Video: Icegram WordPress Plugin For Free Hello Bars, Notifications and Popup Optins (Oktober 2024)
Hvis du eier et WordPress-nettsted, må du sørge for å holde deg oppdatert - ikke bare for kjerneplattformen, men også for alle temaer og plugins.
WordPress driver mer enn 70 millioner nettsteder rundt om i verden, noe som gjør det til et attraktivt mål for nettkriminelle. Angripere kaprer ofte sårbare WordPress-installasjoner for å være vert for spam-sider og annet skadelig innhold.
Forskere har avdekket en rekke alvorlige sårbarheter i disse populære WordPress-plugins de siste ukene. Sjekk administratorpanelet og sørg for at du har installert de nyeste versjonene.
1. MailPoet v2.6.7 tilgjengelig
Forskere fra websikkerhetsselskapet Sucuri fant en ekstern filopplastningsfeil i MailPoet, en plugin som lar WordPress-brukere lage nyhetsbrev, legge ut varsler og opprette auto-responders. Tidligere kjent som wysija-nyhetsbrev, er plugin-filen lastet ned mer enn 1, 7 millioner ganger. Utviklerne lappet feilen i versjon 2.6.7. Tidligere versjoner er alle sårbare.
"Denne feilen bør tas på alvor. Den gir en potensiell inntrenger muligheten til å gjøre hva han vil på nettstedet til offeret, " sa Daniel Cid, teknologisjef i Sucuri, i et blogginnlegg tirsdag. "Den gjør det mulig å laste opp alle PHP-filer. Dette kan tillate en angriper å bruke nettstedet ditt til phishing lokker, sende spam, hosting malware, infisere andre kunder (på en delt server), og så videre!"
Sårbarheten antok at alle som foretok det spesifikke anropet for å laste opp filen, var en administrator, uten å verifisere at brukeren var autentisert, fant Sucuri. "Det er en lett feil å gjøre, " sa Cid.
2. TimThumb v2.8.14 tilgjengelig
Forrige uke slapp en forsker detaljer om et alvorlig sårbarhet i TimThumb v2.8.13, en plugin som lar brukere beskjære, zoome og endre størrelse på bilder automatisk. Utvikleren bak TimThumb, Ben Gillbanks, fikset feilen i versjon 2.8.14, som nå er tilgjengelig på Google Code.
Sårbarheten var i WebShot-funksjonen til TimThumb, og tillot angripere (uten autentisering) å fjerne sider fjernet og endre innhold ved å injisere ondsinnet kode på sårbare nettsteder, ifølge en analyse fra Sucuri. WebShot lar brukere ta tak i eksterne websider og konvertere dem til skjermbilder.
"Med en enkel kommando kan en angriper opprette, fjerne og endre alle filer på serveren din, " skrev Cid.
Siden WebShot ikke er aktivert som standard, blir de fleste TimThumb-brukere ikke berørt. Risikoen for angrep på ekstern kode forblir imidlertid fordi WordPress-temaer, plugins og andre tredjepartskomponenter bruker TimThumb. Faktisk sa forsker Pichaya Morimoto, som avslørte feilen på listen over full avsløring, at WordThumb 1.07, WordPress Gallery Plugin og IGIT Posts Slider Widget var muligens sårbare, samt temaer fra themify.me-nettstedet.
Hvis du har WebShot aktivert, bør du deaktivere det ved å åpne temaet eller pluginens timumn-fil og sette verdien til WEBSHOT_ENABLED til falsk, anbefalte Sucuri.
Hvis du fremdeles bruker TimThumb, er det på tide å vurdere å avvikle det. En fersk analyse fra Incapsula fant at 58 prosent av alle angrep på ekstern fil inkludering mot WordPress-nettsteder involverte TimThumb. Gillbanks har ikke opprettholdt TimThumb siden 2011 (for å fikse en null-dag) siden kjernen WordPress-plattformen nå støtter postminiatyrbilder.
"Jeg har ikke brukt TimThumb i et WordPress-tema siden før den forrige sikkerhetsutnyttelsen av TimThumb i 2011, " sa Gillbanks.
3. Alt i ett SEO-pakke v2.1.6 tilgjengelig
I begynnelsen av juni avslørte Sucuri-forskere en sårbarhet med opptrapping av privilegier i All in ONE SEO Pack. Plugin-en optimaliserer WordPress-nettsteder for søkemotorer, og sårbarheten vil gjøre det mulig for brukere å endre titler, beskrivelser og metatager, selv uten administratorrettigheter. Denne feilen kan være lenket med en andre opptrappingsfeil (også løst) for å injisere ondsinnet JavaScript-kode på nettstedets sider og "gjøre ting som å endre administratorens kontopassord for å etterlate litt bakdør i filene til webisten din, " sa Sucuri.
Ifølge noen estimater bruker omtrent 15 millioner WordPress-nettsteder All in One SEO Pack. Semper Fi, selskapet som administrerer plugin-programmet, presset ut en løsning i 2.1.6 forrige måned.
4. Logg inn Rebuilder v1.2.3 tilgjengelig
Forrige ukes US-CERT Cyber Security Bulletin inkluderte to sårbarheter som påvirker WordPress-plugins. Den første var en forespørsel om forfalskning på tvers av nettsteder i Login Rebuilder-plugin som ville tillate angripere å kapre autentiseringen av vilkårlige brukere. I utgangspunktet, hvis en bruker har sett en ondsinnet side mens han var logget inn på WordPress-nettstedet, ville angripere kunne kapre økten. Angrepet, som ikke krevde godkjenning, kan resultere i uautorisert avsløring av informasjon, modifisering og forstyrrelse av nettstedet, ifølge National Vulnerability Database.
Versjoner 1.2.0 og tidligere er sårbare. Utvikler 12net ga ut en ny versjon 1.2.3 forrige uke.
5. JW Player v2.1.4 tilgjengelig
Den andre utgaven som ble inkludert i US-CERT-bulletinen var et sikkerhetsproblem på tvers av forespørsler om forfalskning i JW Player-pluginen. Plugin-enheten lar brukere legge inn Flash- og HTML5-lyd- og videoklipp, så vel som YouTube-økter, på WordPress-nettstedet. Angripere vil kunne eksternt kapre autentiseringen av administratorer som ble lurt til å besøke et ondsinnet nettsted og fjerne videospillerne fra nettstedet.
Versjoner 2.1.3 og tidligere er sårbare. Utvikleren fikset feilen i versjon 2.1.4 forrige uke.
Vanlige oppdateringer er viktige
I fjor analyserte Checkmarx de 50 mest nedlastede plugins og topp 10 e-handel plugins for WordPress og fant vanlige sikkerhetsproblemer som SQL-injeksjon, scripting på tvers av sider og forfalskning på tvers av nettsteder i 20 prosent av plugins.
Sucuri advarte forrige uke om at "tusenvis av" WordPress-nettsteder hadde blitt hacket og spam-sider ble lagt til i wp-inkluderer kjernekatalogen på serveren. "SPAM-sidene er gjemt i en tilfeldig katalog i wp-inkluderer, " advarte Cid. Sidene kan du finne under / wp-inkluderer / økonomi / lønningsdag, for eksempel.
Selv om Sucuri ikke hadde "endelig bevis" på hvordan disse nettstedene ble kompromittert, "i nesten alle tilfeller kjører nettstedene utdaterte WordPress-installasjoner eller cPanel, " skrev Cid.
WordPress har en ganske smertefri oppdateringsprosess for både plugins og core-filer. Nettstedseiere må regelmessig se etter og installere oppdateringer for alle oppdateringene. Det er også verdt å sjekke gjennom alle katalogene, for eksempel wp-inkluderer, for å sikre at ukjente filer ikke har tatt bolig.
"Det siste en eieren av en webside ønsker er å finne ut senere at merkevaren og systemressursene deres har blitt brukt til ubehagelige handlinger, " sa Cid.
