Video: What's Coming in WordPress 5.5 (Nobyembre 2024)
Kung nagmamay-ari ka ng isang WordPress site, tiyaking nananatili ka sa tuktok ng mga pag-update - hindi lamang para sa pangunahing platform, kundi para sa lahat ng mga tema at plugin.
Ang mga kapangyarihan ng WordPress na higit sa 70 milyong mga Website sa buong mundo, na ginagawang isang kaakit-akit na target para sa mga cyber-criminal. Ang mga pag-atake ay madalas na nag-hijack ng mahina na pag-install ng WordPress upang mag-host ng mga pahina ng spam at iba pang mga nakakahamak na nilalaman.
Natuklasan ng mga mananaliksik ang isang bilang ng mga malubhang kahinaan sa mga tanyag na plugin ng WordPress sa nakaraang ilang linggo. Suriin ang iyong dashboard ng administrator at tiyaking na-install ang pinakabagong mga bersyon.
1. MailPoet v2.6.7 Magagamit
Ang mga mananaliksik mula sa kumpanya ng seguridad ng Web na si Sucuri ay natagpuan ang isang malayuang pag-upload ng file sa MailPoet, isang plugin na nagpapahintulot sa mga gumagamit ng WordPress na lumikha ng mga newsletter, post ng mga abiso, at lumikha ng mga auto-responder. Dati kasing kilala bilang wysija-newsletter, ang plugin ay na-download ng higit sa 1.7 milyong beses. Ang mga developer ay naka-patch ang kapintasan sa bersyon 2.6.7. Mas maaga bersyon ay lahat mahina laban.
"Ang bug na ito ay dapat na isinasaalang-alang; nagbibigay ito ng isang potensyal na intruder na gawin ang anumang nais niya sa website ng kanyang biktima, " sinabi ni Daniel Cid, punong opisyal ng teknolohiya ng Sucuri, sa isang post sa blog noong Martes. "Pinapayagan nito na ma-upload ang anumang file ng PHP. Maaari nitong payagan ang isang umaatake na gamitin ang iyong website para sa mga phishing lures, pagpapadala ng SPAM, pagho-host ng malware, na nakakahawa sa iba pang mga customer (sa isang ibinahaging server), at iba pa!"
Ipinapalagay ng kahinaan ang sinumang gumawa ng tukoy na tawag upang mag-upload ng file ay isang tagapangasiwa, nang hindi tunay na nagpapatunay na ang gumagamit ay napatunayan, natagpuan ni Sucuri. "Ito ay isang madaling pagkakamali na magawa, " sabi ni Cid.
2. TimThumb v2.8.14 Magagamit
Noong nakaraang linggo, ang isang mananaliksik ay naglabas ng mga detalye ng isang malubhang kahinaan sa TimThumb v2.8.13, isang plugin na nagpapahintulot sa mga gumagamit na mag-crop, mag-zoom, at awtomatikong baguhin ang laki ng mga imahe. Ang developer sa likod ng TimThumb, Ben Gillbanks, naayos ang kapintasan sa bersyon 2.8.14, na magagamit na ngayon sa Google Code.
Ang kahinaan ay nasa pag-andar ng WebShot ng TimThumb, at pinahintulutan ang mga umaatake (nang walang pagpapatunay) na alisin ang layo ng mga pahina at baguhin ang nilalaman sa pamamagitan ng pag-iniksyon ng malisyosong code sa mga mahina na site, ayon sa isang pagsusuri ni Sucuri. Pinapayagan ng WebShot ang mga gumagamit na kumuha ng malayuang mga pahina ng Web at i-convert ang mga ito sa mga screenshot.
"Sa pamamagitan ng isang simpleng utos, ang isang magsasalakay ay maaaring lumikha, alisin at baguhin ang anumang mga file sa iyong server, " sumulat si Cid.
Dahil hindi pinapagana ng default ang WebShot, ang karamihan sa mga gumagamit ng TimThumb ay hindi maaapektuhan. Gayunpaman, ang panganib para sa mga pag-atake ng remote code na pagpapatupad ay nananatili dahil ang mga tema ng WordPress, plugin, at iba pang mga bahagi ng third-party ay gumagamit ng TimThumb. Sa katunayan, ang mananaliksik na si Pichaya Morimoto, na ibunyag ang kapintasan sa listahan ng Buong Pagbubunyag, sinabi WordThumb 1.07, WordPress Gallery Plugin, at IGIT Post Slider Widget ay posibleng mahina, pati na rin ang mga tema mula sa site ng themify.me.
Kung pinagana mo ang WebShot, dapat mong huwag paganahin ito sa pamamagitan ng pagbubukas ng tema o timthumb file ng plugin at itakda ang halaga ng WEBSHOT_ENABLED sa maling, inirerekomenda ni Sucuri.
Sa totoo lang, kung gumagamit ka pa rin ng TimThumb, oras na upang isaalang-alang ang pagpapalabas nito. Ang isang kamakailang pagsusuri sa pamamagitan ng Incapsula ay natagpuan na 58 porsyento ng lahat ng mga pag-atake ng pagsasama ng malalayong file laban sa mga site ng WordPress na kasangkot sa TimThumb. Hindi napapanatili ng Gillbanks ang TimThumb mula noong 2011 (upang ayusin ang isang zero-day) dahil sinusuportahan na ngayon ng pangunahing platform ng WordPress ang mga post na thumbnail.
"Hindi ko pa ginagamit ang TimThumb sa isang tema ng WordPress mula pa bago ang pagsasamantala sa seguridad ng TimThumb noong 2011, " sabi ni Gillbanks.
3. Lahat ng sa Isang SEO Pack v2.1.6 Magagamit
Noong unang bahagi ng Hunyo, ang mga mananaliksik ng Sucuri ay nagsiwalat ng isang pribilehiyo na pagkabulok ng paglalaas sa Lahat sa ISA sa SEO Pack. Ang plugin ay nag-optimize ng mga site ng WordPress para sa search engine, at ang kahinaan ay magbibigay-daan sa mga gumagamit na baguhin ang mga pamagat, paglalarawan at metatag kahit na walang mga pribilehiyo ng administrator. Ang bug na ito ay maaaring makulong sa isang pangalawang pribilehiyo na pagkalugi ng tama (naayos din) upang mag-iniksyon ng malisyosong code ng JavaScript sa mga pahina ng site at "gawin ang mga bagay tulad ng pagpapalit ng password ng account ng admin upang mag-iwan ng ilang mga backdoor sa mga file ng iyong webiste, " sinabi ni Sucuri.
Ayon sa ilang mga pagtatantya, mga 15 milyong mga site ng WordPress ang gumagamit ng All in One SEO Pack. Si Semper Fi, ang kumpanya na namamahala sa plugin, ay nagtulak sa isang pag-aayos sa 2.1.6 noong nakaraang buwan.
4. Mag-login Rebuilder v1.2.3 Magagamit
Noong nakaraang linggo ang US-CERT Cyber Security Bulletin ay may kasamang dalawang kahinaan na nakakaapekto sa mga plugin ng WordPress. Ang una ay isang kahilingan sa cross-site na kahilingan sa pagtawad sa isang plugin ng Login Rebuilder na magpapahintulot sa mga umaatake na i-hijack ang pagpapatotoo ng mga di-makatwirang mga gumagamit. Mahalaga, kung tiningnan ng isang gumagamit ang isang nakakahamak na pahina habang naka-log in sa WordPress site, mai-hijack ng mga umaatake ang session. Ang pag-atake, na hindi nangangailangan ng pagpapatunay, ay maaaring magresulta sa hindi awtorisadong pagsisiwalat ng impormasyon, pagbabago, at pagkagambala sa site, ayon sa National Vulnerability Database.
Mga Bersyon 1.2.0 at mas maaga ay mahina. Inilabas ng developer 12net ang isang bagong bersyon 1.2.3 noong nakaraang linggo.
5. JW Player v2.1.4 Magagamit
Ang pangalawang isyu na kasama sa bulletin ng US-CERT ay isang kahilingan sa cross-site na kahinaan sa pagkalimot sa plugin ng JW Player. Pinapayagan ng plugin ang mga gumagamit na mag-embed ng Flash at HTML5 audio at video clip, pati na rin ang mga sesyon sa YouTube, sa WordPress site. Ang mga magsasalakay ay makaka-hiwalay sa pag-hijack ng pagpapatunay ng mga administrador na na-trick sa pagbisita sa isang nakakahamak na site at alisin ang mga manlalaro ng video mula sa site.
Ang mga Bersyon 2.1.3 at mas maaga ay mahina. Inayos ng developer ang kapintasan sa bersyon 2.1.4 noong nakaraang linggo.
Mahalaga ang Regular na Update
Noong nakaraang taon, sinuri ng Checkmarx ang 50 pinaka-download na mga plugin at nangungunang 10 e-commerce na plugin para sa WordPress at natagpuan ang mga karaniwang isyu sa seguridad tulad ng SQL injection, cross-site script, at cross-site na kahilingan sa pagtawad sa 20 porsiyento ng mga plugin.
Nagbabala si Sucuri noong nakaraang linggo na ang "libu-libo" ng mga site ng WordPress ay na-hack at ang mga pahina ng spam na idinagdag sa wp-kasama ang direktoryo ng core sa server. "Ang mga pahina ng SPAM ay nakatago sa loob ng isang random na direktoryo sa loob ng wp-kasama, " babala ni Cid. Ang mga pahina ay maaaring matagpuan sa ilalim ng / wp-kasama / pananalapi / paydayloan, halimbawa.
Habang si Sucuri ay walang "tiyak na patunay" kung paano nakompromiso ang mga site na ito, "sa halos lahat ng pagkakataon, ang mga website ay tumatakbo sa lipas na pag-install ng WordPress o cPanel, " sulat ni Cid.
Ang WordPress ay may isang medyo walang sakit na pag-update na proseso para sa mga plugin nito pati na rin ang mga pangunahing file. Kailangang regular na suriin at mai-install ng mga may-ari ng site ang mga pag-update para sa lahat ng mga update. Sulit din ang pagsuri sa lahat ng mga direktoryo, tulad ng wp-kasama, upang matiyak na hindi alam ang mga hindi kilalang mga file.
"Ang pinakahuling bagay na nais ng isang may-ari ng website ay alamin mamaya na ang kanilang mga tatak at sistema ng mapagkukunan ay ginamit para sa mga hindi magagandang gawain, " sabi ni Cid.
