WordPress Vulnerability Roundup: ธันวาคม 2020 ตอนที่ 1

เผยแพร่แล้ว: 2020-12-09

ปลั๊กอิน WordPress ใหม่และช่องโหว่ของธีมถูกเปิดเผยในช่วงครึ่งแรกของเดือนธันวาคม โพสต์นี้ครอบคลุมถึงปลั๊กอิน WordPress ธีมและช่องโหว่หลัก และจะทำอย่างไรหากคุณเรียกใช้ปลั๊กอินหรือธีมที่มีช่องโหว่บนเว็บไซต์ของคุณ

สรุปช่องโหว่ของ WordPress แบ่งออกเป็นสามประเภท: แกนหลักของ WordPress, ปลั๊กอิน WordPress และธีม WordPress

ในเดือนธันวาคม ตอนที่ 1 รายงาน

    ช่องโหว่หลักของ WordPress

    ไม่มีการเปิดเผยช่องโหว่หลักของ WordPress ในเดือนนี้

    อย่างไรก็ตาม คอร์ WordPress เวอร์ชันหลักใหม่เพิ่งเปิดตัวเมื่อวานนี้ WordPress 5.6 มีคุณสมบัติและการปรับปรุงใหม่มากมาย ดังนั้นอย่าลืมอัปเดต

    ช่องโหว่ของปลั๊กอิน WordPress

    1. WPJobBoard

    เวอร์ชัน WPJobBoard ที่ต่ำกว่า 5.7.0 มีช่องโหว่ SQL Injection ที่ไม่ผ่านการตรวจสอบสิทธิ์, การสะท้อน XSS และ XFS

    ช่องโหว่ได้รับการแก้ไขแล้ว และคุณควรอัปเดตเป็นเวอร์ชัน 5.7.0

    2. WP Google Map Plugin

    WP Google Map Plugin เวอร์ชันที่ต่ำกว่า 4.1.4 มีช่องโหว่ของ Authenticated SQL Injection

    ช่องโหว่ได้รับการแก้ไขแล้ว และคุณควรอัปเดตเป็นเวอร์ชัน 4.1.4

    3. BuddyPress

    BuddyPress เวอร์ชันต่ำกว่า 6.4.0 ขาดความสามารถในการตรวจสอบช่องโหว่

    ช่องโหว่ได้รับการแก้ไขแล้ว และคุณควรอัปเดตเป็นเวอร์ชัน 6.4.0

    4. ตัวจัดการกิจกรรม

    ตัวจัดการเหตุการณ์เวอร์ชันที่ต่ำกว่า 5.9.8 มีช่องโหว่ Cross-Site Scripting และ SQL Injection

    ช่องโหว่ได้รับการแก้ไขแล้ว และคุณควรอัปเดตเป็นเวอร์ชัน 5.9.8

    5. ประตูอายุ

    Age Gate เวอร์ชันต่ำกว่า 2.13.5 มีช่องโหว่ Open Redirect ที่ไม่ได้รับการพิสูจน์ตัวตน

    ช่องโหว่ได้รับการแก้ไขแล้ว และคุณควรอัปเดตเป็นเวอร์ชัน 2.13.5

    6. คันโต

    Canto ทุกเวอร์ชันมีช่องโหว่ SSRF ที่ไม่ผ่านการตรวจสอบสิทธิ์

    นำปลั๊กอินออกจนกว่าจะมีการแก้ไขความปลอดภัย

    7. ตัวสร้างโปรไฟล์

    Profile Builder เวอร์ชันที่ต่ำกว่า 3.3.3 มีช่องโหว่ Blind SQL Injection ที่ผ่านการตรวจสอบสิทธิ์

    ช่องโหว่ได้รับการแก้ไขแล้ว และคุณควรอัปเดตเป็นเวอร์ชัน 2.2.9

    8. สมาชิกแบบชำระเงิน Pro

    สมาชิกแบบชำระเงินรุ่น Pro ต่ำกว่า 2.5.1 มีช่องโหว่การเขียนสคริปต์ข้ามไซต์ที่รับรองความถูกต้อง

    ช่องโหว่ได้รับการแก้ไขแล้ว และคุณควรอัปเดตเป็นเวอร์ชัน 2.5.1

    9. Themify Portfolio Post

    Themify Portfolio Post เวอร์ชันที่ต่ำกว่า 1.1.6 ซึ่งเป็นช่องโหว่ของ Authenticated Stored Cross-Site Scripting

    ช่องโหว่ได้รับการแก้ไขแล้ว และคุณควรอัปเดตเป็นเวอร์ชัน 1.1.6

    10. WP SMTP ง่าย ๆ

    Easy WP SMTP เวอร์ชันต่ำกว่า 1.4.3 มีช่องโหว่ Debug Log Disclosure

    ช่องโหว่ได้รับการแก้ไขแล้ว และคุณควรอัปเดตเป็นเวอร์ชัน 1.4.3

    ช่องโหว่ของธีม WordPress

    1. วิบาล

    Wibar เวอร์ชันต่ำกว่า 1.2.1 มีช่องโหว่ Authenticated Stored Cross-Site Scripting

    ช่องโหว่ได้รับการแก้ไขแล้ว และคุณควรอัปเดตเป็นเวอร์ชัน 1.2.1

    เคล็ดลับความปลอดภัยธันวาคม: ทำไมคุณต้องมีผู้ใช้สากลสำหรับการสนับสนุน

    ทุกครั้งที่คุณสร้างผู้ใช้ใหม่บนเว็บไซต์ของคุณ คุณกำลังเพิ่มจุดเริ่มต้นอื่นที่แฮ็กเกอร์สามารถใช้ประโยชน์ได้ แต่อาจมีบางครั้งที่คุณอาจต้องการความช่วยเหลือจากภายนอกสำหรับเว็บไซต์ของคุณ เช่น เมื่อคุณกำลังมองหาการสนับสนุนหรือหลังจากจ้างผู้รับเหมาอิสระ คุณต้องมีวิธีการที่ปลอดภัยในการเพิ่มการเข้าถึงของผู้ดูแลระบบชั่วคราวในเว็บไซต์ของคุณ

    การให้สิทธิ์การเข้าถึงเว็บไซต์ของคุณจากภายนอก: ตัวเลือกที่ไม่ดีโดยทั่วไปของคุณ

    โดยทั่วไป คุณมี สองตัวเลือก ในการให้การเข้าถึงเว็บไซต์ของคุณจากภายนอก…. และไม่ดี

    1. แบ่งปันข้อมูลประจำตัวของผู้ดูแลระบบของคุณ

    ตัวเลือกแรกและ แย่ที่สุด ของคุณคือการแชร์ชื่อผู้ใช้และรหัสผ่านของผู้ดูแลระบบ WordPress ของคุณ

    เหตุใดการแบ่งปันข้อมูลประจำตัวผู้ดูแลระบบของคุณจึงเป็นแนวคิดที่แย่มาก

    • ความปลอดภัยที่ลดลง – หากคุณแบ่งปันข้อมูลประจำตัวของผู้ใช้ คุณจะต้องปิดใช้งานการตรวจสอบสิทธิ์แบบสองปัจจัยเพื่อให้ผู้ที่ใช้ข้อมูลประจำตัวของคุณเข้าสู่ระบบได้ Google แชร์ในบล็อกว่าการใช้การตรวจสอบสิทธิ์แบบสองปัจจัยหรือการยืนยันแบบ 2 ขั้นตอนสามารถหยุดการโจมตีบอทอัตโนมัติได้ 100% การปิดใช้งานการตรวจสอบสิทธิ์แบบสองปัจจัย แม้ในช่วงเวลาสั้นๆ จะลดความปลอดภัยของเว็บไซต์ของคุณลงอย่างมาก
    • ไม่สะดวก – การแบ่งปันข้อมูลประจำตัวของคุณทำให้คุณต้องเปลี่ยนรหัสผ่าน หากคุณลืมเปลี่ยนรหัสผ่าน แสดงว่ามีคนตั้งแต่หนึ่งคนขึ้นไปที่ผู้ดูแลระบบสามารถเข้าถึงเว็บไซต์ของคุณได้ทุกเมื่อที่ต้องการ

    2. สร้างผู้ใช้แยกต่างหากสำหรับเทคโนโลยีสนับสนุน

    แม้ว่าการสร้างผู้ใช้ที่เป็นผู้ดูแลระบบคนใหม่สำหรับผู้เชี่ยวชาญฝ่ายสนับสนุนจะดีกว่าการแชร์ข้อมูลรับรองผู้ดูแลระบบของคุณ แต่ก็ยังไม่ดีนัก

    เหตุใดการสร้างผู้ใช้สำหรับเทคโนโลยีสนับสนุนจึงแย่มาก

    • ช่องโหว่ที่เพิ่มขึ้น – การสร้างผู้ใช้ผู้ดูแลระบบรายใหม่จะเพิ่มจุดเข้าใช้งานอีกจุดหนึ่งที่สามารถใช้ประโยชน์ได้ หากคุณไม่มีนโยบายรหัสผ่าน เจ้าหน้าที่ฝ่ายสนับสนุนอาจเลือกรหัสผ่านที่ไม่รัดกุม ทำให้การเข้าสู่ระบบ WordPress ของคุณเสี่ยงต่อการถูกโจมตีมากขึ้น
    • ไม่สะดวก – การเข้าสู่ขั้นตอนการตั้งค่าผู้ใช้ใหม่ทุกเมื่อที่คุณต้องการความช่วยเหลือจากภายนอกนั้นใช้เวลานาน คุณต้องสร้างผู้ใช้ใหม่ จากนั้นอย่าลืมลบผู้ใช้เมื่อไม่ต้องการเข้าถึงเว็บไซต์ของคุณอีกต่อไป เป็นแนวทางปฏิบัติที่ดีที่สุดด้านความปลอดภัยของ WordPress เพื่อลบผู้ใช้ที่ไม่ได้ใช้ออกจากเว็บไซต์ของคุณ

    การให้สิทธิ์การเข้าถึงเว็บไซต์ของคุณจากภายนอก: The Better Way

    คุณลักษณะการยกระดับสิทธิ์ของ iThemes Security Pro ช่วยให้คุณสามารถให้ความสามารถพิเศษแก่ผู้ใช้ได้ชั่วคราว

    การยกระดับสิทธิ์ทำให้ง่ายและปลอดภัยในการสร้างผู้ใช้สากลที่คุณสามารถมอบให้กับนักพัฒนาภายนอกหรือสนับสนุนเทคโนโลยีที่ต้องการเข้าถึงเว็บไซต์ของคุณชั่วคราว

    ด้วย Privilege Escalation คุณสามารถสร้างผู้ใช้ใหม่และตั้งชื่อให้ Support และกำหนดบทบาทผู้ใช้แบบ Subscriber ครั้งต่อไปที่คุณต้องให้สิทธิ์เข้าถึงเว็บไซต์ของคุณชั่วคราว คุณสามารถชนผู้ใช้ Support จากสมาชิกไปยังผู้ดูแลระบบได้ เราจะอธิบายวิธีการดำเนินการนี้ต่อไปในโพสต์ แต่ก่อนอื่น เรามาพูดถึงสาเหตุที่การยกระดับสิทธิ์เป็นวิธีที่ดีกว่าในการให้สิทธิ์เข้าถึงเว็บไซต์ของคุณ

    ทำไมการยกระดับสิทธิ์จึงดีกว่า

    • ง่าย – คุณไม่จำเป็นต้องสร้างผู้ใช้ใหม่ทุกครั้งที่ต้องให้สิทธิ์การเข้าถึงเว็บไซต์ของคุณ
    • อัตโนมัติ – การยกระดับสิทธิ์จะใช้เวลาเพียง 24 ชั่วโมงเท่านั้น หลังจากครบ 24 ชั่วโมง ผู้ใช้จะสูญเสียสิทธิ์เพิ่มเติมทั้งหมดโดยอัตโนมัติ คุณไม่จำเป็นต้องลบผู้ใช้หรือเปลี่ยนรหัสผ่านใดๆ
    • ไม่มีการเสียสละในความปลอดภัย – คุณยังสามารถกำหนดให้ผู้ใช้สนับสนุนสากลรายนี้ใช้วิธีอีเมลของสองปัจจัยในการเข้าสู่ระบบ ซึ่งหมายความว่าคุณมีความปลอดภัยระดับเดียวกับที่คุณทำกับผู้ใช้ที่เป็นผู้ดูแลระบบรายอื่น เนื่องจากบทบาทของผู้ใช้ที่แท้จริงคือสมาชิก คุณจึงไม่เสี่ยงที่จะทิ้งบทบาทนั้นไว้บนเว็บไซต์ของคุณ

    วิธีใช้การยกระดับสิทธิ์ใน iThemes Security Pro

    ในการเริ่มต้น ให้เปิดใช้งาน การยกระดับสิทธิ์ ในหน้าหลักของการตั้งค่าความปลอดภัย

    คุณสามารถสร้างผู้ใช้ใหม่และตั้งชื่อเป็น Support และกำหนดบทบาทผู้ใช้ของ Subscriber ครั้งต่อไปที่คุณต้องให้สิทธิ์การเข้าถึงเว็บไซต์ของคุณชั่วคราว ให้ไปที่หน้า โปรไฟล์ ของผู้ใช้ Support

    อัปเดตที่อยู่อีเมลเพื่อให้เจ้าหน้าที่ภายนอกสามารถขอรหัสผ่านใหม่ได้ จากนั้นเลื่อนลงมาจนกว่าคุณจะเห็นการตั้งค่าการยกระดับสิทธิ์ชั่วคราว คลิกปุ่มสลับ ตั้งค่าบทบาทชั่วคราว แล้วเลือก ผู้ดูแลระบบ ผู้ใช้จะมีสิทธิ์การเข้าถึงระดับผู้ดูแลระบบในอีก 24 ชั่วโมงข้างหน้า

    หากไม่ต้องการเวลาเต็ม 24 ชั่วโมง คุณสามารถเพิกถอนการยกระดับสิทธิ์ได้จากหน้าโปรไฟล์ผู้ใช้ หากคุณต้องการมากกว่า 24 ชั่วโมง คุณสามารถกำหนดจำนวนวันที่แน่นอนที่คุณต้องการในช่อง วัน

    ดูวิธีการทำงาน

    ปลั๊กอินความปลอดภัย WordPress สามารถช่วยให้เว็บไซต์ของคุณปลอดภัย

    iThemes Security Pro ปลั๊กอินความปลอดภัย WordPress ของเรามีมากกว่า 50 วิธีในการรักษาความปลอดภัยและปกป้องเว็บไซต์ของคุณจากช่องโหว่ด้านความปลอดภัยทั่วไปของ WordPress ด้วย WordPress การตรวจสอบสิทธิ์แบบสองปัจจัย การป้องกันแบบเดรัจฉาน การบังคับใช้รหัสผ่านที่รัดกุม และอื่นๆ คุณสามารถเพิ่มระดับการรักษาความปลอดภัยเพิ่มเติมให้กับเว็บไซต์ของคุณได้

    รับ iThemes Security Pro

    สรุปจุดอ่อน