Acasă Securitywatch Cinci pluginuri wordpress pe care ar trebui să le actualizați chiar acum

Cinci pluginuri wordpress pe care ar trebui să le actualizați chiar acum

Video: The Best WordPress SEO Plugins (It’s Not Yoast) (Noiembrie 2024)

Video: The Best WordPress SEO Plugins (It’s Not Yoast) (Noiembrie 2024)
Anonim

Dacă dețineți un site WordPress, asigurați-vă că rămâneți la curent cu actualizările - nu doar pentru platforma de bază, ci și pentru toate temele și pluginurile.

WordPress are peste 70 de milioane de site-uri din întreaga lume, ceea ce îl face o țintă atractivă pentru infractorii cibernetici. Atacatorii deturnează frecvent instalațiile WordPress vulnerabile pentru a găzdui pagini spam și alt conținut rău intenționat.

Cercetătorii au descoperit o serie de vulnerabilități grave în aceste pluginuri populare WordPress în ultimele săptămâni. Verificați tabloul de bord al administratorului și asigurați-vă că aveți cele mai recente versiuni instalate.

1. MailPoet v2.6.7 Disponibil

Cercetătorii companiei de securitate web Sucuri au găsit un defect de încărcare a fișierelor în MailPoet, un plugin care permite utilizatorilor WordPress să creeze buletine informative, să posteze notificări și să creeze răspunsuri automate. Cunoscut anterior ca wysija-newslettere, pluginul a fost descărcat de peste 1, 7 milioane de ori. Dezvoltatorii au aplicat defectele în versiunea 2.6.7. Versiunile anterioare sunt toate vulnerabile.

"Această eroare ar trebui să fie luată în serios; dă un potențial intrus puterea de a face orice vrea pe site-ul victimei sale", a declarat Daniel Cid, directorul tehnologic al Sucuri, marcat într-o postare pe blog. "Permite încărcarea oricărui fișier PHP. Acest lucru poate permite unui atacator să utilizeze site-ul dvs. web pentru a face apeluri de tip phishing, să trimită spam, să găzduiască malware, să infecteze alți clienți (pe un server partajat, etc.)."

Vulnerabilitatea presupunea că oricine face apelul specific pentru încărcarea fișierului era un administrator, fără să verifice de fapt dacă utilizatorul a fost autentificat, a găsit Sucuri. „Este o greșeală ușoară de făcut”, a spus Cid.

2. Disponibil TimThumb v2.8.14

Săptămâna trecută, un cercetător a lansat detalii despre o vulnerabilitate gravă în TimThumb v2.8.13, un plugin care permite utilizatorilor să decupeze, să facă zoom și să redimensioneze automat imaginile. Dezvoltatorul din spatele TimThumb, Ben Gillbanks, a remediat defectul în versiunea 2.8.14, care este acum disponibilă pe Google Code.

Vulnerabilitatea a fost în funcția WebShot a TimThumb și a permis atacatorilor (fără autentificare) să elimine de la distanță paginile și să modifice conținutul prin injectarea codului rău intenționat pe site-urile vulnerabile, potrivit unei analize realizate de Sucuri. WebShot permite utilizatorilor să accepte pagini Web la distanță și să le convertească în capturi de ecran.

„Cu o simplă comandă, un atacator poate crea, elimina și modifica orice fișiere de pe serverul dvs.”, a scris Cid.

Deoarece WebShot nu este activat implicit, majoritatea utilizatorilor TimThumb nu vor fi afectați. Cu toate acestea, riscul de atacuri de execuție de la distanță de cod rămâne, deoarece temele WordPress, plugin-urile și alte componente ale terților utilizează TimThumb. De fapt, cercetătorul Pichaya Morimoto, care a dezvăluit defectul pe lista completă a dezvăluirii, a declarat că WordThumb 1.07, WordPress Gallery Plugin și IGIT Posts Slider Widget au fost posibil vulnerabile, precum și teme de pe site-ul themify.me.

Dacă aveți activat WebShot, ar trebui să-l dezactivați prin deschiderea fișierului de temă al temei sau al pluginului și setarea valorii WEBSHOT_ENABLED pe false, recomandat Sucuri.

De fapt, dacă tot folosiți TimThumb, este timpul să luați în considerare eliminarea treptată. O analiză recentă realizată de Incapsula a constatat că 58% din toate atacurile de includere a fișierelor la distanță împotriva site-urilor WordPress au implicat TimThumb. Gillbanks nu a menținut TimThumb din 2011 (pentru a remedia o zi zero), deoarece platforma principală WordPress acceptă acum miniaturi post.

"Nu am folosit TimThumb într-o temă WordPress, înainte de exploatarea anterioară de securitate TimThumb din 2011", a spus Gillbanks.

3. Disponibil în One SEO Pack v2.1.6

La începutul lunii iunie, cercetătorii Sucuri au dezvăluit o vulnerabilitate a escaladării privilegiilor în All in ONE SEO Pack. Pluginul optimizează site-urile WordPress pentru motorul de căutare, iar vulnerabilitatea ar permite utilizatorilor să modifice titluri, descrieri și metataguri chiar și fără privilegii de administrator. Această eroare ar putea fi înlănțuită cu un al doilea defect de escaladare a privilegiilor (de asemenea, rezolvat) pentru a injecta cod JavaScript rău intenționat în paginile site-ului și „face lucruri precum schimbarea parolei contului administratorului pentru a lăsa ceva în spate în fișierele site-ului tău”, a spus Sucuri.

Conform unor estimări, aproximativ 15 milioane de site-uri WordPress folosesc pachetul All in One SEO. Semper Fi, compania care administrează pluginul, a eliminat luna trecută o soluție.

4. Conectare Rebuilder v1.2.3 Disponibil

Buletinul de securitate cibernetică US-CERT de săptămâna trecută a inclus două vulnerabilități care afectează pluginurile WordPress. Primul a fost o defecțiune de falsificare a cererii încrucișate în pluginul Login Rebuilder, care ar permite atacatorilor să deturneze autentificarea utilizatorilor arbitrari. În esență, dacă un utilizator a văzut o pagină rău intenționată în timp ce s-a autentificat pe site-ul WordPress, atacatorii ar putea deturna sesiunea. Atacul, care nu necesită autentificare, ar putea duce la dezvăluirea neautorizată a informațiilor, modificarea și întreruperea site-ului, în conformitate cu baza de date națională a vulnerabilităților.

Versiunile 1.2.0 și versiuni anterioare sunt vulnerabile. Dezvoltatorul 12net a lansat o nouă versiune 1.2.3 săptămâna trecută.

5. JW Player v2.1.4 Disponibil

Cea de-a doua problemă inclusă în buletinul US-CERT a fost o vulnerabilitate a falsificării cererii de site-uri în pluginul JW Player. Pluginul permite utilizatorilor să încorporeze clipuri audio și video Flash și HTML5, precum și sesiuni YouTube, pe site-ul WordPress. Atacatorii ar putea să deturneze de la distanță autentificarea administratorilor păcălți să viziteze un site rău intenționat și să elimine jucătorii video de pe site.

Versiunile 2.1.3 și versiunile anterioare sunt vulnerabile. Dezvoltatorul a remediat defectul în versiunea 2.1.4 săptămâna trecută.

Actualizările periodice sunt importante

Anul trecut, Checkmarx a analizat cele mai descărcate 50 de plugin-uri și cele mai bune 10 plugin-uri de comerț electronic pentru WordPress și a găsit probleme comune de securitate, cum ar fi injecția SQL, scripturi inter-site-uri și falsificarea cererilor de site-uri în 20% din pluginuri.

Săptămâna trecută, Sucuri a avertizat că „mii” de site-uri WordPress au fost hackate și că paginile de spam sunt adăugate în directorul de bază wp-include pe server. "Paginile SPAM sunt ascunse într-un director aleator din wp-include", a avertizat Cid. Pagini pot fi găsite sub / wp-include / finanțare / paydayloan, de exemplu.

Deși Sucuri nu a avut „dovezi definitive” cu privire la modul în care aceste site-uri au fost compromise, „în aproape toate cazurile, site-urile web au instalări depășite de WordPress sau cPanel”, a scris Cid.

WordPress are un proces de actualizare destul de nedureros pentru pluginurile sale, precum și pentru fișierele de bază. Proprietarii site-urilor trebuie să verifice și să instaleze în mod regulat toate actualizările. Merită, de asemenea, verificat prin toate directoarele, cum ar fi wp-include, pentru a vă asigura că fișierele necunoscute nu au luat rezidența.

"Ultimul lucru pe care orice proprietar de site-ul web îl dorește este să afle mai târziu că marca și resursele lor de sistem au fost folosite pentru acte nefaste", a spus Cid.

Cinci pluginuri wordpress pe care ar trebui să le actualizați chiar acum