Обзор уязвимостей WordPress: сентябрь 2019 г., часть 1
Опубликовано: 2019-09-18В первой половине сентября было обнаружено несколько новых уязвимостей плагинов и тем WordPress, поэтому мы хотим держать вас в курсе. В этом посте мы расскажем о недавних уязвимостях плагинов и тем WordPress, а также о том, что делать, если вы используете один из уязвимых плагинов или тем на своем веб-сайте.
Мы делим обзор уязвимостей WordPress на четыре разные категории:
- 1. Ядро WordPress
- 2. Плагины WordPress
- 3. Темы WordPress
- 4. Нарушения из Интернета
* Мы включаем нарушения со всего Интернета, потому что важно также знать об уязвимостях за пределами экосистемы WordPress. Эксплойты к серверному программному обеспечению могут раскрыть конфиденциальные данные. Взлом базы данных может раскрыть учетные данные пользователей на вашем сайте, открывая дверь для злоумышленников, чтобы получить доступ к вашему сайту.
Уязвимости ядра WordPress
Исправления безопасности в WordPress 5.2.3
- Благодарим Саймона Сканнелла из RIPS Technologies за обнаружение и раскрытие двух проблем. Первая - это уязвимость межсайтового скриптинга (XSS), обнаруженная участниками в предварительных просмотрах постов. Второй - уязвимость межсайтового скриптинга в сохраненных комментариях.
- Благодарим Тима Коэна за раскрытие проблемы, при которой проверка и дезинфекция URL-адреса может привести к открытому перенаправлению.
- Благодарим Аншул Джайн за раскрытие отраженного межсайтового скриптинга во время загрузки мультимедиа.
- Выражение признательности Чжоу Юань Яну из FortiGuard Labs Fortinet, который обнаружил уязвимость для межсайтового скриптинга (XSS) в превью шорткода.
- Реквизит Яну Данну из Core Security Team за обнаружение и раскрытие случая, когда отраженные межсайтовые скрипты можно было найти на панели управления.
- Реквизит Сорушу Далили (@irsdl) из NCC Group за раскрытие проблемы с очисткой URL-адресов, которая может привести к атакам с использованием межсайтовых сценариев (XSS).
- В дополнение к вышеуказанным изменениям мы также обновляем jQuery в более старых версиях WordPress. Это изменение было добавлено в 5.2.1 и теперь переносится в более старые версии.
Уязвимости плагина WordPress
В сентябре было обнаружено несколько новых уязвимостей плагина WordPress. Обязательно следуйте предлагаемым ниже действиям, чтобы обновить плагин или полностью удалить его.
1. Фотогалерея от 10Web
Фотогалерея от 10Web версии 1.5.34 и ниже уязвима для атаки SQL-инъекции и межсайтового скриптинга.
Что ты должен делать
2. Расширенный менеджер доступа
Advanced Acess Manager версии 5.9.8.1 и ниже включает уязвимость произвольного доступа к файлам и загрузки.
Что ты должен делать
3. Билеты на мероприятия
Билеты на мероприятия версии 4.10.7.1 и ниже уязвимы для CSV-инъекции.
Что ты должен делать
4. Поиск исключить
Search Exclude версии 1.2.2 и ниже уязвим для произвольного изменения настроек.
Что ты должен делать
5. LifterLMS
LifterLMS версии 3.34.5 и ниже уязвим для уязвимости импорта параметров без аутентификации.
Что ты должен делать
6. Обновления контента
Content Upgrades версии 2.0.4 и ниже уязвимы для межсайтового скриптинга.
Что ты должен делать
7. Qwizcards
Qwizcards версии 3.36 и ниже уязвимы для атаки неавторизованного отраженного межсайтового скриптинга.
Что ты должен делать
8. Контрольный список
Контрольный список версии 1.1.5 и ниже уязвим для атаки неаутентифицированного отраженного межсайтового скриптинга.
Что ты должен делать
9. Платежи Spryng для WooCommerce
Spryng Payments для WooCommerce версии 1.6.7 и ниже уязвимы для атаки межсайтового скриптинга.
Что ты должен делать
10. Фотосалон Portrait-Archiv.com
Portrait-Archiv.com Photostore версии 5.0.4 и ниже уязвим для атаки межсайтового скриптинга.
Что ты должен делать
11. ECPay Logistics для WooCommerce
ECPay Logistics для WooCommerce версии 1.2.181030 и ниже уязвима для атаки межсайтового скриптинга.
Что ты должен делать
12. Технология человеческого присутствия Ellipsis.
Ellipsis Human Presence Technology версии 2.0.8 и ниже уязвима для атаки с использованием неаутентифицированного отраженного межсайтового скриптинга.
Что ты должен делать
13. SlickQuiz
SlickQuiz версии 1.6.7 и ниже уязвим для атак межсайтового скриптинга и SQL-инъекции.
Что ты должен делать
WordPress темы
Как быть активным в отношении уязвимостей тем и плагинов WordPress
Использование устаревшего программного обеспечения - это причина номер один взлома сайтов WordPress. Для безопасности вашего сайта WordPress крайне важно, чтобы у вас была процедура обновления. Вы должны входить на свои сайты не реже одного раза в неделю, чтобы выполнять обновления.
Автоматические обновления могут помочь
Автоматические обновления - отличный выбор для веб-сайтов WordPress, которые не меняются очень часто. Из-за недостатка внимания эти сайты часто остаются без внимания и уязвимы для атак. Даже при рекомендуемых настройках безопасности запуск уязвимого программного обеспечения на вашем сайте может дать злоумышленнику точку входа на ваш сайт.
Использование Pro плагин функции управления версиями iThemes Security, вы можете включить автоматическое обновление WordPress , чтобы убедиться , что вы получаете последние обновления безопасности. Эти настройки помогают защитить ваш сайт с помощью опций для автоматического обновления до новых версий или повышения безопасности пользователей, когда программное обеспечение сайта устарело.
Параметры обновления управления версиями
- Обновления WordPress - автоматическая установка последней версии WordPress.
- Автоматические обновления плагинов - автоматическая установка последних обновлений плагинов. Это должно быть включено, если вы активно не поддерживаете этот сайт на ежедневной основе и не устанавливаете обновления вручную вскоре после их выпуска.
- Автоматические обновления тем - автоматическая установка последних обновлений тем. Это должно быть включено, если ваша тема не имеет настроек файла.
- Детальный контроль над обновлениями плагинов и тем - у вас могут быть плагины / темы, которые вы хотите обновить вручную или отложить обновление до тех пор, пока выпуск не станет стабильным. Вы можете выбрать « Пользовательский» для возможности назначить каждому плагину или теме немедленное обновление ( Включить ), не обновлять автоматически ( Отключить ) или обновлять с задержкой в указанное количество дней ( Задержка ).
Усиление и предупреждение о критических проблемах
- Усиление сайта при использовании устаревшего программного обеспечения - автоматическое добавление дополнительных средств защиты для сайта, если доступное обновление не было установлено в течение месяца. Плагин iThemes Security автоматически включит более строгую безопасность, если обновление не было установлено в течение месяца. Во-первых, он заставит всех пользователей, у которых не включен двухфакторный режим, предоставить код входа, отправленный на их адрес электронной почты, перед повторным входом в систему. Во-вторых, он отключит редактор файлов WP (чтобы заблокировать людей от редактирования кода плагина или темы) , Пингбэки XML-RPC и блокировка нескольких попыток аутентификации для каждого запроса XML-RPC (оба из которых сделают XML-RPC более устойчивым к атакам, не отключая его полностью).
- Сканировать другие старые сайты WordPress - это проверит наличие других устаревших установок WordPress в вашей учетной записи хостинга. Один устаревший сайт WordPress с уязвимостью может позволить злоумышленникам взломать все другие сайты в той же учетной записи хостинга.
- Отправлять уведомления по электронной почте - для проблем, требующих вмешательства, электронное письмо отправляется пользователям с правами администратора.
Нарушения со всего Интернета
1. Был взломан аккаунт Джека Дорси в Twitter.
Джек Дорси, генеральный директор Twitter, стал жертвой атаки с заменой SIM-карты. Замена SIM-карты - это когда злоумышленник работает с вашим оператором сотовой связи, чтобы перенести ваш телефон на другой телефон. После захвата вашего номера телефона злоумышленник может получить ваши двухфакторные коды SMS.
После того, как хакерская группа Chuckling Squad взяла под свой контроль номер мобильного телефона Дорси, они смогли использовать Cloudhopper для отправки твитов. Cloudhopper - это компания, которая ранее была приобретена Twitter, чтобы людям было проще писать твиты с помощью текстовых сообщений.
2. Уязвимость phpMyAdmin
Версия PHP 4.9.0.1 уязвима для новой атаки подделки межсайтовых запросов, и это «нулевой день». Уязвимость позволит злоумышленнику инициировать CSRF-атаку против пользователя phpMyAdmin, удалив любой сервер на странице настройки.
Обязательно обновите phpMyAdmin после выпуска исправления безопасности.
Плагин безопасности WordPress может помочь защитить ваш сайт
iThemes Security Pro, наш плагин безопасности WordPress, предлагает более 30 способов защиты и защиты вашего сайта от распространенных уязвимостей безопасности WordPress. С двухфакторной аутентификацией WordPress, защитой от перебора, надежным паролем и многим другим вы можете добавить дополнительный уровень безопасности на свой веб-сайт.
Получите iThemes Security Pro
Каждую неделю Майкл составляет отчет об уязвимостях WordPress, чтобы обеспечить безопасность ваших сайтов. Как менеджер по продукту в iThemes, он помогает нам продолжать улучшать линейку продуктов iThemes. Он большой ботаник и любит узнавать обо всем, что есть в технологиях, старом и новом. Вы можете увидеть, как Майкл гуляет с женой и дочерью, читает или слушает музыку, когда не работает.
