Обзор уязвимостей WordPress: октябрь 2019 г., часть 2
Опубликовано: 2019-10-30Во второй половине октября было обнаружено несколько новых уязвимостей плагинов и тем WordPress, поэтому мы хотим держать вас в курсе. В этом посте мы расскажем о недавних уязвимостях плагинов и тем WordPress, а также о том, что делать, если вы используете один из уязвимых плагинов или тем на своем веб-сайте.
Мы делим обзор уязвимостей WordPress на четыре разные категории:
- 1. Ядро WordPress
- 2. Плагины WordPress
- 3. Темы WordPress
- 4. Взломы из Интернета.
* Мы включаем нарушения со всего Интернета, потому что важно также знать об уязвимостях за пределами экосистемы WordPress. Эксплойты к серверному программному обеспечению могут раскрыть конфиденциальные данные. Взлом базы данных может раскрыть учетные данные пользователей на вашем сайте, открывая дверь для злоумышленников, чтобы получить доступ к вашему сайту.
Примечание. Вы можете сразу перейти к сводной таблице уязвимостей за вторую часть октября 2019 года, указанной ниже.
Уязвимости ядра WordPress
Уязвимости плагина WordPress
В октябре этого года было обнаружено несколько новых уязвимостей плагина WordPress. Обязательно следуйте предлагаемым ниже действиям, чтобы обновить плагин или полностью удалить его.
1. Все в одном пакете SEO
All In One SEO Pack версии 3.2.6 и ниже уязвим для атаки с сохранением межсайтовых сценариев. Злоумышленнику потребуется использовать аутентифицированного пользователя для использования уязвимости. Если злоумышленник получит доступ к пользователю с правами администратора, он может выполнить код PHP и скомпрометировать сервер.
Что ты должен делать
2. Проверка неработающих ссылок
Проверка неработающих ссылок версии 1.11.8 и ниже уязвима для атаки с проверкой подлинности межсайтовых сценариев.
Что ты должен делать
3. Менеджер мероприятий
Диспетчер событий версии 5.9.5 и ниже уязвим для атаки с сохранением межсайтовых сценариев.
Что ты должен делать
4. Закон ЕС о файлах cookie
Закон ЕС о файлах cookie версии 3.0.6 и ниже уязвим для атаки с использованием межсайтовых сценариев. Уязвимость позволит злоумышленнику вставить произвольный HTML и Javascript для изменения параметров цвета шрифта, цвета фона и текста «Отключить файлы cookie» в плагине.
Что ты должен делать
5. Быстрое уменьшение скорости
Fast Velocity Minify версии 2.7.6 и ниже имеет уязвимость, которая позволяет аутентифицированному злоумышленнику обнаружить полный корневой путь установки WordPress. Уязвимость полного пути сама по себе не критична. Однако знание корневого пути даст злоумышленнику необходимую информацию, чтобы воспользоваться другими более серьезными уязвимостями.
Что ты должен делать
6. Развитие SyntaxHighlighter
SyntaxHighlighter Evolved версии 3.5.0 и ниже уязвима для атаки межсайтового скриптинга.
Что ты должен делать
7. WP HTML Mail
WP HTML Mail версии 2.9.0.3 и ниже уязвим для атаки с использованием HTML-инъекции.
Что ты должен делать
8. Нарезанные счета-фактуры
Нарезанные счета-фактуры версии 3.8.2 и ниже имеют несколько уязвимостей. К уязвимостям относятся внедрение аутентифицированного SQL-кода, аутентифицированное отражение отраженных межсайтовых сценариев, раскрытие неаутентифицированной информации, позволяющее получить доступ к счетам, а также отсутствие межсайтовых подделок запросов и проверок аутентификации.
Что ты должен делать
9. Подключаемый модуль Zoho CRM Lead Magnet
Подключаемый модуль Zoho CRM Lead Magnet версии 1.6.9 уязвим для атаки с проверкой подлинности межсайтовых сценариев. Уязвимость позволит злоумышленнику выполнить вредоносный код в браузере пользователя.
Что ты должен делать
10. Об авторе
Об авторе Версия 1.3.9 и ниже уязвима для атаки с проверкой подлинности межсайтовых сценариев.
Что ты должен делать
11. Шаблоны электронной почты
Шаблоны электронной почты версии 1.3 и ниже уязвимы для атаки с использованием HTML-инъекции.
Что ты должен делать
12. Сурок
Groundhogg версии 1.3.11.3 и ниже уязвим для атак с проверкой подлинности межсайтовых сценариев и SQL-инъекций.
Что ты должен делать
13. Шаблон электронного письма WP
Шаблон электронной почты WP версии 2.2.10 и ниже уязвим для атаки с использованием HTML-инъекции.
Что ты должен делать
WordPress темы
14. InJob
InJob версии 3.3.7 и ниже уязвим для атаки межсайтового скриптинга.
Что ты должен делать
Как быть активным в отношении уязвимостей тем и плагинов WordPress
Использование устаревшего программного обеспечения - это причина номер один взлома сайтов WordPress. Для безопасности вашего сайта WordPress крайне важно, чтобы у вас была процедура обновления. Вы должны входить на свои сайты не реже одного раза в неделю, чтобы выполнять обновления.
Автоматические обновления могут помочь
Автоматические обновления - отличный выбор для веб-сайтов WordPress, которые не меняются очень часто. Из-за недостатка внимания эти сайты часто остаются без внимания и уязвимы для атак. Даже при рекомендуемых настройках безопасности запуск уязвимого программного обеспечения на вашем сайте может дать злоумышленнику точку входа на ваш сайт.
Использование Pro плагин функции управления версиями iThemes Security, вы можете включить автоматическое обновление WordPress , чтобы убедиться , что вы получаете последние обновления безопасности. Эти настройки помогают защитить ваш сайт с помощью опций для автоматического обновления до новых версий или повышения безопасности пользователей, когда программное обеспечение сайта устарело.
Параметры обновления управления версиями
- Обновления WordPress - автоматическая установка последней версии WordPress.
- Автоматические обновления плагинов - автоматическая установка последних обновлений плагинов. Это должно быть включено, если вы активно не поддерживаете этот сайт на ежедневной основе и не устанавливаете обновления вручную вскоре после их выпуска.
- Автоматические обновления тем - автоматическая установка последних обновлений тем. Это должно быть включено, если ваша тема не имеет настроек файла.
- Детальный контроль над обновлениями плагинов и тем - у вас могут быть плагины / темы, которые вы хотите обновить вручную или отложить обновление до тех пор, пока выпуск не станет стабильным. Вы можете выбрать « Пользовательский» для возможности назначить каждому плагину или теме немедленное обновление ( Включить ), не обновлять автоматически ( Отключить ) или обновлять с задержкой в указанное количество дней ( Задержка ).
Усиление и предупреждение о критических проблемах
- Усиление сайта при использовании устаревшего программного обеспечения - автоматическое добавление дополнительных средств защиты для сайта, если доступное обновление не было установлено в течение месяца. Плагин iThemes Security автоматически включит более строгую безопасность, если обновление не было установлено в течение месяца. Во-первых, он заставит всех пользователей, у которых не включен двухфакторный режим, предоставить код входа, отправленный на их адрес электронной почты, перед повторным входом в систему. Во-вторых, он отключит редактор файлов WP (чтобы заблокировать людей от редактирования кода плагина или темы) , Пингбэки XML-RPC и блокировка нескольких попыток аутентификации для каждого запроса XML-RPC (оба из которых сделают XML-RPC более устойчивым к атакам, не отключая его полностью).
- Сканировать другие старые сайты WordPress - это проверит наличие других устаревших установок WordPress в вашей учетной записи хостинга. Один устаревший сайт WordPress с уязвимостью может позволить злоумышленникам взломать все другие сайты в той же учетной записи хостинга.
- Отправлять уведомления по электронной почте - для проблем, требующих вмешательства, электронное письмо отправляется пользователям с правами администратора.
Нарушения со всего Интернета
1. Уязвимость PHP удаленного выполнения кода на серверах NGINX
Если один из ваших сайтов находится на сервере NGINX, на котором включен PHP-FPM, вы можете быть уязвимы для атаки удаленного выполнения кода.
Вам следует немедленно обратиться к своему хосту, чтобы убедиться, что на вашем сервере работает одна из этих исправленных версий PHP 7.3.11, 7.2.24 или 7.1.33.
Обзор уязвимостей WordPress для
Октябрь 2019, часть 2
All In One SEO Pack версии 3.2.6 и ниже уязвим для атаки с сохранением межсайтовых сценариев.
Проверка неработающих ссылок версии 1.11.8 и ниже уязвима для атаки с проверкой подлинности межсайтовых сценариев.
Диспетчер событий версии 5.9.5 и ниже уязвим для атаки с сохранением межсайтовых сценариев.
Закон ЕС о файлах cookie версии 3.0.6 и ниже уязвим для атаки с использованием межсайтовых сценариев.
Fast Velocity Minify версии 2.7.6 и ниже имеет уязвимость, которая позволяет аутентифицированному злоумышленнику обнаружить полный корневой путь установки WordPress.
SyntaxHighlighter Evolved версии 3.5.0 и ниже уязвима для атаки межсайтового скриптинга.
WP HTML Mail версии 2.9.0.3 и ниже уязвим для атаки с использованием HTML-инъекции.
Нарезанные счета-фактуры версии 3.8.2 и ниже имеют несколько уязвимостей. К уязвимостям относятся внедрение аутентифицированного SQL-кода, аутентифицированное отражение отраженных межсайтовых сценариев, раскрытие неаутентифицированной информации, позволяющее получить доступ к счетам, а также отсутствие межсайтовых подделок запросов и проверок аутентификации.
Подключаемый модуль Zoho CRM Lead Magnet версии 1.6.9 уязвим для атаки с проверкой подлинности межсайтовых сценариев.
Об авторе Версия 1.3.9 и ниже уязвима для атаки с проверкой подлинности межсайтовых сценариев.
Шаблоны электронной почты версии 1.3 и ниже уязвимы для атаки с использованием HTML-инъекции.
Groundhogg версии 1.3.11.3 и ниже уязвим для атак с проверкой подлинности межсайтовых сценариев и SQL-инъекций.
Шаблон электронной почты WP версии 2.2.10 и ниже уязвим для атаки с использованием HTML-инъекции.
Плагин безопасности WordPress может помочь защитить ваш сайт и сэкономить 35% до 31 октября.
iThemes Security Pro, наш плагин безопасности WordPress, предлагает более 30 способов защиты и защиты вашего сайта от распространенных уязвимостей безопасности WordPress. С помощью WordPress, двухфакторной аутентификации, защиты от перебора паролей, надежного применения пароля и многого другого вы можете добавить дополнительный уровень безопасности на свой веб-сайт.
Получите iThemes Security
Каждую неделю Майкл составляет отчет об уязвимостях WordPress, чтобы обеспечить безопасность ваших сайтов. Как менеджер по продукту в iThemes, он помогает нам продолжать улучшать линейку продуктов iThemes. Он большой ботаник и любит узнавать обо всем, что есть в технологиях, старом и новом. Вы можете увидеть, как Майкл гуляет с женой и дочерью, читает или слушает музыку, когда не работает.
