентификации. На этой диаграмме собраны все 39 уязвимых плагинов YITH:
Сводка уязвимостей плагина YITH
версия 2.2.14.
версия 2.3.15.
1.3.15.
1.3.12.
1.7.1.
1.3.21.
версия 1.3.7.
версия 1.4.9.
версия 1.3.6.
версия 1.2.11.
версия 1.2.13.
версия 1.2.1.
версия 1.2.1.
версия 1.5.23.
версия 1.3.8.
до версии 1.3.6.
до версии 1.6.3.
до версии 1.4.5.
обновите его до версии 1.1.17.
обновите его до версии 1.2.14.
обновите его до версии 1.7.5.
обновите его до версии 1.8.13.
следует обновить его до версии 1.1.8.
следует обновить его до версии 1.1.13.
следует обновить его до версии 1.3.13.
вам следует обновить его до версии 1.2.15.
вам следует обновить его до версии 2.0.2.
и вы должны обновить его до версии
1.3.11.
и вы должны обновить его до версии
1.3.6.
пропатчен, и вам следует обновить его
до версии 1.3.6.
WooCommerce
исправлен, и вам следует обновить
до версии 1.0.12.
Платежный шлюз
исправлен, и вам следует обновить
это до версии 1.1.13.
пропатчен, и вы должны
обновите его до версии 1.1.13.
пропатчен, и вы должны
обновить его до версии
2.1.4.
Продавцы
был исправлен, и вы
следует обновить его до
версия 3.4.1.
и ответы
был исправлен, и вы
следует обновить его до
версия 1.2.0.
Брошенная тележка
был исправлен,
и ты должен
обновить его до версии
1.2.0.
Оформить заказ на
WooCommerce
был исправлен,
и ты должен
обновить его до
версия 1.2.6.
Уведомления
для
WooCommerce
уязвимость
был
пропатчен, а ты
должен обновить это
к версии
1.2.8.
WordPress темы
1. Zoner - тема недвижимости
Zoner Real Estate Theme версии 4.1.1 и ниже уязвимостей постоянного межсайтового скриптинга и незащищенных прямых ссылок на объекты.
Что ты должен делать
Как быть активным в отношении уязвимостей тем и плагинов WordPress
Использование устаревшего программного обеспечения - это причина номер один взлома сайтов WordPress. Для безопасности вашего сайта WordPress крайне важно, чтобы у вас была процедура обновления. Вы должны входить на свои сайты не реже одного раза в неделю, чтобы выполнять обновления.
Автоматические обновления могут помочь
Автоматические обновления - отличный выбор для веб-сайтов WordPress, которые не меняются очень часто. Из-за недостатка внимания эти сайты часто остаются без внимания и уязвимы для атак. Даже при рекомендуемых настройках безопасности запуск уязвимого программного обеспечения на вашем сайте может дать злоумышленнику точку входа на ваш сайт.
Использование Pro плагин функции управления версиями iThemes Security, вы можете включить автоматическое обновление WordPress , чтобы убедиться , что вы получаете последние обновления безопасности. Эти настройки помогают защитить ваш сайт с помощью опций для автоматического обновления до новых версий или повышения безопасности пользователей, когда программное обеспечение сайта устарело.
Параметры обновления управления версиями
- Обновления WordPress - автоматическая установка последней версии WordPress.
- Автоматические обновления плагинов - автоматическая установка последних обновлений плагинов. Это должно быть включено, если вы активно не поддерживаете этот сайт на ежедневной основе и не устанавливаете обновления вручную вскоре после их выпуска.
- Автоматические обновления тем - автоматическая установка последних обновлений тем. Это должно быть включено, если ваша тема не имеет настроек файла.
- Детальный контроль над обновлениями плагинов и тем - у вас могут быть плагины / темы, которые вы хотите обновить вручную или отложить обновление до тех пор, пока выпуск не станет стабильным. Вы можете выбрать « Пользовательский» для возможности назначить каждому плагину или теме немедленное обновление ( Включить ), не обновлять автоматически ( Отключить ) или обновлять с задержкой в указанное количество дней ( Задержка ).
Усиление и предупреждение о критических проблемах
- Усиление сайта при использовании устаревшего программного обеспечения - автоматическое добавление дополнительных средств защиты для сайта, если доступное обновление не было установлено в течение месяца. Плагин iThemes Security автоматически включит более строгую безопасность, если обновление не было установлено в течение месяца. Во-первых, он заставит всех пользователей, у которых не включен двухфакторный режим, предоставить код входа, отправленный на их адрес электронной почты, перед повторным входом в систему. Во-вторых, он отключит редактор файлов WP (чтобы заблокировать людей от редактирования кода плагина или темы) , Пингбэки XML-RPC и блокировка нескольких попыток аутентификации для каждого запроса XML-RPC (оба из которых сделают XML-RPC более устойчивым к атакам, не отключая его полностью).
- Сканировать другие старые сайты WordPress - это проверит наличие других устаревших установок WordPress в вашей учетной записи хостинга. Один устаревший сайт WordPress с уязвимостью может позволить злоумышленникам взломать все другие сайты в той же учетной записи хостинга.
- Отправлять уведомления по электронной почте - для проблем, требующих вмешательства, электронное письмо отправляется пользователям с правами администратора.
Нарушения со всего Интернета
1. Пользователи WordPress заражают собственные сайты пиратскими плагинами и темами
По данным WordFence, кампания по размещению вредоносной рекламы на WP-VCD резко возросла. Это конкретное вредоносное ПО довольно неприятно, так как его очень сложно полностью удалить с зараженного сайта, и оно может распространяться на другие сайты WordPress на сервере. Самым неприятным моментом для владельцев сайтов, пострадавших от вредоносного ПО WP-VCD, является то, что они заразили свой собственный сайт. Владельцы сайтов, установившие бесплатные и пиратские версии платных плагинов и тем, получили немного больше, чем ожидали. Пиратское программное обеспечение содержало вредоносный код, который создавал лазейку с приветственным ковриком для вируса WP-VCD.
В первый день недели бедствий iThemes WordPress мы рассказали, как предотвратить нарушение безопасности. Одна из важных вещей, которые мы рассмотрели, заключалась в ограничении возможностей использования PHP путем установки программного обеспечения только из надежных источников. Заражение сайта вредоносным ПО всегда усугубляется, когда вы знаете, что это могло и должно было быть предотвращено.
Обзор уязвимостей WordPress для
Ноябрь 2019, часть 1
Безопасный SVG версии 1.9.5 и ниже уязвим для атаки с обходом межсайтовых сценариев.
Переключатель валют для WooCommerce версии 2.11.1 и ниже уязвим для атаки с обходом ограничения безопасности.
Tidio Live Chat версии 4.1 и ниже уязвим для подделки межсайтовых запросов, ведущей к атаке межсайтового скриптинга.
IgniteUp - скоро будет и режим обслуживания версии 3.4 и ниже имеет несколько уязвимостей.
Blog2Social: Social Media Auto Post & Scheduler версии 5.8.1 и ниже уязвим для атаки межсайтового скриптинга.
WP Google Review Slider версии 6.1 и ниже уязвим для атаки с использованием аутентифицированного SQL-инъекции.
Платформа подключаемых модулей YITH Набор подключаемых модулей WooCommerce YITH уязвим для атаки на изменение параметров с проверкой подлинности.
Плагин безопасности WordPress может помочь защитить ваш сайт
iThemes Security Pro, наш плагин безопасности WordPress, предлагает более 30 способов защиты и защиты вашего сайта от распространенных уязвимостей безопасности WordPress. С двухфакторной аутентификацией WordPress, защитой от перебора, надежным паролем и многим другим вы можете добавить дополнительный уровень безопасности на свой веб-сайт.
Получите iThemes Security Pro
Каждую неделю Майкл составляет отчет об уязвимостях WordPress, чтобы обеспечить безопасность ваших сайтов. Как менеджер по продукту в iThemes, он помогает нам продолжать улучшать линейку продуктов iThemes. Он большой ботаник и любит узнавать обо всем, что есть в технологиях, старом и новом. Вы можете увидеть, как Майкл гуляет с женой и дочерью, читает или слушает музыку, когда не работает.
