Видео: Обзор Invisible reCAPTCHA + Урок по установке (Октября 2024)
Если у вас есть сайт WordPress, убедитесь, что вы остаетесь в курсе обновлений - не только для основной платформы, но и для всех тем и плагинов.
WordPress поддерживает более 70 миллионов веб-сайтов по всему миру, что делает его привлекательной целью для киберпреступников. Злоумышленники часто захватывают уязвимые установки WordPress для размещения страниц со спамом и другого вредоносного контента.
Исследователи обнаружили ряд серьезных уязвимостей в этих популярных плагинах WordPress за последние несколько недель. Проверьте панель администратора и убедитесь, что у вас установлены последние версии.
1. Доступен MailPoet v2.6.7
Исследователи из компании, занимающейся веб-безопасностью Sucuri, обнаружили недостаток удаленной загрузки файлов в MailPoet, плагине, который позволяет пользователям WordPress создавать информационные бюллетени, публиковать уведомления и создавать автоответчики. Ранее известный как wysija-newsletters, плагин был загружен более 1, 7 миллиона раз. Разработчики исправили недостаток в версии 2.6.7. Более ранние версии все уязвимы.
«Эту ошибку следует воспринимать всерьез; она дает потенциальному злоумышленнику возможность делать все, что он хочет, на веб-сайте своей жертвы», - заявил в своем блоге во вторник главный технолог Sucuri Даниэль Сид. «Это позволяет загружать любой файл PHP. Это позволяет злоумышленнику использовать ваш веб-сайт для фишинга, рассылки спама, размещения вредоносных программ, заражения других клиентов (на общем сервере) и т. Д.»
По словам Сукури, эта уязвимость предполагала, что любой, кто делал определенный вызов для загрузки файла, был администратором, фактически не проверяя подлинность пользователя. «Это простая ошибка, - сказал Сид.
2. TimThumb v2.8.14 Доступен
На прошлой неделе исследователь опубликовал сведения о серьезной уязвимости в TimThumb v2.8.13, плагине, который позволяет пользователям автоматически обрезать, масштабировать и изменять размеры изображений. Разработчик TimThumb, Бен Гиллбэнкс, исправил ошибку в версии 2.8.14, которая теперь доступна в Google Code.
Уязвимость была в функции WebShot TimThumb и позволяла злоумышленникам (без аутентификации) удаленно удалять страницы и модифицировать контент, внедряя вредоносный код в уязвимые сайты, согласно анализу Sucuri. WebShot позволяет пользователям захватывать удаленные веб-страницы и преобразовывать их в снимки экрана.
«С помощью простой команды злоумышленник может создавать, удалять и изменять любые файлы на вашем сервере», - пишет Сид.
Поскольку WebShot не включен по умолчанию, это не повлияет на большинство пользователей TimThumb. Тем не менее, риск атак на выполнение удаленного кода остается, поскольку темы, плагины и другие сторонние компоненты WordPress используют TimThumb. На самом деле исследователь Пичая Моримото, который раскрыл недостаток в списке полного раскрытия, сказал, что WordThumb 1.07, плагин галереи WordPress и виджет слайдера постов IGIT, возможно, были уязвимы, а также темы с сайта themify.me.
Если у вас включен WebShot, вы должны отключить его, открыв тему или файл timthumb плагина и установив для WEBSHOT_ENABLED значение false, рекомендуется Sucuri.
На самом деле, если вы все еще используете TimThumb, пришло время подумать о постепенном отказе от него. Недавний анализ, проведенный Incapsula, показал, что 58 процентов всех атак с удаленным включением файлов на сайты WordPress были связаны с TimThumb. Gillbanks не поддерживает TimThumb с 2011 года (чтобы исправить нулевой день), так как основная платформа WordPress теперь поддерживает миниатюры сообщений.
«Я не использовал TimThumb в теме WordPress с тех пор, как в 2011 году использовался предыдущий эксплойт по безопасности TimThumb», - сказал Гиллбэнкс.
3. Все в одном наборе SEO v2.1.6 доступны
В начале июня исследователи Sucuri раскрыли уязвимость повышения привилегий в All in ONE SEO Pack. Плагин оптимизирует сайты WordPress для поисковых систем, а уязвимость позволяет пользователям изменять заголовки, описания и метатеги даже без прав администратора. Эта ошибка может быть связана со вторым недостатком повышения привилегий (также исправленным) для внедрения вредоносного кода JavaScript на страницы сайта и «делать такие вещи, как изменение пароля учетной записи администратора, чтобы оставить какой-то черный ход в файлах вашего веб-сайта», - сказал Сукури.
По некоторым оценкам, около 15 миллионов сайтов WordPress используют SEO-пакет «все в одном». Semper Fi, компания, управляющая плагином, выпустила исправление в 2.1.6 в прошлом месяце.
4. Login Rebuilder v1.2.3 доступен
На прошлой неделе в бюллетень US-CERT Cyber Security были включены две уязвимости, затрагивающие плагины WordPress. Первым был недостаток подделки межсайтовых запросов в плагине Login Rebuilder, который позволял злоумышленникам взломать аутентификацию произвольных пользователей. По сути, если пользователь просматривал вредоносную страницу во время входа на сайт WordPress, злоумышленники смогут захватить сеанс. По данным Национальной базы данных уязвимостей, атака, которая не требует аутентификации, может привести к несанкционированному раскрытию информации, изменению и нарушению работы сайта.
Версии 1.2.0 и более ранние уязвимы. Разработчик 12net выпустил новую версию 1.2.3 на прошлой неделе.
5. Доступен JW Player v2.1.4
Второй проблемой, включенной в бюллетень US-CERT, была уязвимость подделки межсайтовых запросов в плагине JW Player. Плагин позволяет пользователям вставлять Flash и HTML5 аудио и видео клипы, а также сеансы YouTube, на сайт WordPress. Злоумышленники смогут удаленно взломать аутентификацию администраторов, обманувшихся на посещение вредоносного сайта, и удалить видеоплееры с сайта.
Версии 2.1.3 и более ранние уязвимы. На прошлой неделе разработчик исправил ошибку в версии 2.1.4.
Регулярные обновления важны
В прошлом году Checkmarx проанализировала 50 самых загружаемых плагинов и 10 лучших плагинов для электронной коммерции для WordPress и обнаружила распространенные проблемы безопасности, такие как SQL-инъекция, межсайтовый скриптинг и подделка межсайтовых запросов в 20% плагинов.
На прошлой неделе Sucuri предупредил, что «тысячи» сайтов WordPress были взломаны и страницы со спамом добавлены в основной каталог wp-include на сервере. «Страницы СПАМА скрыты в случайном каталоге внутри wp-include», - предупредил Сид. Страницы могут быть найдены, например, в / wp-includes / finance / paydayloan.
Хотя у Sucuri не было «окончательного доказательства» того, как эти сайты были скомпрометированы, «почти во всех случаях веб-сайты используют устаревшие установки WordPress или cPanel», - пишет Сид.
WordPress имеет довольно безболезненный процесс обновления как своих плагинов, так и основных файлов. Владельцы сайта должны регулярно проверять и устанавливать обновления для всех обновлений. Также стоит проверить все каталоги, такие как wp-include, чтобы убедиться, что неизвестные файлы не заняли постоянное место жительства.
«Последнее, что хочет любой владелец веб-сайта, - это узнать позже, что его бренд и системные ресурсы были использованы для гнусных действий», - сказал Сид.
