Video: Top Black Friday & Cyber Monday WordPress Deals 2020 (Lokakuu 2024)
Jos omistat WordPress-sivuston, varmista, että pysyt ajan tasalla päivityksistä - ei vain ydinalustan lisäksi myös kaikissa teemoissa ja laajennuksissa.
WordPressillä on yli 70 miljoonaa verkkosivustoa ympäri maailmaa, joten se on houkutteleva kohde verkkorikollisille. Hyökkääjät kaappaavat usein haavoittuvia WordPress-asennuksia roskapostisivujen ja muun haitallisen sisällön ylläpitämiseksi.
Tutkijat ovat viime viikkojen aikana paljastaneet joukon vakavia haavoittuvuuksia näissä suosituissa WordPress-laajennuksissa. Tarkista järjestelmänvalvojan kojetaulu ja varmista, että olet asentanut uusimmat versiot.
1. MailPoet v2.6.7 saatavilla
Verkkoturvayrityksen Sucurin tutkijat havaitsivat etätiedostojen lähetysvirheen MailPoetissa, laajennuksessa, jonka avulla WordPress-käyttäjät voivat luoda uutiskirjeitä, lähettää ilmoituksia ja luoda automaattivastaajia. Aikaisemmin wysija-uutiskirjeena tunnettu laajennus on ladattu yli 1, 7 miljoonaa kertaa. Kehittäjät korjasivat virheen versiossa 2.6.7. Aikaisemmat versiot ovat kaikki haavoittuvia.
"Tätä vikaa pitäisi ottaa vakavasti; se antaa potentiaaliselle tunkeilijalle vallan tehdä mitä haluaa uhrinsa verkkosivuilla", Sucurin teknologiajohtaja Daniel Cid sanoi tiistaina päivätyssä blogiviestissä. "Se sallii kaikkien PHP-tiedostojen lataamisen. Tämän avulla hyökkääjä voi käyttää verkkosivustoasi tietojen kalasteluun, roskapostin lähettämiseen, haittaohjelmien ylläpitoon, muiden asiakkaiden tartuttamiseen (jaetulla palvelimella) ja niin edelleen!"
Haavoittuvuus oletti, että kukin soittavan tiedoston lataamiseen liittyvä puhelu oli järjestelmänvalvoja, tosiasiallisesti todentamatta käyttäjän todennusta, Sucuri löysi. "Se on helppo virhe tehdä", Cid sanoi.
2. TimThumb v2.8.14 saatavilla
Viime viikolla tutkija julkaisi yksityiskohdat TimThumb v2.8.13 -laajennuksen vakavasta haavoittuvuudesta, joka on laajennus, jonka avulla käyttäjät voivat rajata, zoomata ja muuttaa kuvan kokoa automaattisesti. TimThumbin takana oleva kehittäjä, Ben Gillbanks, korjattu virhe versiossa 2.8.14, joka on nyt saatavana Google Codessa.
Haavoittuvuus oli TimThumbin WebShot-toiminnossa, ja se antoi hyökkääjille (ilman todennusta) etäyhteyden poistaa sivuja ja muokata sisältöä injektoimalla haitallista koodia haavoittuville sivustoille, Sucurin analyysin mukaan. WebShot antaa käyttäjien tarttua etäverkkosivuihin ja muuntaa ne kuvakaappauksiksi.
"Hyökkääjä voi luoda, poistaa ja muokata palvelimellasi olevia tiedostoja yksinkertaisella komennolla", Cid kirjoitti.
Koska WebShot ei ole oletusarvoisesti käytössä, useimmat TimThumb-käyttäjät eivät vaikuta niihin. Koodin etäsuoritushyökkäysten riski kuitenkin säilyy, koska WordPress-teemat, -laajennukset ja muut kolmansien osapuolien komponentit käyttävät TimThumbia. Itse asiassa tutkija Pichaya Morimoto, joka paljasti puutteen Full Disclosure -luettelossa, sanoi, että WordThumb 1.07, WordPress Gallery -laajennus ja IGIT Posts Slider -widget olivat mahdollisesti haavoittuvia, samoin kuin teemat themify.me -sivustolta.
Jos WebShot on käytössä, sinun pitäisi poistaa se käytöstä avaamalla teeman tai laajennuksen tempumbumb-tiedosto ja asettamalla WEBSHOT_ENABLED-arvoksi väärä, Sucuri suositteli.
Itse asiassa, jos käytät edelleen TimThumbiä, on aika harkita sen asteittaista poistamista. Incapsulan äskettäisessä analyysissä havaittiin, että 58 prosenttia kaikista WordPress-sivustoja koskevista etätiedostojen sisällyttämishyökkäyksistä koski TimThumbia. Gillbanks ei ole ylläpitänyt TimThumbia vuodesta 2011 (nollapäivän korjaamiseksi), koska ydin WordPress-alusta tukee nyt pikkukuvien lähettämistä.
"En ole käyttänyt TimThumbia WordPress-teemassa jo ennen edellistä TimThumb-tietoturvan hyväksikäyttöä vuonna 2011", Gillbanks sanoi.
3. Kaikki yhdessä SEO Pack v2.1.6 saatavana
Kesäkuun alussa Sucurin tutkijat paljastivat etuoikeuksien laajenemisen haavoittuvuuden kaikessa yhdessä ONE SEO Pack -sovelluksessa. Laajennus optimoi WordPress-sivustot hakukoneelle, ja haavoittuvuus antaa käyttäjille mahdollisuuden muokata otsikoita, kuvauksia ja sisällönkuvauskenttiä jopa ilman järjestelmänvalvojan oikeuksia. Tämä vika voidaan ketjuttaa toisella etuoikeuksien laajennusvirheellä (myös korjatulla) injektoidaksesi haitallista JavaScript-koodia sivuston sivuille ja "tekemällä esimerkiksi järjestelmänvalvojan tilin salasanan vaihtaminen jättämään jonkin verran takaovia webisteesi tiedostoihin", Sucuri sanoi.
Joidenkin arvioiden mukaan noin 15 miljoonaa WordPress-sivustoa käyttää All in One SEO -pakettia. Laajennusta hallinnoiva Semper Fi julkaisi korjauksen 2.1.6: ssa viime kuussa.
4. Login Rebuilder v1.2.3 saatavilla
Viime viikon US-CERT Cyber Security Bulletin sisälsi kaksi WordPress-laajennuksiin vaikuttavaa haavoittuvuutta. Ensimmäinen oli Site Rebuilder -laajennuksen sivustojenvälinen väärentämisvirhe, jonka avulla hyökkääjät voivat kaapata mielivaltaisten käyttäjien todennuksen. Pohjimmiltaan, jos käyttäjä katsoi haitallista sivua kirjautuneenaan WordPress-sivustoon, hyökkääjät pystyvät kaappaamaan istunnon. Hyökkäys, joka ei vaadinut todennusta, saattoi johtaa luvattomaan tietojen paljastamiseen, sivuston muokkaamiseen ja häiriöihin kansallisen haavoittuvuustietokannan mukaan.
Versiot 1.2.0 ja vanhemmat ovat haavoittuvia. Kehittäjä 12net julkaisi uuden version 1.2.3 viime viikolla.
5. JW Player v2.1.4 saatavana
Toinen US-CERT-tiedotteeseen sisältyvä ongelma oli sivustojenvälinen JW Player -laajennuksen väärennösten haavoittuvuus. Laajennuksen avulla käyttäjät voivat upottaa Flash- ja HTML5-ääni- ja videoleikkeitä sekä YouTube-istuntoja WordPress-sivustoon. Hyökkääjät pystyvät etäältä kaappaamaan haittaohjelma-sivustoon käyntiin huijattujen järjestelmänvalvojien todennuksen ja poistamaan videosoittimet sivustosta.
Versiot 2.1.3 ja vanhemmat ovat haavoittuvia. Kehittäjä korjasi viime viikolla version 2.1.4 virheen.
Säännölliset päivitykset ovat tärkeitä
Viime vuonna Checkmarx analysoi 50 eniten ladattua laajennusta ja 10 parasta sähköisen kaupan laajennusta WordPressille ja löysi 20 prosentilla laajennuksista yleisiä tietoturvaongelmia, kuten SQL-injektio, sivustojenväliset komentosarjat ja sivustojenvälisten pyyntöjen väärentäminen.
Sucuri varoitti viime viikolla, että "tuhansia" WordPress-sivustoja oli hakkeroitu ja roskapostisivuja lisätty palvelimen wp-sisältyy ydinhakemistoon. "SPAM-sivut ovat piilossa satunnaishakemistossa wp-sisältää", Cid varoitti. Sivut löytyvät esimerkiksi hakemistosta / wp-sisältää / rahoitus / palkkapäivälaina.
Vaikka Sucurilla ei ollut "lopullista näyttöä" näiden sivustojen vaarantumisesta, "lähes kaikissa tapauksissa verkkosivustoilla on vanhentuneita WordPress-asennuksia tai cPanelia", Cid kirjoitti.
WordPressillä on melko kivuton päivitysprosessi laajennuksilleen ja ydintiedostoilleen. Sivustojen omistajien on tarkistettava säännöllisesti päivitykset ja asennettava ne kaikkiin päivityksiin. Kannattaa myös tarkistaa kaikki hakemistot, kuten wp-sisältyy, varmistaaksesi, että tuntemattomat tiedostot eivät ole asuneet.
"Viimeinen asia, jonka verkkosivuston omistaja haluaa, on selvittää myöhemmin, että heidän tuotemerkkiään ja järjestelmäresurssejaan on käytetty vääryyksiin", Cid sanoi.
