Video: 5 WordPress плагинов, которые нужны любому сайту. (Oktober 2024)
Če imate spletno mesto WordPress, se prepričajte, da ostajate na tekočem s posodobitvami - ne samo za osnovno platformo, ampak tudi za vse teme in vtičnike.
WordPress pooblasti več kot 70 milijonov spletnih strani po vsem svetu, zaradi česar je privlačna tarča za kibernetske kriminalce. Napadalci pogosto ugrabijo ranljive namestitve WordPress-a za gostovanje neželene strani in druge zlonamerne vsebine.
V zadnjih nekaj tednih so raziskovalci odkrili številne resne ranljivosti v teh priljubljenih vtičnikih WordPress. Preverite skrbniško ploščo skrbnika in se prepričajte, da imate nameščene najnovejše različice.
1. MailPoet v2.6.7 Na voljo
Raziskovalci podjetja za spletno varnost Sucuri so v MailPoetu, vtičniku, ugotovili napako pri nalaganju datotek, ki uporabnikom WordPressa omogoča ustvarjanje glasila, objavljanje obvestil in ustvarjanje samodejnih odzivov. Prej znan kot wysija-novice, je bil vtičnik naložen več kot 1, 7 milijona krat. Razvijalci so napako popravili v različici 2.6.7. Vse starejše različice so ranljive.
"To hrošč je treba jemati resno; potencialnemu vsiljivcu daje moč, da na spletni strani svoje žrtve počne vse, kar hoče, " je v torek v svoji objavi na spletnem dnevniku dejal Daniel Cid, glavni tehnološki direktor Sucuri. "Omogoča nalaganje katere koli datoteke PHP. To lahko napadalcu omogoči uporabo vašega spletnega mesta za lažno predstavljanje, pošiljanje neželene pošte, gostovanje zlonamerne programske opreme, okužbo drugih strank (na skupnem strežniku) in tako naprej!"
Sucuri je ugotovil, da je ranljivost klicala, da je vsak uporabnik posebnega klica za nalaganje datoteke, ne da bi dejansko preveril, ali je bil uporabnik overjen. "To je enostavno napako, " je dejal Cid.
2. Na voljo je TimThumb v2.8.14
Prejšnji teden je raziskovalec objavil podrobnosti o resni ranljivosti v TimThumb v2.8.13, vtičniku, ki uporabnikom omogoča samodejno obrezovanje, povečavo in spreminjanje velikosti slik. Razvijalec za TimThumb, Ben Gillbanks, je odpravil napako v različici 2.8.14, ki je zdaj na voljo v Google Code.
Ranljivost je bila v funkciji WebShot podjetja TimThumb in je napadalcem (brez overjanja) omogočil oddaljeno odstranjevanje strani in spreminjanje vsebine z vbrizgavanjem zlonamerne kode na ranljiva mesta, je pokazala analiza Sucuri. WebShot omogoča uporabnikom, da zgrabijo oddaljene spletne strani in jih pretvorijo v posnetke zaslona.
"Napadalec lahko s preprostim ukazom ustvari, odstrani in spremeni vse datoteke na vašem strežniku, " je zapisal Cid.
Ker WebShot privzeto ni omogočen, na večino uporabnikov TimThumb to ne bo vplivalo. Vendar pa tveganje za napade izvrševanja kode na daljavo ostaja, ker teme, vtičniki in druge komponente drugih proizvajalcev WordPress uporabljajo TimThumb. Dejansko je raziskovalec Pichaya Morimoto, ki je razkril napako na seznamu Popolno razkritje, dejal, da so WordThumb 1, 07, WordPress Gallery Plugin in IGIT Posts Slider Widget verjetno ranljivi, pa tudi teme s spletnega mesta themify.me.
Če imate omogočen WebShot, ga onemogočite tako, da odprete tematsko datoteko teme ali vtičnika in nastavite vrednost WEBSHOT_ENABLED na napačno, priporoča Sucuri.
Pravzaprav, če še vedno uporabljate TimThumb, je čas, da razmislite o njegovi postopni opustitvi. Nedavna analiza družbe Incapsula je pokazala, da je 58 odstotkov vseh napadov oddaljenih datotek na spletna mesta WordPress vključevalo TimThumb. Gillbanks od leta 2011 ne vzdržuje TimThumb (da bi določil nič dni), saj jedrna WordPress platforma zdaj podpira sličice objav.
"TimThumb še nisem uporabljal v WordPress temi od pred prejšnjim izkoriščanjem zaščite TimThumb leta 2011, " je dejal Gillbanks.
3. Vse v enem paketu SEO v2.1.6 na voljo
V začetku junija so raziskovalci Sucuri razkrili ranljivost stopnjevanja privilegijev v paketu All in ONE SEO Pack. Vtičnik optimizira WordPress spletna mesta za iskalnik, ranljivost pa bi uporabnikom omogočila spreminjanje naslovov, opisov in metapodatkov tudi brez skrbniških pravic. Ta napaka je lahko povezana z drugo napako stopnjevanja privilegijev (prav tako odpravljeno), da na strani spletnega mesta vbrizga zlonamerno kodo JavaScript in "naredi stvari, kot je sprememba gesla skrbniškega računa, da ostane nekaj zaledja v datotekah spletnega mesta", je dejal Sucuri.
Po nekaterih ocenah približno 15 milijonov WordPress spletnih mest uporablja paket SEO vse v enem. Semper Fi, podjetje, ki upravlja vtičnik, je prejšnji mesec odpravilo popravek v 2.1.6.
4. Na voljo Rebuilder v1.2.3
Prejšnji teden US-CERT Cyber Security Bulletin je vključeval dve ranljivosti, ki vplivata na vtičnike WordPress. Prva je bila napaka v ponarejanju zahtevkov na spletnem mestu v vtičniku Login Rebuilder, ki bi napadalcem omogočila, da ugrabijo pristnost poljubnih uporabnikov. Če bi si uporabnik med prijavo na spletno mesto WordPress ogledal zlonamerno stran, bi napadalci lahko sejo ugrabili. Napad, za katerega ni bila potrebna avtentikacija, lahko povzroči nepooblaščeno razkritje informacij, spreminjanje in motenje spletnega mesta, glede na Nacionalno zbirko podatkov o ranljivosti.
Različice 1.2.0 in novejše so ranljive. Developer 12net je prejšnji teden izdal novo različico 1.2.3.
5. JW Player v2.1.4 na voljo
Druga številka, objavljena v biltenu US-CERT, je bila vmesna zahteva za ponarejanje ranljivosti v vtičniku JW Player. Vtičnik uporabnikom omogoča vdelavo avdio in video posnetkov Flash in HTML5 ter YouTube sej na spletno mesto WordPress. Napadalci bi lahko na daljavo ugrabili pristnost skrbnikov, ki so se zavedeli v obisk zlonamernega spletnega mesta in odstranili video predvajalnike s spletnega mesta.
Različice 2.1.3 in starejših so ranljive. Razvojnik je prejšnji teden odpravil napako v različici 2.1.4.
Pomembne so redne posodobitve
Lani je Checkmarx analiziral 50 najbolj prenesenih vtičnikov in najboljših 10 vtičnikov za e-trgovino za WordPress in ugotovil, da so pri 20 odstotkih vtičnikov pogoste varnostne težave, kot so vbrizgavanje SQL, skriptno skriptno križanje in ponarejanje zahtev na več spletnih mestih.
Sucuri je prejšnji teden opozoril, da je bilo na tisoče spletnih strani WordPressa vdrto in da so v osnovni imenik wp na strežniku dodane nezaželene strani. "Strani SPAM so skrite v naključnem imeniku znotraj wp-include, " je opozoril Cid. Strani so na primer pod / wp-include / finance / paydayloan.
Medtem ko Sucuri ni imel "dokončnega dokaza" o tem, kako so bila ta spletna mesta ogrožena, "skoraj v vseh primerih na spletnih mestih ni več zastarelih namestitev WordPressa ali cPanela, " je zapisal Cid.
WordPress ima dokaj neboleč postopek posodabljanja svojih vtičnikov in jedrnih datotek. Lastniki spletnih mest morajo redno preverjati in namestiti posodobitve za vse posodobitve. Prav tako je vredno preveriti v vseh imenikih, na primer wp-include, da se prepričate, da neznane datoteke niso prebivale.
"Zadnja stvar, ki si jo želi vsak lastnik spletnega mesta, je, da pozneje ugotovi, da so njihove blagovne znamke in sistemski viri uporabljeni za zlobna dejanja, " je dejal Cid.
