Видео: WP All Import. Эпизод 1. Начало (Септември 2024)
Ако притежавате сайт на WordPress, уверете се, че сте в течение на актуализациите - не само за основната платформа, но и за всички теми и плъгини.
WordPress овластява над 70 милиона уебсайтове по целия свят, което го прави привлекателна цел за киберпрестъпници. Нападателите често отвличат уязвимите WordPress инсталации, за да хостват спам страници и друго злонамерено съдържание.
Изследователите откриха редица сериозни уязвимости в тези популярни WordPress приставки през последните няколко седмици. Проверете таблото за управление на администратора и се уверете, че имате инсталирани най-новите версии.
1. MailPoet v2.6.7 Наличен
Изследователи от компанията за уеб сигурност Sucuri откриха недостатък при качване на файлове в MailPoet - плъгин, който позволява на потребителите на WordPress да създават бюлетини, да публикуват известия и да създават автоматични отговори. По-рано известен като wysija-бюлетини, плъгинът е изтеглен повече от 1, 7 милиона пъти. Разработчиците кръпкаха недостатъка във версия 2.6.7. По-ранните версии са уязвими.
"Тази грешка трябва да се приеме сериозно; тя дава на потенциалния натрапник силата да прави всичко, което иска на уебсайта на жертвата си", заяви в блог пост във вторник Даниел Сид, главен технологичен директор на Sucuri. „Тя позволява да бъде качен всеки PHP файл. Това може да позволи на атакуващия да използва вашия уебсайт за фишинг примамки, изпращане на СПАМ, хостинг на зловреден софтуер, заразяване на други клиенти (на споделен сървър) и т.н.!“
Уязвимостта предполагаше, че всеки, който прави конкретен разговор за качване на файла, е администратор, без всъщност да проверява дали потребителят е бил удостоверен, установи Sucuri. "Лесна грешка е да се направи", каза Сид.
2. TimThumb v2.8.14 наличен
Миналата седмица изследовател пусна подробности за сериозна уязвимост в TimThumb v2.8.13, плъгин, който позволява на потребителите да изрязват, мащабират и преоразмеряват изображенията автоматично. Програмистът зад TimThumb, Бен Гилбанс, отстрани недостатъка във версия 2.8.14, която вече е достъпна в Google Code.
Уязвимостта беше във функцията WebShot на TimThumb и позволи на атакуващите (без удостоверяване) отдалечено да премахват страници и да променят съдържание чрез инжектиране на злонамерен код в уязвимите сайтове, според анализ на Sucuri. WebShot позволява на потребителите да хващат отдалечени уеб страници и да ги преобразуват в екранни снимки.
"С обикновена команда нападателят може да създава, премахва и променя всички файлове на вашия сървър", написа Cid.
Тъй като WebShot не е активиран по подразбиране, повечето потребители на TimThumb няма да бъдат засегнати. Въпреки това рискът за атаки за отдалечено изпълнение на код остава, тъй като теми, плъгини и други компоненти на трети страни използват WordTress TimThumb. Всъщност изследователят Pichaya Morimoto, който разкри недостатъка в списъка за пълно разкриване, заяви, че WordThumb 1.07, WordPress Gallery Plugin и IGIT Posts Slider Widget са вероятно уязвими, както и теми от сайта themify.me.
Ако сте активирали WebShot, трябва да го деактивирате, като отворите тайм-файла на тема или плъгин и зададете стойността на WEBSHOT_ENABLED на невярно, препоръчва се Sucuri.
Всъщност, ако все още използвате TimThumb, е време да помислите за постепенното му прекратяване. Неотдавнашен анализ на Incapsula установи, че 58 процента от всички атаки за отдалечено включване на файлове срещу WordPress сайтове са участвали TimThumb. Gillbanks не поддържа TimThumb от 2011 г. (за да коригира нула ден), тъй като основната платформа WordPress сега поддържа миниатюри за публикуване.
„Не съм използвал TimThumb в тема на WordPress от предишния експлоатационен период за сигурност на TimThumb през 2011 г.“, каза Gillbanks.
3. Всичко в един SEO Pack v2.1.6 на разположение
В началото на юни изследователите на Sucuri разкриха уязвимост на ескалацията на привилегиите в All in ONE SEO Pack. Плъгинът оптимизира сайтовете на WordPress за търсачката, а уязвимостта ще позволи на потребителите да променят заглавия, описания и метатагове дори без администраторски права. Този бъг може да бъде свързан с втори недостатък за ескалация на привилегиите (също фиксиран), за да се инжектира злонамерен JavaScript код в страниците на сайта и „направи неща като промяна на паролата на акаунта на администратора, за да остави някакво затворено пространство във файловете на уебсайта ви“, каза Сукури.
Според някои оценки около 15 милиона WordPress сайтове използват SEO в пакет. Semper Fi, компанията, която управлява плъгина, изтегли поправка през 2.1.6 миналия месец.
4. Вход Реконструктор v1.2.3 Налични
Миналата седмица в US-CERT бюлетина за киберсигурност бяха включени две уязвимости, засягащи WordPress плъгини. Първият беше недостатък на фалшифициране на искания в сайта в приставката за възстановяване на данни, която ще позволи на нападателите да отвлекат автентичността на произволни потребители. По същество, ако потребителят е гледал злонамерена страница, докато влезе в сайта на WordPress, атакуващите ще могат да отвлекат сесията. Атаката, която не се нуждае от удостоверяване, може да доведе до нерегламентирано разкриване на информация, модификация и прекъсване на сайта, според Националната база данни за уязвимост.
Версии 1.2.0 и по-стари са уязвими. Developer 12net пусна нова версия 1.2.3 миналата седмица.
5. Наличен JW Player v2.1.4
Вторият брой, включен в бюлетина на САЩ-CERT, беше уязвимост на заявката за различни сайтове в приставката за JW Player. Плъгинът позволява на потребителите да вграждат Flash и HTML5 аудио и видео клипове, както и сесии на YouTube, в сайта на WordPress. Нападателите биха могли да отдалечат отвличането на автентичността на администраторите, подмамени да посетят злонамерен сайт и да премахнат видеоплейърите от сайта.
Версии 2.1.3 и по-стари са уязвими. Програмистът отстрани недостатъка във версия 2.1.4 миналата седмица.
Редовните актуализации са важни
Миналата година Checkmarx анализира 50-те най-изтеглени плъгини и топ 10 приставки за електронна търговия за WordPress и намери общи проблеми със сигурността като инжектиране на SQL, скриптове на различни сайтове и подправяне на заявки за уебсайт в 20 процента от плъгините.
Миналата седмица Sucuri предупреди, че "хиляди" сайтове в WordPress са били хакнати и са добавени спам страници в основната директория на сървъра на wp. "Страниците със СПАМ са скрити в произволна директория в wp-включва", предупреди Сид. Страниците могат да бъдат намерени например в / wp-include / finance / paydayloan.
Докато Sucuri не е имал "окончателно доказателство" за това как тези сайтове са били компрометирани, "почти във всеки случай уебсайтовете са с остарели инсталации на WordPress или cPanel", пише Cid.
WordPress има доста безболезнен процес на актуализиране на своите плъгини, както и на основните файлове. Собствениците на сайтове трябва редовно да проверяват и инсталират актуализации за всички актуализации. Също така си струва да проверите всички директории, като wp-include, за да се уверите, че неизвестните файлове не са пребивавали.
„Последното нещо, което всеки собственик на уебсайт иска, е да разбере по-късно, че марката и системните им ресурси са били използвани за коварни действия“, заяви Сид.
