สรุปช่องโหว่ของ WordPress: ธันวาคม 2020 ตอนที่ 2
เผยแพร่แล้ว: 2020-12-23ปลั๊กอิน WordPress ใหม่และช่องโหว่ของธีมถูกเปิดเผยในช่วงครึ่งหลังของเดือนธันวาคม โพสต์นี้ครอบคลุมถึงปลั๊กอิน WordPress ธีมและช่องโหว่หลัก และจะทำอย่างไรหากคุณเรียกใช้ปลั๊กอินหรือธีมที่มีช่องโหว่บนเว็บไซต์ของคุณ
สรุปช่องโหว่ของ WordPress แบ่งออกเป็นสามประเภท: แกนหลักของ WordPress, ปลั๊กอิน WordPress และธีม WordPress
ช่องโหว่หลักของ WordPress
คอร์ WordPress เวอร์ชันล่าสุดปัจจุบันคือ 5.6 ตามแนวทางปฏิบัติที่ดีที่สุดด้านความปลอดภัยของ WordPress ตรวจสอบให้แน่ใจว่าคุณใช้ WordPress core เวอร์ชันล่าสุด
ช่องโหว่ของปลั๊กอิน WordPress
1. DiveBook
DiveBook เวอร์ชันที่ต่ำกว่า 1.1.4 มีการตรวจสอบการอนุญาตที่ไม่เหมาะสม, การฉีด SQL ที่ไม่ผ่านการตรวจสอบสิทธิ์ และช่องโหว่ XSS ที่ไม่ผ่านการตรวจสอบสิทธิ์
2. Pagelayer

Pagelayer เวอร์ชันต่ำกว่า 1.3.5 มีช่องโหว่ Cross-Site Scripting หลายจุด
3. ตัวยกเว้นหมวดหมู่ขั้นสูงสุด

Ultimate Category Excluder เวอร์ชันที่ต่ำกว่า 1.2 มีช่องโหว่ Cross-Site Request Forgery
4. ไดเรกทอรี Pro

Directory Pro เวอร์ชันที่ต่ำกว่า 1.3.46 มีช่องโหว่ Authenticated Reflected Cross-Site Scripting
5. ค่าบำรุงรักษาทั้งหมด

เวอร์ชันบำรุงรักษาทั้งหมดต่ำกว่า 1.14.10 มีช่องโหว่ในการเปิดเผยข้อมูลที่ละเอียดอ่อนและการดาวน์โหลดสำรองที่ไม่ได้ตรวจสอบสิทธิ์
6. กรอบงาน Redux

Redux Framework เวอร์ชันที่ต่ำกว่า 4.1.21 มีช่องโหว่ CSRF Nonce Validation Bypass
7. แบบฟอร์มติดต่อ 7

แบบฟอร์มการติดต่อ 7 เวอร์ชันต่ำกว่า 5.3.2 มีช่องโหว่การอัปโหลดไฟล์ที่ไม่จำกัด
8. ปุ่มแชร์โซเชียลมีเดียอย่างง่าย

ปุ่มแชร์โซเชียลมีเดียอย่างง่ายรุ่นต่ำกว่า 3.2.1 มีช่องโหว่สคริปต์ข้ามไซต์ที่ไม่ผ่านการตรวจสอบสิทธิ์
9. Envira Gallery Lite

Envira Gallery Lite เวอร์ชันที่ต่ำกว่า 1.8.3.3 มีช่องโหว่ที่จัดเก็บไว้แบบ Cross-Site Scripting
10. จำกัดการพยายามเข้าสู่ระบบโหลดซ้ำ

การจำกัดความพยายามในการเข้าสู่ระบบ เวอร์ชันที่โหลดซ้ำที่ต่ำกว่า 2.16.0 มีช่องโหว่ข้ามไซต์สคริปต์ที่สะท้อนถึงการตรวจสอบสิทธิ์ & การจำกัดอัตราการเข้าสู่ระบบ
ช่องโหว่ของธีม WordPress
1. ListingPro
ListingPro เวอร์ชันที่ต่ำกว่า 2.6.1 มีช่องโหว่ในการติดตั้ง/เปิดใช้งาน/ปิดใช้งานปลั๊กอินโดยพลการที่ไม่ผ่านการตรวจสอบสิทธิ์ & Unauthenticated Sensitive Data Disclosure

เคล็ดลับความปลอดภัยธันวาคม: ทำไมคุณต้องมีผู้ใช้สากลสำหรับการสนับสนุน
ทุกครั้งที่คุณสร้างผู้ใช้ใหม่บนเว็บไซต์ของคุณ คุณกำลังเพิ่มจุดเริ่มต้นอื่นที่แฮ็กเกอร์สามารถใช้ประโยชน์ได้ แต่อาจมีบางครั้งที่คุณอาจต้องการความช่วยเหลือจากภายนอกสำหรับเว็บไซต์ของคุณ เช่น เมื่อคุณกำลังมองหาการสนับสนุนหรือหลังจากจ้างผู้รับเหมาอิสระ คุณต้องมีวิธีการที่ปลอดภัยในการเพิ่มการเข้าถึงของผู้ดูแลระบบชั่วคราวในเว็บไซต์ของคุณ
การให้สิทธิ์การเข้าถึงเว็บไซต์ของคุณจากภายนอก: ตัวเลือกที่ไม่ดีโดยทั่วไปของคุณ
โดยทั่วไป คุณมี สองตัวเลือก ในการให้การเข้าถึงเว็บไซต์ของคุณจากภายนอก…. และไม่ดี
1. แบ่งปันข้อมูลประจำตัวของผู้ดูแลระบบของคุณ
ตัวเลือกแรกและ แย่ที่สุด ของคุณคือการแชร์ชื่อผู้ใช้และรหัสผ่านของผู้ดูแลระบบ WordPress ของคุณ
เหตุใดการแบ่งปันข้อมูลประจำตัวผู้ดูแลระบบของคุณจึงเป็นแนวคิดที่แย่มาก
- ความปลอดภัยที่ลดลง – หากคุณแบ่งปันข้อมูลประจำตัวของผู้ใช้ คุณจะต้องปิดใช้งานการตรวจสอบสิทธิ์แบบสองปัจจัยเพื่อให้ผู้ที่ใช้ข้อมูลประจำตัวของคุณเข้าสู่ระบบได้ Google แชร์ในบล็อกว่าการใช้การตรวจสอบสิทธิ์แบบสองปัจจัยหรือการยืนยันแบบ 2 ขั้นตอนสามารถหยุดการโจมตีบอทอัตโนมัติได้ 100% การปิดใช้งานการตรวจสอบสิทธิ์แบบสองปัจจัย แม้ในช่วงเวลาสั้นๆ จะลดความปลอดภัยของเว็บไซต์ของคุณลงอย่างมาก
- ไม่สะดวก – การแบ่งปันข้อมูลประจำตัวของคุณทำให้คุณต้องเปลี่ยนรหัสผ่าน หากคุณลืมเปลี่ยนรหัสผ่าน แสดงว่ามีคนตั้งแต่หนึ่งคนขึ้นไปที่ผู้ดูแลระบบสามารถเข้าถึงเว็บไซต์ของคุณได้ทุกเมื่อที่ต้องการ
2. สร้างผู้ใช้แยกต่างหากสำหรับเทคโนโลยีสนับสนุน
แม้ว่าการสร้างผู้ใช้ที่เป็นผู้ดูแลระบบคนใหม่สำหรับผู้เชี่ยวชาญฝ่ายสนับสนุนจะดีกว่าการแชร์ข้อมูลรับรองผู้ดูแลระบบของคุณ แต่ก็ยังไม่ดีนัก
เหตุใดการสร้างผู้ใช้สำหรับเทคโนโลยีสนับสนุนจึงแย่มาก
- ช่องโหว่ที่เพิ่มขึ้น – การสร้างผู้ใช้ผู้ดูแลระบบรายใหม่จะเพิ่มจุดเข้าใช้งานอีกจุดหนึ่งที่สามารถใช้ประโยชน์ได้ หากคุณไม่มีนโยบายรหัสผ่าน เจ้าหน้าที่ฝ่ายสนับสนุนอาจเลือกรหัสผ่านที่ไม่รัดกุม ทำให้การเข้าสู่ระบบ WordPress ของคุณเสี่ยงต่อการถูกโจมตีมากขึ้น
- ไม่สะดวก – การเข้าสู่ขั้นตอนการตั้งค่าผู้ใช้ใหม่ทุกเมื่อที่คุณต้องการความช่วยเหลือจากภายนอกนั้นใช้เวลานาน คุณต้องสร้างผู้ใช้ใหม่ จากนั้นอย่าลืมลบผู้ใช้เมื่อไม่ต้องการเข้าถึงเว็บไซต์ของคุณอีกต่อไป เป็นแนวทางปฏิบัติที่ดีที่สุดด้านความปลอดภัยของ WordPress เพื่อลบผู้ใช้ที่ไม่ได้ใช้ออกจากเว็บไซต์ของคุณ
การให้สิทธิ์การเข้าถึงเว็บไซต์ของคุณจากภายนอก: The Better Way
คุณลักษณะการยกระดับสิทธิ์ของ iThemes Security Pro ช่วยให้คุณสามารถให้ความสามารถพิเศษแก่ผู้ใช้ได้ชั่วคราว
การยกระดับสิทธิ์ทำให้ง่ายและปลอดภัยในการสร้างผู้ใช้สากลที่คุณสามารถมอบให้กับนักพัฒนาภายนอกหรือสนับสนุนเทคโนโลยีที่ต้องการเข้าถึงเว็บไซต์ของคุณชั่วคราว
ด้วย Privilege Escalation คุณสามารถสร้างผู้ใช้ใหม่และตั้งชื่อให้ Support และกำหนดบทบาทผู้ใช้แบบ Subscriber ครั้งต่อไปที่คุณต้องให้สิทธิ์เข้าถึงเว็บไซต์ของคุณชั่วคราว คุณสามารถชนผู้ใช้ Support จากสมาชิกไปยังผู้ดูแลระบบได้ เราจะอธิบายวิธีการดำเนินการนี้ต่อไปในโพสต์ แต่ก่อนอื่น เรามาพูดถึงสาเหตุที่การยกระดับสิทธิ์เป็นวิธีที่ดีกว่าในการให้สิทธิ์เข้าถึงเว็บไซต์ของคุณ
ทำไมการยกระดับสิทธิ์จึงดีกว่า
- ง่าย – คุณไม่จำเป็นต้องสร้างผู้ใช้ใหม่ทุกครั้งที่ต้องให้สิทธิ์การเข้าถึงเว็บไซต์ของคุณ
- อัตโนมัติ – การยกระดับสิทธิ์จะใช้เวลาเพียง 24 ชั่วโมงเท่านั้น หลังจากครบ 24 ชั่วโมง ผู้ใช้จะสูญเสียสิทธิ์เพิ่มเติมทั้งหมดโดยอัตโนมัติ คุณไม่จำเป็นต้องลบผู้ใช้หรือเปลี่ยนรหัสผ่านใดๆ
- ไม่มีการเสียสละในความปลอดภัย – คุณยังสามารถกำหนดให้ผู้ใช้สนับสนุนสากลรายนี้ใช้วิธีอีเมลของสองปัจจัยในการเข้าสู่ระบบ ซึ่งหมายความว่าคุณมีความปลอดภัยระดับเดียวกับที่คุณทำกับผู้ใช้ที่เป็นผู้ดูแลระบบรายอื่น เนื่องจากบทบาทของผู้ใช้ที่แท้จริงคือสมาชิก คุณจึงไม่เสี่ยงที่จะทิ้งบทบาทนั้นไว้บนเว็บไซต์ของคุณ
วิธีใช้การยกระดับสิทธิ์ใน iThemes Security Pro
ในการเริ่มต้น ให้เปิดใช้งาน การยกระดับสิทธิ์ ในหน้าหลักของการตั้งค่าความปลอดภัย

คุณสามารถสร้างผู้ใช้ใหม่และตั้งชื่อเป็น Support และกำหนดบทบาทผู้ใช้ของ Subscriber ครั้งต่อไปที่คุณต้องให้สิทธิ์การเข้าถึงเว็บไซต์ของคุณชั่วคราว ให้ไปที่หน้า โปรไฟล์ ของผู้ใช้ Support

อัปเดตที่อยู่อีเมลเพื่อให้เจ้าหน้าที่ภายนอกสามารถขอรหัสผ่านใหม่ได้ จากนั้นเลื่อนลงมาจนกว่าคุณจะเห็นการตั้งค่าการยกระดับสิทธิ์ชั่วคราว คลิกปุ่มสลับ ตั้งค่าบทบาทชั่วคราว แล้วเลือก ผู้ดูแลระบบ ผู้ใช้จะมีสิทธิ์การเข้าถึงระดับผู้ดูแลระบบในอีก 24 ชั่วโมงข้างหน้า

หากไม่ต้องการเวลาเต็ม 24 ชั่วโมง คุณสามารถเพิกถอนการยกระดับสิทธิ์ได้จากหน้าโปรไฟล์ผู้ใช้ หากคุณต้องการมากกว่า 24 ชั่วโมง คุณสามารถกำหนดจำนวนวันที่แน่นอนที่คุณต้องการในช่อง วัน

ดูวิธีการทำงาน
ปลั๊กอินความปลอดภัย WordPress สามารถช่วยให้เว็บไซต์ของคุณปลอดภัย
iThemes Security Pro ปลั๊กอินความปลอดภัย WordPress ของเรามีมากกว่า 50 วิธีในการรักษาความปลอดภัยและปกป้องเว็บไซต์ของคุณจากช่องโหว่ด้านความปลอดภัยทั่วไปของ WordPress ด้วย WordPress การตรวจสอบสิทธิ์แบบสองปัจจัย การป้องกันแบบเดรัจฉาน การบังคับใช้รหัสผ่านที่รัดกุม และอื่นๆ คุณสามารถเพิ่มระดับการรักษาความปลอดภัยเพิ่มเติมให้กับเว็บไซต์ของคุณได้
รับ iThemes Security Pro
ในแต่ละสัปดาห์ Michael จะรวบรวมรายงานช่องโหว่ของ WordPress เพื่อช่วยให้เว็บไซต์ของคุณปลอดภัย ในฐานะผู้จัดการผลิตภัณฑ์ที่ iThemes เขาช่วยเราปรับปรุงรายการผลิตภัณฑ์ iThemes ต่อไป เขาเป็นคนเนิร์ดยักษ์และชอบเรียนรู้เกี่ยวกับเทคโนโลยีทุกอย่าง ทั้งเก่าและใหม่ คุณสามารถหาไมเคิลไปเที่ยวกับภรรยาและลูกสาว อ่านหนังสือหรือฟังเพลงเมื่อไม่ได้ทำงาน
