WordPress Vulnerability Roundup: กันยายน 2019 ตอนที่ 2
เผยแพร่แล้ว: 2019-11-13*อัปเดตเมื่อ 13 พฤศจิกายน 2019 เพื่อให้สอดคล้องกับการยอมรับและแพทช์ Rich Reviews โดย Starfish Reviews ขอบคุณมากสำหรับ Starfish Reviews สำหรับการช่วยเหลือปลั๊กอิน Rich Reviews!
ปลั๊กอิน WordPress และช่องโหว่ของธีมใหม่หลายรายการได้รับการเปิดเผยในช่วงครึ่งหลังของเดือนกันยายน เราจึงต้องการแจ้งให้คุณทราบ ในบทความนี้ เราจะพูดถึงช่องโหว่ของปลั๊กอินและธีมของ WordPress ล่าสุด และสิ่งที่ควรทำหากคุณใช้งานปลั๊กอินหรือธีมที่มีช่องโหว่บนเว็บไซต์ของคุณ
เราแบ่ง WordPress Vulnerability Roundup ออกเป็นสี่ประเภท:
- 1. WordPress core
- 2. ปลั๊กอิน WordPress
- 3. ธีมเวิร์ดเพรส
- 4. การละเมิดจากทั่วทั้งเว็บ
*เรารวมการละเมิดจากทั่วทั้งเว็บ เนื่องจากจำเป็นต้องตระหนักถึงช่องโหว่ภายนอกระบบนิเวศของ WordPress ด้วย การใช้ประโยชน์จากซอฟต์แวร์เซิร์ฟเวอร์สามารถเปิดเผยข้อมูลที่ละเอียดอ่อนได้ การละเมิดฐานข้อมูลสามารถเปิดเผยข้อมูลประจำตัวสำหรับผู้ใช้ในไซต์ของคุณ ซึ่งเป็นการเปิดประตูให้ผู้โจมตีเข้าถึงไซต์ของคุณ
ช่องโหว่หลักของ WordPress
ช่องโหว่ของปลั๊กอิน WordPress
พบช่องโหว่ปลั๊กอิน WordPress ใหม่หลายรายการในเดือนสิงหาคมนี้ อย่าลืมปฏิบัติตามคำแนะนำด้านล่างเพื่ออัปเดตปลั๊กอินหรือถอนการติดตั้งอย่างสมบูรณ์
1. ตัวอย่างโฆษณาวู้ดดี้
Woody Ad Snippets เวอร์ชัน 2.2.8 และต่ำกว่านั้นเสี่ยงต่อการโจมตีแบบ Cross-Site Scripting
สิ่งที่คุณควรทำ
2. FancyBox ง่าย ๆ
Easy FancyBox เวอร์ชัน 1.8.17 และต่ำกว่านั้นเสี่ยงต่อการโจมตีแบบ Cross-Site Scripting
สิ่งที่คุณควรทำ
3. ตัวกรองผลิตภัณฑ์ AJAX ขั้นสูง
ตัวกรองผลิตภัณฑ์ AJAX ขั้นสูงเวอร์ชัน 1.3.6 และต่ำกว่ามีความเสี่ยงต่อการอัปเดตการตั้งค่าที่ไม่ได้ตรวจสอบสิทธิ์ ช่องโหว่ดังกล่าวจะทำให้ผู้โจมตีสามารถเปลี่ยนเส้นทางการรับส่งข้อมูลไปยังไซต์ที่เป็นอันตรายได้
สิ่งที่คุณควรทำ
4. ให้
ให้เวอร์ชัน 2.5.4 และต่ำกว่ามีความเสี่ยงต่อการโจมตี Authentication Bypass
สิ่งที่คุณควรทำ
5. ตัวแทนจำหน่ายรถยนต์ & โฆษณาย่อย
Motors Car Dealer & Classified Ads เวอร์ชัน 1.4.0 และต่ำกว่ามีช่องโหว่หลายจุด รวมถึงการนำเข้าและส่งออกการตั้งค่าที่ไม่ผ่านการตรวจสอบสิทธิ์ซึ่งนำไปสู่การโจมตี Stored Cross-Site Scripting ช่องโหว่ดังกล่าวจะทำให้ผู้โจมตีสามารถเปลี่ยนเส้นทางการรับส่งข้อมูลไปยังไซต์ที่เป็นอันตรายได้
สิ่งที่คุณควรทำ
6. คำถามที่พบบ่อยที่สุด
Ultimate FAQ เวอร์ชัน 1.8.24 และต่ำกว่านั้นเสี่ยงต่อการโจมตีการนำเข้าและส่งออกการตั้งค่าที่ไม่ได้ตรวจสอบสิทธิ์
สิ่งที่คุณควรทำ
7. เดลัคส์ซอ
DELUCKS SEO เวอร์ชัน 2.1.7 และต่ำกว่ามีช่องโหว่ในการอัปเดตตัวเลือกที่ไม่ผ่านการตรวจสอบสิทธิ์
สิ่งที่คุณควรทำ
8. รีวิวมากมาย
Rich Reviews เวอร์ชัน 1.7.4 และต่ำกว่ามีช่องโหว่การอัปเดตตัวเลือกปลั๊กอินที่ไม่ได้ตรวจสอบสิทธิ์
สิ่งที่คุณควรทำ
ธีมเวิร์ดเพรส
9. Selio – ไดเรกทอรีอสังหาริมทรัพย์
Selio – Real Estate Directory เวอร์ชัน 1.1 และต่ำกว่ามีช่องโหว่ SQL Injection และ Persistent Cross-Site Scripting
สิ่งที่คุณควรทำ
10. Nexos – อสังหาริมทรัพย์
Nexos – อสังหาริมทรัพย์เวอร์ชัน 1.1 และต่ำกว่ามีช่องโหว่ SQL Injection และ Persistent Cross-Site Scripting
สิ่งที่คุณควรทำ
วิธีการเชิงรุกเกี่ยวกับธีม WordPress & ช่องโหว่ของปลั๊กอิน
การใช้ซอฟต์แวร์ที่ล้าสมัยเป็นสาเหตุอันดับหนึ่งที่ทำให้ไซต์ WordPress ถูกแฮ็ก เป็นสิ่งสำคัญสำหรับความปลอดภัยของไซต์ WordPress ที่คุณมีรูทีนการอัปเดต คุณควรลงชื่อเข้าใช้ไซต์ของคุณอย่างน้อยสัปดาห์ละครั้งเพื่อทำการอัปเดต
การอัปเดตอัตโนมัติสามารถช่วยได้
การอัปเดตอัตโนมัติเป็นตัวเลือกที่ยอดเยี่ยมสำหรับเว็บไซต์ WordPress ที่ไม่เปลี่ยนแปลงบ่อยนัก การขาดความสนใจมักจะทำให้ไซต์เหล่านี้ถูกละเลยและเสี่ยงต่อการถูกโจมตี แม้จะมีการตั้งค่าความปลอดภัยที่แนะนำ การเรียกใช้ซอฟต์แวร์ที่มีช่องโหว่บนไซต์ของคุณสามารถให้ผู้โจมตีเข้าสู่ไซต์ของคุณได้
การใช้ คุณลักษณะการจัดการเวอร์ชัน ของปลั๊กอิน iThemes Security Pro คุณสามารถเปิดใช้งานการอัปเดต WordPress อัตโนมัติเพื่อให้แน่ใจว่าคุณได้รับแพตช์ความปลอดภัยล่าสุด การตั้งค่าเหล่านี้ช่วยปกป้องไซต์ของคุณด้วยตัวเลือกในการอัปเดตเป็นเวอร์ชันใหม่โดยอัตโนมัติ หรือเพื่อเพิ่มความปลอดภัยให้กับผู้ใช้เมื่อซอฟต์แวร์ของไซต์ล้าสมัย
ตัวเลือกการอัปเดตการจัดการเวอร์ชัน
- อัปเดต WordPress –ติดตั้ง WordPress รุ่นล่าสุดโดยอัตโนมัติ
- การอัปเดตปลั๊กอินอัตโนมัติ – ติดตั้งการอัปเดตปลั๊กอินล่าสุดโดยอัตโนมัติ ควรเปิดใช้งานสิ่งนี้เว้นแต่คุณจะดูแลไซต์นี้เป็นประจำทุกวันและติดตั้งการอัปเดตด้วยตนเองหลังจากเปิดตัวไม่นาน
- การอัปเดตธีมอัตโนมัติ - ติดตั้งการอัปเดตธีมล่าสุดโดยอัตโนมัติ ควรเปิดใช้งานเว้นแต่ธีมของคุณจะมีการปรับแต่งไฟล์
- การควบคุมแบบละเอียดสำหรับการอัปเดตปลั๊กอินและธีม – คุณอาจมีปลั๊กอิน/ธีมที่คุณต้องการอัปเดตด้วยตนเอง หรือชะลอการอัปเดตจนกว่าการเผยแพร่จะมีเวลาที่จะพิสูจน์ว่าเสถียร คุณสามารถเลือก กำหนดเอง สำหรับโอกาสในการกำหนดปลั๊กอินหรือธีมแต่ละรายการให้อัปเดตทันที ( Enable ) ไม่อัปเดตโดยอัตโนมัติเลย ( Disable ) หรืออัปเดตด้วยความล่าช้าตามจำนวนวันที่ระบุ ( Delay )
การเสริมสร้างความเข้มแข็งและการแจ้งเตือนปัญหาวิกฤต
- เสริมความแข็งแกร่งให้กับไซต์เมื่อใช้งานซอฟต์แวร์ที่ล้าสมัย – เพิ่มการป้องกันเพิ่มเติมให้กับไซต์โดยอัตโนมัติเมื่อไม่ได้ติดตั้งการอัปเดตที่พร้อมใช้งานเป็นเวลาหนึ่งเดือน ปลั๊กอิน iThemes Security จะเปิดใช้งานการรักษาความปลอดภัยที่เข้มงวดขึ้นโดยอัตโนมัติเมื่อไม่ได้ติดตั้งการอัปเดตเป็นเวลาหนึ่งเดือน ขั้นแรก จะบังคับผู้ใช้ทั้งหมดที่ไม่ได้เปิดใช้งานแบบสองปัจจัยเพื่อให้รหัสการเข้าสู่ระบบที่ส่งไปยังที่อยู่อีเมลของตนก่อนที่จะลงชื่อเข้าใช้อีกครั้ง ประการที่สอง จะปิดใช้งานตัวแก้ไขไฟล์ WP (เพื่อบล็อกไม่ให้ผู้อื่นแก้ไขปลั๊กอินหรือโค้ดธีม) , XML-RPC pingbacks และบล็อกการพยายามตรวจสอบสิทธิ์หลายครั้งต่อคำขอ XML-RPC (ซึ่งทั้งสองอย่างนี้จะทำให้ XML-RPC แข็งแกร่งขึ้นต่อการโจมตีโดยไม่ต้องปิดการทำงานทั้งหมด)
- สแกนหาไซต์ WordPress เก่าอื่น ๆ – สิ่งนี้จะตรวจสอบการติดตั้ง WordPress ที่ล้าสมัยอื่น ๆ ในบัญชีโฮสติ้งของคุณ ไซต์ WordPress ที่ล้าสมัยเพียงไซต์เดียวที่มีช่องโหว่อาจทำให้ผู้โจมตีสามารถประนีประนอมกับไซต์อื่น ๆ ทั้งหมดในบัญชีโฮสติ้งเดียวกันได้
- ส่งการแจ้งเตือนทางอีเมล – สำหรับปัญหาที่ต้องมีการแทรกแซง อีเมลจะถูกส่งไปยังผู้ใช้ระดับผู้ดูแลระบบ
การละเมิดจากทั่วเว็บ
1. DoorDash
DoorDash เปิดเผยในบล็อกโพสต์ว่า ข้อมูลลูกค้า ผู้ค้า และพนักงาน 4.9 ล้านรายถูกบุกรุกระหว่างการละเมิดที่เกิดขึ้นเมื่อวันที่ 4 พฤษภาคม 2019
การละเมิดดังกล่าวรวมถึงชื่อ ที่อยู่อีเมล ที่อยู่จริง หมายเลขโทรศัพท์ และรหัสผ่านที่แฮช โชคดีที่พวกเขาไม่ได้เก็บรหัสผ่านเป็นข้อความธรรมดา ดังนั้นผู้โจมตีจะถอดรหัสและใช้รหัสผ่านได้ยาก
ตัวเลข 4 หลักสุดท้ายของบัตรเครดิตบางใบถูกบุกรุก แต่ไม่มีการเข้าถึงหมายเลขบัตรเครดิตหรือหมายเลข CVV แบบเต็ม
น่าเสียดายที่หมายเลขใบขับขี่ของพนักงานบางส่วนรวมอยู่ในการละเมิด
หากคุณเป็นลูกค้า DoorDash คุณสามารถติดต่อพวกเขาได้ที่ศูนย์บริการเฉพาะที่ตั้งค่าเพื่อรับการสนับสนุนที่ 855–646–4683
2. LastPass
Chrome Project Zero ค้นพบและเปิดเผยช่องโหว่ในส่วนขยาย LastPass สำหรับ Chrome และ Opera ช่องโหว่ดังกล่าวจะทำให้เว็บไซต์ที่เป็นอันตรายสามารถสร้างป๊อปอัปและข้าม do_popupregister() เพื่อรับข้อมูลประจำตัวของบัญชีล่าสุดที่เข้าสู่ระบบโดยใช้ LastPass
ไม่มีหลักฐานว่าช่องโหว่นี้เคยถูกใช้อย่างแพร่หลายและ LastPass ได้เผยแพร่โปรแกรมแก้ไขสำหรับส่วนขยายเวอร์ชัน Chrome และ Opera
ช่องโหว่นี้เน้นย้ำถึงความสำคัญของการใช้การตรวจสอบสิทธิ์แบบสองปัจจัยและทำให้ฉันตื่นเต้นมากขึ้นเกี่ยวกับอนาคตที่ไม่ต้องใช้รหัสผ่าน
ปลั๊กอินความปลอดภัย WordPress สามารถช่วยให้เว็บไซต์ของคุณปลอดภัย
iThemes Security Pro ปลั๊กอินความปลอดภัย WordPress ของเรามีมากกว่า 30 วิธีในการรักษาความปลอดภัยและปกป้องเว็บไซต์ของคุณจากช่องโหว่ด้านความปลอดภัยทั่วไปของ WordPress ด้วยการรับรองความถูกต้องด้วยสองปัจจัยของ WordPress การป้องกันแบบเดรัจฉาน การบังคับใช้รหัสผ่านที่รัดกุม และอื่นๆ คุณสามารถเพิ่มระดับการรักษาความปลอดภัยเพิ่มเติมให้กับเว็บไซต์ของคุณได้
รับ iThemes Security
ในแต่ละสัปดาห์ Michael จะรวบรวมรายงานช่องโหว่ของ WordPress เพื่อช่วยให้เว็บไซต์ของคุณปลอดภัย ในฐานะผู้จัดการผลิตภัณฑ์ที่ iThemes เขาช่วยเราปรับปรุงรายการผลิตภัณฑ์ iThemes ต่อไป เขาเป็นคนเนิร์ดยักษ์และชอบเรียนรู้เกี่ยวกับเทคโนโลยีทุกอย่าง ทั้งเก่าและใหม่ คุณสามารถหาไมเคิลไปเที่ยวกับภรรยาและลูกสาว อ่านหนังสือหรือฟังเพลงเมื่อไม่ได้ทำงาน
