Обзор уязвимостей WordPress: ноябрь 2020 г., часть 1

Опубликовано: 2021-03-10

В первой половине ноября было обнаружено довольно много новых уязвимостей плагинов и тем WordPress. В этом посте рассказывается о последних уязвимостях плагина, темы и ядра WordPress, а также о том, что делать, если вы запускаете один из уязвимых плагинов или тем на своем веб-сайте.

Обзор уязвимостей WordPress разделен на три разные категории: ядро WordPress, плагины WordPress и темы WordPress.

В ноябрьском отчете по части 1

Уязвимости ядра WordPress

WordPress 5.5.2 был выпущен 29 октября и включал 10 основных исправлений безопасности WordPress.

Вот список исправлений безопасности, упомянутых в сообщении о выпуске WordPress 5.5.2.

Запросы на усиленную десериализацию.
Исправлено отключение встраивания спама с отключенных сайтов в многосайтовой сети .
Исправлена проблема безопасности, которая могла привести к XSS-атакам из глобальных переменных.
Исправлена проблема повышения привилегий в XML-RPC.
Исправлена проблема повышения привилегий при комментировании постов через XML-RPC.
Исправлена проблема безопасности, из-за которой DoS-атака могла привести к RCE.
Удален метод хранения XSS в слагах сообщений.
Удален метод обхода защищенных метаданных, которые могли привести к произвольному удалению файла.
Удален метод, который мог привести к CSRF.

Уязвимости исправлены, поэтому обновите WordPress до версии 5.5.2.

Уязвимости плагина WordPress

1. SW Ajax WooCommerce Search

Версии SW Ajax WooCommerce Search ниже 1.2.8 имеют уязвимости XSS и XFS, не прошедшие проверку подлинности.

Уязвимость исправлена, и вам следует выполнить обновление до версии 1.2.8.

2. Социальные иконки AccessPress

Версии AccessPress Social Icons ниже 1.8.1 имеют уязвимость аутентифицированного внедрения SQL.

Уязвимость исправлена, и вам необходимо выполнить обновление до версии 1.8.1.

3. Поддержка соблюдения GDPR CCPA

Версии поддержки соответствия GDPR CCPA ниже 2.4 имеют уязвимость внедрения неаутентифицированного объекта PHP.

Уязвимость исправлена, и вам следует выполнить обновление до версии 2.4.

4. Дополненная реальность

Все версии дополненной реальности имеют загрузку файла PHP без проверки подлинности, что приводит к уязвимости RCE.

Удалите плагин, пока не будет выпущено исправление безопасности.

5. Электронная торговля Welcart

Версии электронной коммерции Welcart ниже 1.9.36 имеют уязвимость Authenticated PHP Object Injection.

Уязвимость исправлена, и вам необходимо выполнить обновление до версии 1.9.36.

6. WooCommerce

Версии WooCommerce ниже 4.6.2 имеют уязвимость создания гостевой учетной записи.

Уязвимость исправлена, и вам необходимо выполнить обновление до версии 4.6.2.

7. Блоки WooCommerce

В версиях WooCommerce Blocks ниже 3.7.1 есть уязвимость, связанная с созданием гостевой учетной записи.

Уязвимость исправлена, и вам следует выполнить обновление до версии 3.7.1.

8. Заброшенная корзина Lite для WooCommerce

Abandoned Cart Lite для версий WooCommerce ниже 5.8.3 имеет уязвимость неаутентифицированного внедрения SQL.

Уязвимость исправлена, и вам необходимо выполнить обновление до версии 5.8.3.

9. Журнал активности WP

Версии журнала активности WP ниже 4.1.5 имеют уязвимость SQL-инъекции во внешнем модуле базы данных.

Уязвимость исправлена, и вам необходимо выполнить обновление до версии 4.1.5.

10. Абсолютный член

Версии Ultimate Member ниже 2.1.12 имеют неаутентифицированное повышение привилегий с помощью ролей пользователя, обновления профиля и мета-уязвимостей пользователя.

Уязвимость исправлена, и вам необходимо выполнить обновление до версии 2.1.12.

11. Окончательные обзоры

Версии Ultimate Reviews ниже 2.1.33 содержат уязвимость внедрения неаутентифицированного объекта PHP.

Уязвимость исправлена, и вам следует выполнить обновление до версии 2.1.33.

Уязвимости темы WordPress

1. ГринМарт

Версии GreenMart ниже 2.4.3 имеют уязвимость Reflected Cross-Site Scripting.

Уязвимость исправлена, и вам следует выполнить обновление до версии 2.4.3.

Ноябрьский совет по безопасности: зачем вам журнал безопасности WordPress

Ведение журнала - важная часть вашей стратегии безопасности WordPress. Недостаточное ведение журнала и мониторинг могут привести к задержке обнаружения нарушения безопасности. Большинство исследований показывают, что время обнаружения нарушения составляет более 200 дней! Это время позволяет злоумышленнику взломать другие системы, изменить, украсть или уничтожить больше данных. Именно по этим причинам недостаточное ведение журнала попало в топ-10 рисков безопасности веб-приложений по версии OWASP.

Большинство исследований показывают, что время обнаружения нарушения составляет более 200 дней!

Журналы безопасности WordPress имеют несколько преимуществ в вашей общей стратегии безопасности.

Идентификация и пресечение злонамеренного поведения.
Выявляйте действия, которые могут предупредить вас о взломе.
Оцените, какой ущерб был нанесен.
Помощник по ремонту взломанного сайта.

Если ваш сайт все-таки взломали, вы захотите получить лучшую информацию, которая поможет в быстром расследовании и восстановлении.

Что такое журналы безопасности WordPress?

Журналы безопасности WordPress в iThemes Security Pro отслеживают важные события безопасности, которые происходят на вашем веб-сайте. Эти события важно отслеживать, чтобы указать, когда или когда происходит нарушение безопасности.

Журналы безопасности вашего веб-сайта являются важной частью любой стратегии безопасности. Информация, содержащаяся в этих записях, может использоваться для блокировки злоумышленников, выделения нежелательных изменений на сайте и помощи в выявлении и исправлении точки входа успешной атаки.

Как добавить журналы безопасности WordPress на ваш сайт

Самый простой способ добавить журнал безопасности на ваш сайт - использовать такой плагин, как iThemes Security Pro. Как только iThemes Security Pro будет установлен и активирован, он начнет отслеживать и записывать важные действия по обеспечению безопасности, которые происходят на вашем веб-сайте.

Затем iThemes Security Pro превращает данные из ваших журналов в панель управления безопасностью WordPress в реальном времени, чтобы вы могли лучше видеть все действия, связанные с безопасностью, происходящие на вашем сайте.

Прочтите нашу публикацию о журналах безопасности WordPress, чтобы узнать, какие события безопасности вы должны отслеживать и как их записывать.

Увидеть как это работает

Плагин безопасности WordPress может помочь защитить ваш сайт

iThemes Security Pro, наш плагин безопасности WordPress, предлагает более 50 способов защиты и защиты вашего сайта от распространенных уязвимостей безопасности WordPress. С помощью WordPress, двухфакторной аутентификации, защиты от перебора паролей, надежного применения пароля и многого другого вы можете добавить дополнительный уровень безопасности на свой веб-сайт.

Получите iThemes Security Pro

Майкл Мур

Каждую неделю Майкл составляет отчет об уязвимостях WordPress, чтобы обеспечить безопасность ваших сайтов. Как менеджер по продукту в iThemes, он помогает нам продолжать улучшать линейку продуктов iThemes. Он большой ботаник и любит узнавать обо всем, что есть в технологиях, старом и новом. Вы можете увидеть, как Майкл гуляет с женой и дочерью, читает или слушает музыку, когда не работает.