Video: Nastavení aktualizací pro Windows 10 | EduTV (Listopad 2024)
Pokud vlastníte web WordPress, ujistěte se, že zůstáváte na vrcholu aktualizací - nejen pro základní platformu, ale také pro všechna témata a doplňky.
WordPress ovládá více než 70 milionů webových stránek po celém světě, což z něj činí atraktivní cíl pro počítačové zločince. Útočníci často unesou zranitelné instalace WordPress pro hostování spamových stránek a jiného škodlivého obsahu.
Vědci odhalili řadu závažných zranitelností v těchto oblíbených pluginech WordPress za posledních několik týdnů. Zkontrolujte panel administrátora a ujistěte se, že máte nainstalované nejnovější verze.
1. K dispozici MailPoet v2.6.7
Vědci z firmy Web Security Sucuri našli chybu v odesílání souborů v MailPoet, zásuvném modulu, který umožňuje uživatelům WordPress vytvářet informační bulletiny, zasílat oznámení a vytvářet automatické odpovědi. Dříve známý jako zpravodaje wysija, byl plugin stažen více než 1, 7 milionukrát. Vývojáři opravili chybu ve verzi 2.6.7. Starší verze jsou zranitelné.
"Tato chyba by měla být brána vážně; dává potenciálnímu vetřelci moc dělat všechno, co chce, na webových stránkách své oběti, " řekl Daniel Cid, hlavní technologický ředitel Sucuri, uvedl v úterý blogový příspěvek. „Umožňuje nahrát jakýkoli soubor PHP. To může útočníkovi umožnit použít váš web k phishingovým nástrahám, odesílání SPAM, hostování malwaru, infikování dalších zákazníků (na sdíleném serveru) atd.!“
Zranitelnost předpokládala, že kdokoli, kdo provádí konkrétní volání, aby nahrál soubor, byl správcem, aniž by ve skutečnosti ověřil, že uživatel byl ověřen, zjistil Sucuri. „Je snadné udělat chybu, “ řekl Cid.
2. K dispozici TimThumb v2.8.14
Minulý týden výzkumník vydal podrobnosti o vážné zranitelnosti v TimThumb v2.8.13, což je plugin, který umožňuje uživatelům automaticky ořezávat, přibližovat a měnit velikost obrázků. Vývojář za TimThumb, Ben Gillbanks, opravil chybu ve verzi 2.8.14, která je nyní k dispozici v Google Code.
Tato chyba zabezpečení byla ve funkci WebShot TimThumb a umožnila útočníkům (bez autentizace) vzdáleně odebírat stránky a upravovat obsah injekcí škodlivého kódu na zranitelné weby, podle analýzy společnosti Sucuri. WebShot umožňuje uživatelům uchopit vzdálené webové stránky a převést je na snímky obrazovky.
„Útočník může jednoduchým příkazem vytvářet, odebírat a upravovat všechny soubory na serveru, “ napsal Cid.
Protože produkt WebShot není ve výchozím nastavení povolen, nebude většina uživatelů TimThumb ovlivněna. Riziko útoků na vzdálené spuštění kódu však zůstává, protože motivy WordPress, pluginy a další komponenty třetích stran používají TimThumb. Ve skutečnosti výzkumník Pichaya Morimoto, který odhalil chybu na seznamu Úplné zveřejnění, řekl, že WordThumb 1.07, WordPress Gallery Plugin a IGIT Posts Slider Widget jsou pravděpodobně zranitelní, stejně jako témata z webu themify.me.
Pokud máte povolený WebShot, měli byste jej deaktivovat otevřením souboru timthumb motivu nebo pluginu a nastavením hodnoty WEBSHOT_ENABLED na false, doporučuje Sucuri.
Vlastně, pokud stále používáte TimThumb, je čas zvážit postupné ukončení. Nedávná analýza Incapsula zjistila, že 58 procent všech vzdálených útoků zahrnutí souborů proti webům WordPress zahrnovalo TimThumb. Gillbanks neudržuje TimThumb od roku 2011 (opravit nulový den), protože základní platforma WordPress nyní podporuje miniatury příspěvků.
„TimThumb jsem v tématu WordPress nepoužíval od té doby, než v roce 2011 došlo k předchozímu zneužití zabezpečení TimThumb, “ řekl Gillbanks.
3. K dispozici vše v jednom balíčku SEO v2.1.6
Začátkem června odhalili vědci Sucuri chybu zranitelnosti v balíčku All in ONE SEO Pack. Plugin optimalizuje weby WordPress pro vyhledávač a díky této chybě zabezpečení mohou uživatelé upravovat názvy, popisy a metaznačky i bez oprávnění správce. Tato chyba by mohla být zřetězena druhou chybou eskalace eskalací (také opravena), která by vložila škodlivý kód JavaScript na stránky webu a „udělala věci, jako je změna hesla účtu administrátora, aby zanechala nějaké backdoor v souborech vašeho webu, “ řekl Sucuri.
Podle některých odhadů asi 15 milionů webů WordPress používá balíček SEO All in One. Semper Fi, společnost spravující plugin, minulý měsíc vytáhla opravu v 2.1.6.
4. Přihlášení Rebuilder v1.2.3 K dispozici
Minulý týden Bulletin o kybernetické bezpečnosti USA-CERT zahrnoval dvě chyby zabezpečení ovlivňující pluginy WordPress. Prvním z nich byla chyba v padělání požadavku napříč webem v zásuvném modulu Login Rebuilder, který by útočníkům umožnil unést autentizaci libovolných uživatelů. Pokud by si uživatel při přihlášení na web WordPress prohlížel škodlivou stránku, útočníci by mohli relaci unést. Útok, který nevyžadoval ověření, by mohl vést k neoprávněnému prozrazení informací, úpravám a narušení webu podle Národní databáze zranitelností.
Verze 1.2.0 a starší jsou zranitelné. Developer 12net minulý týden vydal novou verzi 1.2.3.
5. K dispozici přehrávač JW Player v2.1.4
Druhým problémem zahrnutým v bulletinu US-CERT byla zranitelnost falešných požadavků mezi weby v zásuvném modulu JW Player. Plugin umožňuje uživatelům vkládat zvukové a videoklipy Flash a HTML5, jakož i relace YouTube, na web WordPress. Útočníci by mohli vzdáleně unést autentizaci správců, kteří se pokusili navštěvovat škodlivé stránky a odstranit z nich přehrávače videa.
Verze 2.1.3 a starší jsou zranitelné. Vývojář opravil chybu ve verzi 2.1.4 minulý týden.
Pravidelné aktualizace jsou důležité
V loňském roce společnost Checkmarx analyzovala 50 nejstahovanějších pluginů a 10 nejlepších zásuvných modulů elektronického obchodování pro WordPress a ve 20 procentech pluginů našla běžné bezpečnostní problémy, jako je injekce SQL, skriptování mezi weby a padělání žádostí mezi weby.
Sucuri minulý týden varoval, že „tisíce“ webů WordPress byly napadeny a spamové stránky byly přidány do základního adresáře wp na serveru. „Stránky SPAM jsou skryté uvnitř náhodného adresáře uvnitř wp-include, “ varoval Cid. Stránky lze najít například na stránce / wp-include / finance / paydayloan.
Přestože Sucuri neměla „definitivní důkaz“ o tom, jak byly tyto weby ohroženy, „téměř ve všech případech jsou na webových stránkách spuštěny zastaralé instalace WordPress nebo cPanel, “ napsal Cid.
WordPress má poměrně bezbolestný proces aktualizace pro své pluginy i základní soubory. Majitelé stránek musí pravidelně kontrolovat a instalovat aktualizace všech aktualizací. Rovněž se vyplatí zkontrolovat všechny adresáře, například wp-include, abyste se ujistili, že neznámé soubory nezískaly bydliště.
„Poslední věcí, kterou chce majitel webových stránek, je zjistit, že jejich značka a systémové zdroje byly použity na nekalé činy, “ řekl Cid.
