Videó: Большая подборка WordPress плагинов для любого сайта (November 2024)
Ha Ön rendelkezik WordPress-webhellyel, akkor ügyeljen arra, hogy a frissítések mellett ne csak a központi platformon, hanem az összes témán és bővítménynél is.
A WordPress több mint 70 millió webhelyet birtokol világszerte, ez vonzó célpontot jelent a számítógépes bűnözők számára. A támadók gyakran eltérítik a kiszolgáltatott WordPress-telepítéseket spamoldalak és más rosszindulatú tartalmak tárolására.
A kutatók az elmúlt hetek során számos súlyos sebezhetőséget fedeztek fel a népszerű WordPress bővítményekben. Ellenőrizze a rendszergazda irányítópultját, és ellenőrizze, hogy telepítve van-e a legújabb verziók.
1. A MailPoet v2.6.7 elérhető
A Sucuri webbiztonsági cég kutatói távoli fájlfeltöltési hibát találtak a MailPoet-ben, egy olyan bővítményben, amely lehetővé teszi a WordPress felhasználók számára, hogy hírleveleket készítsenek, értesítéseket küldjenek és automatikus válaszokat hozzon létre. A beépülő modult, amelyet korábban wysija-hírlevelekként ismertek, több mint 1, 7 millió alkalommal töltöttek le. A fejlesztők javították a hibát a 2.6.7 verzióban. A korábbi verziók mind sebezhetők.
"Ezt a hibát komolyan kell venni; ez egy potenciális betolakodónak hatalmat ad arra, hogy bármit megtehessen az áldozata weboldalán" - mondta Daniel Cid, Sucuri technológiai vezérigazgató, kedd egyik blogbejegyzésében. "Ez lehetővé teszi bármilyen PHP fájl feltöltését. Ez lehetővé teszi a támadó számára, hogy az Ön webhelyét adathalász csalásokhoz, SPAM küldéséhez, rosszindulatú programok tárolására, más ügyfelek fertőzésére (megosztott szerveren) és így tovább!"
A biztonsági rés feltételezte, hogy bárki, aki az adott hívást felhívja a fájl feltöltésére, rendszergazda volt, anélkül hogy ténylegesen igazolta volna, hogy a felhasználó hitelesítve volt - találta Sucuri. "Könnyű hibát követni el" - mondta Cid.
2. A TimThumb v2.8.14 elérhető
A múlt héten egy kutató közzétette a TimThumb v2.8.13, egy plugin súlyos sebezhetőségének részleteit, amely lehetővé teszi a felhasználók számára a képek automatikus vágását, nagyítását és átméretezését. A TimThumb mögötti fejlesztő, Ben Gillbanks kijavította a hibát a 2.8.14 verzióban, amely már elérhető a Google Code-ben.
A biztonsági rés a TimThumb WebShot funkciójában volt, és lehetővé tette a támadók számára (hitelesítés nélkül), hogy távolítsák el az oldalakat és módosítsák a tartalmat oly módon, hogy rosszindulatú kódot injektálnak a veszélyeztetett helyekre, Sucuri elemzése szerint. A WebShot lehetővé teszi a felhasználók számára, hogy megragadják a távoli weboldalakat, és képernyőképekévé alakítsák őket.
"Egy egyszerű paranccsal a támadó bármilyen fájlt létrehozhat, eltávolíthat és módosíthat a szerveren" - írta Cid.
Mivel a WebShot alapértelmezés szerint nem engedélyezett, a legtöbb TimThumb felhasználót nem érinti. A távoli kódfuttatás támadása azonban továbbra is fennáll, mert a WordPress témák, beépülő modulok és más, harmadik féltől származó összetevők a TimThumbot használják. Valójában Pichaya Morimoto kutató, aki felfedte a hiányosságot a teljes nyilvánosságra hozatali listán, azt állította, hogy a WordThumb 1.07, a WordPress galéria beépülő modul és az IGIT Posts Slider Widget valószínűleg sebezhetők, valamint a themify.me webhely témái.
Ha engedélyezte a WebShot alkalmazást, akkor tiltsa le a téma vagy a plugin timumbumb fájljának megnyitásával és a WEBSHOT_ENABLED értékének hamis értékre állításával, Sucuri ajánlotta.
Valójában, ha továbbra is használja a TimThumb-t, ideje mérlegelni annak fokozatos megszüntetését. Az Incapsula nemrégiben elvégzett elemzése szerint a WordPress webhelyek elleni távoli fájlbeillesztési támadások 58% -ában TimThumb volt érintett. A Gillbanks 2011 óta nem tartja karban a TimThumb alkalmazást (a nulla napos határidő rögzítéséhez), mivel a WordPress alap platformja mostantól támogatja a miniatűröket.
"Nem használtam a TimThumb-ot egy WordPress-témában, mivel azelőtt a TimThumb korábbi biztonsági kihasználása volt 2011-ben" - mondta Gillbanks.
3. Minden egy SEO Pack v2.1.6 elérhető
Június elején a Sucuri kutatói egy privilégium-eszkalációs sebezhetőséget fedeztek fel az All in ONE SEO Pack csomagban. A plugin a WordPress webhelyeket optimalizálja a keresőmotor számára, és a biztonsági rés lehetővé tenné a felhasználók számára, hogy a címeket, leírásokat és metacímkéket még rendszergazdai jogosultságok nélkül módosítsák. Ezt a hibát egy második kiváltságos eszkalációs hibával (szintén kijavítva) lehet láncolni, hogy rosszindulatú JavaScript kódot fecskendezzen be a weboldal oldalain, és "csináljon olyan intézkedéseket, mint például az admin fiókjának jelszavának megváltoztatása, hogy némi hátsó ajtót hagyjon a webiste fájljaiban" - mondta Sucuri.
Egyes becslések szerint körülbelül 15 millió WordPress-webhely használja az All in One SEO Pack-t. A beépülő modult kezelő Semper Fi a múlt hónapban javította a 2.1.6 változatot.
4. A Login Rebuilder v1.2.3 elérhető
A múlt heti US-CERT kiberbiztonsági közlemény két biztonsági rést tartalmazott, amelyek érintik a WordPress bővítményeket. Az első egy, a Login Rebuilder beépülő modulban található, webhelyek közötti kérelem hibája, amely lehetővé tette a támadók számára, hogy eltérítsék az önkényes felhasználók hitelesítését. Alapvetõen, ha egy felhasználó rosszindulatú oldalt nézett meg, miközben bejelentkezett a WordPress webhelyre, a támadók képesek lesznek eltéríteni a munkamenetet. A támadás, amely nem igényel hitelesítést, az illetéktelen információ-nyilvánosságra hozatalhoz, a webhely módosításához és megzavarásához vezethet, a Nemzeti biztonsági rés adatbázisának megfelelően.
Az 1.2.0 és régebbi verziók sebezhetők. A 12net fejlesztő a múlt héten kiadta az új 1.2.3 verziót.
5. A JW Player v2.1.4 elérhető
Az US-CERT közleményben szereplő második kérdés a JW Player beépülő modul webhelyen keresztüli hamisításának sebezhetősége volt. A plugin lehetővé teszi a felhasználóknak, hogy Flash és HTML5 audio- és videoklipeket, valamint a YouTube-munkameneteket beágyazzák a WordPress webhelyre. A támadók távolról eltéríthetnek egy rosszindulatú webhely felkeresésére becsapott adminisztrátorok hitelesítését, és eltávolíthatják a videolejátszókat a webhelyről.
A 2.1.3 és régebbi verziók sebezhetők. A fejlesztő a múlt héten javította a 2.1.4 verzió hibáját.
A rendszeres frissítések fontosak
Tavaly a Checkmarx elemezte a WordPress 50 leggyakrabban letöltött beépülő modulját és az e-kereskedelem top 10 beépülő modulját, és a beépülő modulok 20 százalékában olyan általános biztonsági problémákat talált, mint például az SQL befecskendezés, a webhelyek közötti szkriptek és a webhelyek közötti kérések hamisítása.
A múlt héten Sucuri figyelmeztette, hogy a WordPress-webhelyek "ezreit" feltörték és a spamoldalak hozzáadódtak a szerver wp-incl mag mappájához. "A SPAM oldalak egy véletlenszerű könyvtárban vannak elrejtve a wp-részletekben" - figyelmeztette Cid. Az oldalak megtalálhatók például a / wp-include / finance / paydayloan alatt.
Míg Sucurinak nem volt "végleges bizonyítéka" arra vonatkozóan, hogy ezek a webhelyek hogyan kerültek veszélybe, "szinte minden esetben a webhelyek elavult WordPress-telepítéseket vagy cPanelt futtatnak", írta Cid.
A WordPress meglehetősen fájdalommentesen frissíti a bővítményeket és az alapfájlokat. A webhelytulajdonosoknak rendszeresen ellenőrizniük és telepíteniük kell az összes frissítést. Érdemes átnézni az összes könyvtárat, mint például a wp-incl., Hogy megbizonyosodjon arról, hogy az ismeretlen fájlok nem helyezkednek-e el.
"Az utolsó dolog, amelyet valamelyik webhelytulajdonos akar, az később kiderül, hogy márkájuk és rendszerük erőforrásait rosszindulatú cselekedetekre használják fel" - mondta Cid.
