Video: Полное Руководство по WooCommerce! 12 ЧАСОВ ПРАКТИКИ! (Septembra 2024)
Ak vlastníte web WordPress, uistite sa, že ste na špičke aktualizácií - nielen pre základnú platformu, ale aj pre všetky témy a doplnky.
WordPress ovláda viac ako 70 miliónov webových stránok po celom svete, čo z neho robí atraktívny cieľ pre počítačových zločincov. Útočníci často zneužívajú zraniteľné inštalácie WordPress na hosťovanie spamových stránok a iného škodlivého obsahu.
Vedci odhalili niekoľko vážnych zraniteľností v týchto populárnych doplnkoch WordPress za posledných niekoľko týždňov. Skontrolujte panel administrátora a uistite sa, že máte nainštalované najnovšie verzie.
1. K dispozícii je MailPoet v2.6.7
Vedci z webovej bezpečnostnej spoločnosti Sucuri našli chybu v nahrávaní súborov v MailPoet, doplnku, ktorý umožňuje používateľom WordPress vytvárať informačné bulletiny, posielať upozornenia a vytvárať automatické odpovede. Doplnok, ktorý bol predtým známy ako informačné bulletiny wysija, bol stiahnutý viac ako 1, 7 milióna krát. Vývojári opravili chybu vo verzii 2.6.7. Všetky staršie verzie sú zraniteľné.
"Táto chyba by sa mala brať vážne; dáva potenciálnemu votrelcovi právomoc urobiť čokoľvek, čo chce, na webovej stránke svojej obete, " uviedol Daniel Cid, hlavný technologický riaditeľ spoločnosti Sucuri. „Umožňuje nahrávanie ľubovoľného súboru PHP. To môže útočníkovi umožniť použiť váš web na phishingové nástrahy, odosielanie SPAM, hosťovanie škodlivého softvéru, infikovanie iných zákazníkov (na zdieľanom serveri) a podobne!“
Zraniteľnosť predpokladala, že ktokoľvek, kto robí konkrétne volanie na odovzdanie súboru, bol správcom bez toho, aby skutočne overil, že používateľ bol autentizovaný, zistil Sucuri. „Je ľahké urobiť chybu, “ povedal Cid.
2. K dispozícii TimThumb v2.8.14
Minulý týždeň výskumník zverejnil podrobnosti o vážnej zraniteľnosti v doplnku TimThumb v2.8.13, ktorý umožňuje používateľom automaticky orezávať, zväčšovať a meniť veľkosť obrázkov. Vývojár za spoločnosťou TimThumb, Ben Gillbanks, opravil chybu vo verzii 2.8.14, ktorá je teraz k dispozícii v službe Google Code.
Táto chyba zabezpečenia bola vo funkcii WebShot TimThumb a podľa analýzy spoločnosti Sucuri umožnila útočníkom (bez autentifikácie) vzdialene odstraňovať stránky a upravovať obsah injektovaním škodlivého kódu na zraniteľné stránky. WebShot umožňuje používateľom uchopiť vzdialené webové stránky a prevádzať ich na snímky obrazovky.
„Útočník môže pomocou jednoduchého príkazu vytvárať, odstraňovať a upravovať všetky súbory na serveri, “ napísal Cid.
Pretože produkt WebShot nie je v predvolenom nastavení povolený, nebude to mať vplyv na väčšinu používateľov TimThumb. Riziko útokov na vzdialené vykonanie kódu však zostáva, pretože témy, doplnky a ďalšie komponenty tretích strán používajú program TimThumb. V skutočnosti výskumníčka Pichaya Morimoto, ktorá odhalila chybu na zozname Úplné zverejnenie, uviedla, že WordThumb 1.07, doplnok WordPress Gallery Plugin a IGIT Posts Slider Widget boli pravdepodobne zraniteľné, ako aj témy zo stránok themify.me.
Ak máte povolený WebShot, mali by ste ho deaktivovať otvorením súboru timthumb témy alebo doplnku a nastavením hodnoty WEBSHOT_ENABLED na false, odporúča sa Sucuri.
Ak TimThumb stále používate, je čas zvážiť jeho postupné ukončenie. Nedávna analýza spoločnosti Incapsula zistila, že 58 percent všetkých vzdialených útokov na zahrnutie súborov proti serverom WordPress sa týkalo TimThumb. Gillbanks neudržiava TimThumb od roku 2011 (opraviť nulový deň), pretože základná platforma WordPress teraz podporuje miniatúry príspevkov.
„TimThumb som v téme WordPress nepoužíval od tej doby, ako v roku 2011 predchádzalo zneužitie zabezpečenia TimThumb, “ uviedla Gillbanks.
3. K dispozícii všetko v jednom balíčku SEO v2.1.6
Začiatkom júna vedci Sucuri odhalili zraniteľnosť v oblasti eskalácie v balíčku All in ONE SEO Pack. Doplnok optimalizuje weby WordPress pre vyhľadávací nástroj a zraniteľnosť by používateľom umožnila upravovať názvy, popisy a metaznačky aj bez oprávnení správcu. Táto chyba by mohla byť pripútaná druhou chybou eskalácie privilégií (tiež opravenou), ktorá by mohla vložiť škodlivý kód jazyka JavaScript na stránky stránok a „robiť veci, ako je zmena hesla účtu správcu, aby sa v súboroch na vašom webe nechali nejaké backdoor, “ povedal Sucuri.
Podľa niektorých odhadov asi 15 miliónov stránok WordPress používa balík SEO All in One. Spoločnosť Semper Fi, spoločnosť spravujúca doplnok, minulý mesiac vytlačila opravu v bode 2.1.6.
4. Prihlásenie Rebuilder v1.2.3
Minulý týždeň Bulletin o kybernetickej bezpečnosti USA-CERT zahŕňal dve zraniteľné miesta, ktoré ovplyvňujú doplnky WordPress. Prvým z nich bola chyba na falošnej požiadavke na viacerých stránkach v doplnku Login Rebuilder, ktorá by útočníkom umožnila uniesť autentizáciu ľubovoľných používateľov. Ak by si používateľ počas prihlásenia na web WordPress zobrazil škodlivú stránku, útočníci by mohli reláciu uniesť. Útok, ktorý si nevyžadoval autentifikáciu, by mohol viesť k neoprávnenému zverejneniu informácií, zmene a narušeniu lokality podľa národnej databázy zraniteľností.
Verzie 1.2.0 a staršie sú zraniteľné. Developer 12net minulý týždeň vydal novú verziu 1.2.3.
5. K dispozícii je prehrávač JW Player v2.1.4
Druhým problémom, ktorý bol súčasťou bulletinu US-CERT, bola zraniteľnosť falošných údajov medzi servermi v doplnku JW Player. Doplnok umožňuje používateľom vkladať na web WordPress zvukové a videoklipy Flash a HTML5, ako aj relácie YouTube. Útočníci by boli schopní vzdialene uniesť autentifikáciu správcov, ktorí sa dostali na návštevu škodlivého webu a odstránili z neho prehrávače videa.
Verzie 2.1.3 a staršie sú zraniteľné. Vývojár opravil chybu vo verzii 2.1.4 minulý týždeň.
Pravidelné aktualizácie sú dôležité
V minulom roku spoločnosť Checkmarx analyzovala 50 najviac prevzatých doplnkov a 10 najlepších doplnkov elektronického obchodu pre WordPress a zistila bežné problémy so zabezpečením, ako je napríklad SQL injekcia, skriptovanie medzi lokalitami a falšovanie žiadostí na viacerých stránkach v 20 percentách doplnkov.
Sucuri minulý týždeň varoval, že „tisíce“ stránok WordPress boli napadnuté hackermi a do spamového servera boli pridané do hlavného adresára na serveri wp. „Stránky SPAM sú skryté vo vnútri náhodného adresára vo vnútri wp-include, “ varoval Cid. Stránky nájdete napríklad na stránke / wp-include / finance / paydayloan.
Aj keď Sucuri nemala „definitívny dôkaz“ o tom, ako boli tieto stránky kompromitované, „takmer vo všetkých prípadoch webové stránky používajú zastarané inštalácie WordPress alebo cPanel, “ napísal Cid.
WordPress má pomerne bezbolestný proces aktualizácie svojich doplnkov, ako aj základných súborov. Vlastníci stránok musia pravidelne kontrolovať a inštalovať aktualizácie všetkých aktualizácií. Tiež sa oplatí skontrolovať všetky adresáre, napríklad wp-include, aby ste sa uistili, že neznáme súbory nezískali bydlisko.
„Poslednou vecou, ktorú chce vlastník webových stránok, je zistiť, že ich značka a systémové zdroje boli použité na nekalé konanie, “ uviedol Cid.
