Обзор уязвимостей WordPress: октябрь 2020 г., часть 2

Во второй половине октября было обнаружено довольно много новых уязвимостей плагина WordPress. В этом посте мы расскажем о недавних уязвимостях плагинов, тем и основных уязвимостей WordPress, а также о том, что делать, если вы используете один из уязвимых плагинов или тем на своем веб-сайте.

Обзор уязвимостей WordPress разделен на три разные категории: ядро ​​WordPress, плагины WordPress и темы WordPress.

Уязвимости ядра WordPress

WordPress 5.5.2 был выпущен 29 октября и включал 10 основных исправлений безопасности WordPress.

Вот список исправлений безопасности, упомянутых в сообщении о выпуске WordPress 5.5.2.

• Запросы на усиленную десериализацию.
• Исправлено отключение встраивания спама с отключенных сайтов в многосайтовой сети .
• Исправлена ​​проблема безопасности, которая могла привести к XSS-атакам из глобальных переменных.
• Исправлена ​​проблема повышения привилегий в XML-RPC.
• Исправлена ​​проблема повышения привилегий при комментировании постов через XML-RPC.
• Исправлена ​​проблема безопасности, из-за которой DoS-атака могла привести к RCE.
• Удален метод хранения XSS в слагах сообщений.
• Удален метод обхода защищенных метаданных, которые могли привести к произвольному удалению файла.
• Удален метод, который мог привести к CSRF.

Уязвимости плагина WordPress

1. Живой чат - живая поддержка

Интерактивный чат - версии Live support ниже 3.2.0 имеют уязвимость подделки межсайтовых запросов.

2. Быстрый чат

Во всех версиях Quick Chat есть уязвимость, связанная с сохранением межсайтовых сценариев без проверки подлинности.

3. Создатель детской темы от Orbisius

Создатель дочерних тем от Orbisius версий ниже 1.5.2 имеет уязвимость CSRF для изменения / создания произвольных файлов.

4. Реалия

Все версии Realia имеют IDOR без аутентификации, что приводит к уязвимости произвольного удаления сообщений.

5. Пресса комментариев

Комментарий Press версии ниже 2.7.2 имеют уязвимость Unauthenticated Cross-Frame Scripting.

6. Super Store Finder для WordPress.

Super Store Finder для версий WordPress ниже 6.2 имеет уязвимость неавторизованной загрузки произвольных файлов.

7. Супер интерактивные карты для WordPress

Super Interactive Maps для версий WordPress ниже 2.0 имеют уязвимость при загрузке произвольных файлов без проверки подлинности.

8. Витрина супер логотипов для WordPress

Super Logos Showcase для версий WordPress ниже 2.3 имеют уязвимость при загрузке произвольных файлов без проверки подлинности.

9. Простой монитор загрузок

В версиях Simple Download Monitor ниже 3.8.9 есть уязвимости межсайтового скриптинга без аутентификации и SQL-инъекции.

10. Авторизация

Версии Loginizer ниже 1.6.4 имеют уязвимость внедрения неаутентифицированного SQL-кода.

11. Слайдер с логотипом бренда Helios Solutions

Все версии Helios Solutions Brand Logo Slider содержат уязвимость для аутентифицированной загрузки произвольных файлов.

12. Диспетчер загрузок CM

Версии CM Download Manager ниже 2.8.0 имеют уязвимость Authenticated Cross-Site Scripting.

13. Расширенный календарь бронирования

Версии Advanced Booking Calendar ниже 1.6.2 содержат уязвимость неаутентифицированного внедрения SQL.

Уязвимости темы WordPress

Во второй половине октября не сообщалось об уязвимостях тем WordPress.

Октябрьский совет по безопасности: почему вы должны регистрировать активность безопасности веб-сайта

Ведение журнала безопасности должно быть важной частью вашей стратегии безопасности WordPress. Почему?

Это время позволяет злоумышленнику взломать другие системы, изменить, украсть или уничтожить больше данных. По этой причине «недостаточное ведение журнала» попало в первую десятку рисков безопасности веб-приложений OWASP.

Журналы безопасности WordPress имеют несколько преимуществ в вашей общей стратегии безопасности, помогая вам:

1. Идентификация и пресечение злонамеренного поведения.
2. Выявляйте действия, которые могут предупредить вас о взломе.
3. Оцените, какой ущерб был нанесен.
4. Помощь в ремонте взломанного сайта.

Если ваш сайт все-таки взломали, вы захотите получить лучшую информацию, которая поможет в быстром расследовании и восстановлении.

Хорошей новостью является то, что iThemes Security Pro может помочь вам реализовать ведение журнала веб-сайта. Журналы безопасности WordPress iThemes Security Pro отслеживают для вас все эти действия на веб-сайте:

• Атаки грубой силы WordPress
• Изменения файлов
• Сканирование на вредоносное ПО
• Активность пользователя

Затем статистика из ваших журналов отображается на панели безопасности WordPress в режиме реального времени, которую вы можете просматривать из панели администратора WordPress.

Ознакомьтесь с этим сообщением о функциях, в котором мы расскажем обо всех этапах добавления журналов безопасности WordPress на ваш сайт с помощью iThemes Security Pro.

Увидеть как это работает

Плагин безопасности WordPress может помочь защитить ваш сайт

iThemes Security Pro, наш плагин безопасности WordPress, предлагает более 50 способов защиты и защиты вашего сайта от распространенных уязвимостей безопасности WordPress. С помощью WordPress, двухфакторной аутентификации, защиты от перебора паролей, надежного применения пароля и многого другого вы можете добавить дополнительный уровень безопасности на свой веб-сайт.

Получите iThemes Security Pro

Майкл Мур

Каждую неделю Майкл составляет отчет об уязвимостях WordPress, чтобы обеспечить безопасность ваших сайтов. Как менеджер по продукту в iThemes, он помогает нам продолжать улучшать линейку продуктов iThemes. Он большой ботаник и любит узнавать обо всем, что есть в технологиях, старом и новом. Вы можете увидеть, как Майкл гуляет с женой и дочерью, читает или слушает музыку, когда не работает.