וִידֵאוֹ: ª (אוֹקְטוֹבֶּר 2024)
אם אתה הבעלים של אתר וורדפרס, וודא שאתה נשאר בעדכונים - לא רק עבור פלטפורמת הליבה, אלא גם עבור כל הנושאים והתוספים.
וורדפרס מחזיקה מעל 70 מיליון אתרי אינטרנט ברחבי העולם, מה שהופך אותה למטרה אטרקטיבית עבור פושעי סייבר. התוקפים חוטפים לעיתים קרובות התקנות וורדפרס פגיעות לארח דפי זבל ותכנים זדוניים אחרים.
חוקרים חשפו מספר פגיעויות חמורות בתוספים הפופולריים של וורדפרס במהלך השבועות האחרונים. בדוק את לוח המחוונים של מנהל המערכת וודא שאתה מותקן בגרסאות האחרונות.
1. MailPoet v2.6.7 זמין
חוקרים מחברת אבטחת הרשת Sucuri מצאו פגם בהעלאת קבצים מרוחקים ב- MailPoet, תוסף שמאפשר למשתמשים בוורדפרס ליצור עלוני מידע, לפרסם התראות וליצור מגיבים אוטומטיים. בעבר היה ידוע בשם עלוני wysija-עלונים, התוסף הורד יותר מ- 1.7 מיליון פעמים. המפתחים תיקנו את הפגם בגירסה 2.6.7. גרסאות קודמות כולן פגיעות.
"יש לקחת את הבאג הזה ברצינות; הוא נותן לפורץ פוטנציאלי את הכוח לעשות כל מה שהוא רוצה באתר הקורבן שלו", אמר דניאל סיד, קצין הטכנולוגי הראשי של סוקורי, ביום שלישי. "זה מאפשר להעלות כל קובץ PHP. זה יכול לאפשר לתוקף להשתמש באתר שלך לצורך פתיונות דיוג, שליחת דואר זבל, אירוח תוכנות זדוניות, הדבקת לקוחות אחרים (בשרת משותף) וכן הלאה!"
הפגיעות הניחה כי כל מי שמבצע את השיחה הספציפית להעלאת הקובץ היה מנהל מערכת, מבלי שבאמת אימת שהמשתמש מאומת, מצא Sucuri. "זו טעות קלה לעשות, " אמר סיד.
2. TimThumb v2.8.14 זמין
בשבוע שעבר פרסמה חוקר פרטים על פגיעות חמורה ב- TimThumb v2.8.13, תוסף שמאפשר למשתמשים לחתוך, להגדיל ולשנות גודל של תמונות באופן אוטומטי. היזם שמאחורי TimThumb, בן גילבנקס, תיקן את הפגם בגרסה 2.8.14, הזמינה כעת ב- Google Code.
הפגיעות הייתה בפונקציה WebShot של TimThumb, ואיפשרה לתוקפים (ללא אימות) להסיר מרחוק דפים ולשנות תוכן על ידי הזרמת קוד זדוני לאתרים פגיעים, על פי ניתוח שנערך על ידי Sucuri. WebShot מאפשר למשתמשים לתפוס דפי אינטרנט מרוחקים ולהמיר אותם לצילומי מסך.
"בעזרת פקודה פשוטה, התוקף יכול ליצור, להסיר ולשנות כל קבצים בשרת שלך, " כתב סיד.
מכיוון ש- WebShot אינו מופעל כברירת מחדל, מרבית משתמשי TimThumb לא יושפעו. עם זאת, הסיכון להתקפות של ביצוע קוד מרחוק נותר מכיוון שעיצובי WordPress, תוספים ורכיבים של צד שלישי אחרים משתמשים ב- TimThumb. למעשה, החוקרת פיצ'יה מורימוטו, שחשפה את הפגם ברשימת הגילוי המלא, אמרה כי WordThumb 1.07, תוסף גלריית וורדפרס ו- widget של מחוון ההודעות IGIT היו אולי פגיעים, כמו גם נושאים מאתר themify.me.
אם הפעלת את WebShot, עליך להשבית אותו על ידי פתיחת קובץ ה- timumn של העיצוב או התוסף והגדרת הערך של WEBSHOT_ENABLED לשווא, המליץ Sucuri.
למעשה, אם אתה עדיין משתמש ב- TimThumb, הגיע הזמן לשקול לשלול אותו. ניתוח שנערך לאחרונה על ידי Incapsula מצא כי 58 אחוזים מכל התקפות הכללת הקבצים המרוחקים נגד אתרי וורדפרס היו מעורבים ב- TimThumb. גילבנקס לא שמר על TimThumb מאז 2011 (כדי לתקן יום אפס) מכיוון שפלטפורמת הליבה של וורדפרס תומכת כעת בתמונות ממוזערות של פוסטים.
"לא השתמשתי ב- TimThumb בנושא של וורדפרס מאז לפני השימוש באבטחה הקודמת של TimThumb בשנת 2011, " אמר גילבנקס.
3. כל חבילה SEO v2.1.6 זמינה
בתחילת יוני חשפו חוקרי סוקורי פגיעות בהסלמת הרשאות ב- All in ONE SEO Pack. התוסף מבצע אופטימיזציה לאתרי וורדפרס עבור מנוע חיפוש, והפגיעות תאפשר למשתמשים לשנות כותרות, תיאורים ומטאטים גם ללא הרשאות מנהל. ניתן לאשר את הבאג הזה עם פגם הסלמה של הרשאות שנייה (קבוע גם הוא) כדי להזרים קוד JavaScript זדוני לדפי האתר ו"יעשה דברים כמו לשנות את סיסמת החשבון של מנהל המערכת כדי להשאיר דלת אחורית בקבצים של האתר שלך, "אמר סוקורי.
על פי כמה הערכות, כ -15 מיליון אתרי וורדפרס משתמשים בחבילת ה- SEO ב- All in One. חברת סמפר פי, החברה המנהלת את התוסף, דחפה בחודש שעבר את התיקון ב 2.1.6.
4. כניסה מחדש Rebuilder v1.2.3 זמין
עלון אבטחת הסייבר US-CERT בשבוע שעבר כלל שתי נקודות תורפה המשפיעות על תוספי וורדפרס. הראשון היה פגם בזיוף בין כל אתרי האינטרנט בתוסף Rebuilder להתחברות, שיאפשר לתוקפים לחטוף את האימות של משתמשים שרירותיים. בעיקרו של דבר, אם משתמש צפה בדף זדוני כשהוא נכנס לאתר וורדפרס, התוקפים יוכלו לחטוף את ההפעלה. התקיפה, שלא דרשה אימות, עלולה לגרום לחשיפה בלתי מורשית של מידע, שינוי ושיבוש של האתר, על פי מאגר המידע הפגיעות הארצי.
גרסאות 1.2.0 ואילך פגיעות יותר. המפתח 12net הוציא בשבוע שעבר גרסה 1.2.3 חדשה.
5. JW Player v2.1.4 זמין
הגיליון השני שנכלל בעלון US-CERT היה פגיעות בזיוף בין אתרים בתוסף JW Player. התוסף מאפשר למשתמשים להטביע קטעי וידיאו ווידאו ווידאו של Flash ו- HTML5, כמו גם הפעלות ביוטיוב, באתר וורדפרס. התוקפים יוכלו לחטוף מרחוק את האימות של מנהלי מערכת שהתרעשו לבקר באתר זדוני ולהסיר את נגני הווידיאו מהאתר.
גרסאות 2.1.3 ואילך פגיעות. היזם תיקן את הפגם בגרסה 2.1.4 בשבוע שעבר.
עדכונים קבועים חשובים
בשנה שעברה ניתח צ'קמארקס את 50 התוספים שהורדו ביותר ואת עשרת התוספים המסחריים האלקטרוניים המובילים עבור וורדפרס ומצא בעיות אבטחה נפוצות כמו הזרקת SQL, סקריפטים בין אתרים וזיוף בקשות חוצות אתרים ב 20 אחוז מהתוספים.
סוקורי הזהיר בשבוע שעבר כי "אלפי" אתרי וורדפרס נפרצו ודפי דואר זבל נוספו לספריית הליבה של wp בשרת. "דפי ה- SPAM מוסתרים בתוך ספריה אקראית בתוך wp-כולל", הזהיר ציד. ניתן למצוא את הדפים תחת / wp-כולל / כספים / יום המשכורת, למשל.
למרות שלסוקורי לא הייתה "הוכחה מוחלטת" לאופן בו נפגעו האתרים הללו, "כמעט בכל מופע, האתרים מפעילים התקנות ופרספרס או cPanel מיושנות", כתב Cid.
ל- WordPress תהליך עדכון ללא כאבים למדי עבור התוספים שלה כמו גם קבצי ליבה. בעלי אתרים נדרשים לבדוק ולהתקין עדכונים באופן קבוע עבור כל העדכונים. כדאי גם לבדוק את כל הספריות, כגון wp-כולל, כדי לוודא שקבצים לא ידועים לא נכנסו למגורים.
"הדבר האחרון שכל בעל אתר רוצה הוא לגלות אחר כך שמשאבי המותג והמערכת שלהם שימשו למעשים מזועזעים, " אמר סיד.
