Video: Top 5 Must-Have WordPress Plugins | Yoast SEO | W3 Total Cache | Smush (Oktober 2024)
Hvis du ejer et WordPress-websted, skal du sørge for at holde dig opdateret - ikke kun for kerneplatformen, men også for alle temaer og plugins.
WordPress har mere end 70 millioner websteder rundt om i verden, hvilket gør det til et attraktivt mål for cyberkriminelle. Angribere kaprer ofte sårbare WordPress-installationer til at være vært for spam-sider og andet skadeligt indhold.
Forskere har afsløret en række alvorlige sårbarheder i disse populære WordPress-plugins i de sidste par uger. Kontroller dit administratorpanel, og sørg for, at du har installeret de nyeste versioner.
1. MailPoet v2.6.7 tilgængelig
Forskere fra websikkerhedsfirma Sucuri fandt en fejl ved upload af filer i MailPoet, et plugin, der lader WordPress-brugere oprette nyhedsbreve, sende meddelelser og oprette auto-responders. Tidligere kendt som wysija-nyhedsbreve, pluginet er blevet downloadet mere end 1, 7 millioner gange. Udviklerne lappet fejlen i version 2.6.7. Tidligere versioner er alle sårbare.
"Denne fejl skal tages alvorligt; den giver en potentiel indtrængende magten til at gøre, hvad han vil på sit offer, " sagde Daniel Cid, Sucuris teknologichef, i et blogindlæg tirsdag. "Det giver mulighed for, at enhver PHP-fil uploades. Dette kan give en angriber mulighed for at bruge dit websted til phishing lokker, sende spam, hosting malware, inficere andre kunder (på en delt server) og så videre!"
Sårbarheden antog, at enhver, der foretager det specifikke opkald for at uploade filen, var en administrator, uden at faktisk verificere, at brugeren var godkendt, fandt Sucuri. "Det er en nem fejl at begå, " sagde Cid.
2. TimThumb v2.8.14 tilgængelig
Sidste uge frigav en forsker detaljer om en alvorlig sårbarhed i TimThumb v2.8.13, et plugin, der giver brugerne mulighed for automatisk at beskære, zoome og ændre størrelsen på billeder. Udvikleren bag TimThumb, Ben Gillbanks, rettede fejlen i version 2.8.14, som nu er tilgængelig på Google Code.
Sårbarheden var i WebShot-funktionen af TimThumb, og gjorde det muligt for angribere (uden godkendelse) at fjerne sider fjernet og ændre indhold ved at injicere ondsindet kode på sårbare steder, ifølge en analyse fra Sucuri. WebShot giver brugerne mulighed for at få fat på eksterne websider og konvertere dem til skærmbilleder.
"Med en simpel kommando kan en angriber oprette, fjerne og ændre alle filer på din server, " skrev Cid.
Da WebShot ikke er aktiveret som standard, påvirkes de fleste TimThumb-brugere ikke. Imidlertid forbliver risikoen for angreb på fjernudførelse af kode, fordi WordPress-temaer, plugins og andre tredjepartskomponenter bruger TimThumb. Faktisk sagde forsker Pichaya Morimoto, der afslørede fejlen på listen med fuld afsløring, WordThumb 1.07, WordPress Gallery Plugin og IGIT Posts Slider-widget muligvis sårbare samt temaer fra webstedet themify.me.
Hvis du har WebShot aktiveret, skal du deaktivere det ved at åbne temaet eller plugins timumn-fil og indstille værdien af WEBSHOT_ENABLED til falsk, anbefalede Sucuri.
Hvis du stadig bruger TimThumb, er det tid til at overveje at udfase det. En nylig analyse fra Incapsula fandt, at 58 procent af alle angreb på ekstern fil inkludering mod WordPress-websteder involverede TimThumb. Gillbanks har ikke opretholdt TimThumb siden 2011 (for at fastsætte en nul-dag), da den centrale WordPress-platform nu understøtter post-miniaturer.
"Jeg har ikke brugt TimThumb i et WordPress-tema siden den tidligere sikkerhedsudnyttelse af TimThumb i 2011, " sagde Gillbanks.
3. Alt i én SEO-pak v2.1.6 tilgængelig
I begyndelsen af juni afslørede Sucuri-forskere en sårbarhed over for eskalering af privilegier i Alt i ONE SEO Pack. Plugin optimerer WordPress-websteder til søgemaskiner, og sårbarheden giver brugerne mulighed for at ændre titler, beskrivelser og metatags, selv uden administratorrettigheder. Denne fejl kan være bundet med en anden eskalationsfejl til privilegiet (også rettet) for at injicere ondsindet JavaScript-kode på webstedets sider og "gøre ting som at ændre administratorens kontoadgangskode til at efterlade nogle bagdør i dine webists filer, " sagde Sucuri.
Ifølge nogle estimater bruger ca. 15 millioner WordPress-websteder All in One SEO Pack. Semper Fi, firmaet, der administrerer plugin, skubbede ud en rettelse i 2.1.6 i sidste måned.
4. Login Rebuilder v1.2.3 tilgængelig
Sidste uges US-CERT Cyber Security Bulletin inkluderede to sårbarheder, der påvirker WordPress-plugins. Den første var en fejl på tværs af anmodning om forfalskning i plugin til login-rebuilder, som gjorde det muligt for angribere at kapre autentificering af vilkårlige brugere. I det væsentlige, hvis en bruger har set en ondsindet side, når han var logget ind på WordPress-webstedet, ville angribere være i stand til at kapre sessionen. Angrebet, som ikke krævede godkendelse, kunne resultere i uautoriseret videregivelse af information, ændring og forstyrrelse af webstedet i henhold til den nationale sårbarhedsdatabase.
Version 1.2.0 og tidligere er sårbare. Udvikler 12net frigav en ny version 1.2.3 i sidste uge.
5. JW Player v2.1.4 tilgængelig
Det andet nummer inkluderet i US-CERT-bulletin var en sårbarhed på tværs af anmodning om forfalskning i plug-in JW Player. Plugin giver brugere mulighed for at integrere Flash- og HTML5-lyd- og videoklip såvel som YouTube-sessioner på WordPress-webstedet. Angribere ville være i stand til eksternt at kapre godkendelsen af administratorer, der narrede til at besøge et ondsindet websted og fjerne videospillere fra stedet.
Version 2.1.3 og tidligere er sårbare. Udvikleren rettede fejlen i version 2.1.4 i sidste uge.
Regelmæssige opdateringer er vigtige
Sidste år analyserede Checkmarx de 50 mest downloadede plugins og top 10 e-handel plugins til WordPress og fandt almindelige sikkerhedsproblemer som SQL-injektion, scripting på tværs af websteder og forfalskning på tværs af websteder i 20 procent af plugins.
Sucuri i sidste uge advarede om, at "tusinder" af WordPress-websteder var blevet hacket, og spam-sider blev tilføjet til wp-inkluderer hovedmappen på serveren. "SPAM-siderne er skjult i en tilfældig mappe inde i wp-inkluderer, " advarede Cid. Siderne kan f.eks. Findes under / wp-inkluderer / finans / lønningsdag.
Mens Sucuri ikke havde "endeligt bevis" på, hvordan disse websteder blev kompromitteret, "kører webstederne i næsten alle tilfælde forældede WordPress-installationer eller cPanel, " skrev Cid.
WordPress har en temmelig smertefri opdateringsproces til sine plugins såvel som kernefiler. Webstedsejere skal regelmæssigt tjekke for og installere opdateringer for alle opdateringer. Det er også værd at kontrollere alle biblioteker, såsom wp-inkluderer, for at sikre, at ukendte filer ikke har taget ophold.
"Den sidste ting, som enhver websideejer ønsker, er at finde ud af senere, at deres brand og systemressourcer er blevet brugt til ubehagelige handlinger, " sagde Cid.
