Video: Bonjour Plugin #17 🔌 - WP Notification Bars, pour créer vos barres de notifications WordPress (September 2024)
Om du äger en WordPress-webbplats, se till att du håller dig uppdaterad - inte bara för kärnplattformen, utan också för alla teman och plugins.
WordPress driver över 70 miljoner webbplatser runt om i världen, vilket gör det till ett attraktivt mål för cyberbrottslingar. Angripare kapar ofta utsatta WordPress-installationer för att vara värd för skräppostsidor och annat skadligt innehåll.
Forskare har upptäckt ett antal allvarliga sårbarheter i dessa populära WordPress-plugins under de senaste veckorna. Kontrollera administratörens instrumentbräda och se till att du har installerat de senaste versionerna.
1. MailPoet v2.6.7 tillgänglig
Forskare från webbsäkerhetsföretaget Sucuri hittade en fjärrfiler för uppladdning av filer i MailPoet, en plugin som låter WordPress-användare skapa nyhetsbrev, postmeddelanden och skapa auto-responders. Tidigare känd som wysija-nyhetsbrev har plugin laddats ner mer än 1, 7 miljoner gånger. Utvecklarna lappade felet i version 2.6.7. Tidigare versioner är alla sårbara.
"Det här felet bör tas på allvar. Det ger en potentiell inkräktare kraften att göra vad han vill på sitt offer webbplats", sa Daniel Cid, Sucuris teknikchef, i ett blogginlägg tisdag. "Det tillåter att alla PHP-filer laddas upp. Detta kan göra det möjligt för en angripare att använda din webbplats för phishing-lock, skicka skräppost, vara värd för skadlig programvara, infektera andra kunder (på en delad server) och så vidare!"
Sårbarheten antog att någon som ringde det specifika samtalet för att ladda upp filen var en administratör utan att verifiera att användaren var autentiserad, fann Sucuri. "Det är ett enkelt misstag att göra", sa Cid.
2. TimThumb v2.8.14 tillgänglig
Förra veckan släppte en forskare detaljer om en allvarlig sårbarhet i TimThumb v2.8.13, ett plugin som låter användare beskära, zooma och ändra storlek på bilder automatiskt. Utvecklaren bakom TimThumb, Ben Gillbanks, fixade bristen i version 2.8.14, som nu finns tillgänglig på Google Code.
Sårbarheten var i WebShot-funktionen i TimThumb och tillät angripare (utan verifiering) att fjärr ta bort sidor och ändra innehåll genom att injicera skadlig kod på sårbara webbplatser, enligt en analys av Sucuri. WebShot låter användare ta tag i fjärrsidor och konvertera dem till skärmdumpar.
"Med ett enkelt kommando kan en angripare skapa, ta bort och ändra alla filer på din server, " skrev Cid.
Eftersom WebShot inte är aktiverat som standard påverkas de flesta TimThumb-användare inte. Men risken för exekveringsattacker för fjärrkod kvarstår eftersom WordPress-teman, plugins och andra tredjepartskomponenter använder TimThumb. Faktum är att forskaren Pichaya Morimoto, som avslöjade bristen på listan med fullständig avslöjande, sa att WordThumb 1.07, WordPress Gallery Plugin och IGIT Posts Slider Widget var möjligen sårbara, liksom teman från webbplatsen themify.me.
Om du har WebShot aktiverat, bör du inaktivera det genom att öppna temat eller plugins timumn-fil och ställa in värdet på WEBSHOT_ENABLED till falsk, rekommenderade Sucuri.
Egentligen, om du fortfarande använder TimThumb, är det dags att överväga att avveckla det. En nyligen genomförd analys av Incapsula fann att 58 procent av alla attacker för fjärranslutning av filer mot WordPress-webbplatser involverade TimThumb. Gillbanks har inte upprätthållit TimThumb sedan 2011 (för att fixa en nolldag) eftersom den grundläggande WordPress-plattformen nu stöder postminiatyrer.
"Jag har inte använt TimThumb i ett WordPress-tema sedan före det tidigare säkerhetsutnyttjandet av TimThumb 2011, " sa Gillbanks.
3. Allt i ett SEO-paket v2.1.6 tillgängligt
I början av juni avslöjade Sucuri-forskare en sårbarhet för privilegieringsupptrappning i All in ONE SEO Pack. Pluginet optimerar WordPress-webbplatser för sökmotorer, och sårbarheten skulle göra det möjligt för användare att ändra titlar, beskrivningar och metatags även utan administratörsbehörighet. Detta fel kan kedjas med en andra upptrappningsfel för privilegier (även fixad) för att injicera skadlig JavaScript-kod på webbplatsens sidor och "göra saker som att ändra administratörens kontolösenord för att lämna lite bakdörr i dina webists filer", säger Sucuri.
Enligt vissa uppskattningar använder cirka 15 miljoner WordPress-webbplatser allt i ett SEO-paket. Semper Fi, företaget som hanterar plugin-programmet, drev ut en fix i 2.1.6 förra månaden.
4. Logga in Rebuilder v1.2.3 tillgängligt
Förra veckans US-CERT Cyber Security Bulletin inkluderade två sårbarheter som påverkar WordPress-plugins. Den första var en felaktig begäran om förfalskning i webbplatsen i Plugin för inloggningsuppbyggare som skulle göra det möjligt för angripare att kapa autentiseringen av godtyckliga användare. I huvudsak, om en användare tittade på en skadlig sida när han var inloggad på WordPress-webbplatsen, skulle angripare kunna kapa sessionen. Attacken, som inte krävde autentisering, kan resultera i obehörig avslöjande av information, ändring och störning av webbplatsen, enligt National Vulnerability Database.
Version 1.2.0 och tidigare är sårbara. Developer 12net släppte en ny version 1.2.3 förra veckan.
5. JW Player v2.1.4 tillgänglig
Det andra problemet som ingick i US-CERT-bulletinen var en sårbarhet på platsbegäran för förfalskning i JW Player-insticksprogrammet. Plugin gör att användare kan bädda in Flash- och HTML5-ljud- och videoklipp, liksom YouTube-sessioner, på WordPress-webbplatsen. Angripare skulle kunna fjärrkapa autentiseringen av administratörer som luras att besöka en skadlig webbplats och ta bort videospelarna från webbplatsen.
Version 2.1.3 och tidigare är sårbara. Utvecklaren fixade felet i version 2.1.4 förra veckan.
Regelbundna uppdateringar är viktiga
Förra året analyserade Checkmarx de 50 mest nedladdade plugins och topp 10 e-handelsplugins för WordPress och hittade vanliga säkerhetsproblem som SQL-injektion, skript på flera webbplatser och förfalskning på flera webbplatser i 20 procent av plugins.
Sucuri förra veckan varnade för att "tusentals" WordPress-webbplatser hade hackats och skräppost-sidor lagts till i wp-inkluderande kärnkatalogen på servern. "SPAM-sidorna är dolda i en slumpmässig katalog inuti wp-inkluderar, " varnade Cid. Sidorna finns till exempel under / wp-inkluderar / ekonomi / lönedag.
Medan Sucuri inte hade "definitivt bevis" på hur dessa webbplatser komprometterades, "i nästan alla fall kör webbplatserna föråldrade WordPress-installationer eller cPanel, " skrev Cid.
WordPress har en ganska smärtfri uppdateringsprocess för sina plugins samt kärnfiler. Webbplatsägare måste regelbundet leta efter och installera uppdateringar för alla uppdateringar. Det är också värt att kolla igenom alla kataloger, till exempel wp-inkluderar, för att se till att okända filer inte har tagit hem.
"Det sista som en webbplatsägare vill är att ta reda på senare att deras varumärkes- och systemresurser har använts för onda handlingar, " sade Cid.
