П’ять плагін Wordpress, які ви повинні оновити зараз

Якщо у вас є веб-сайт WordPress, переконайтеся, що ви залишаєтеся в курсі оновлень - не лише для основної платформи, але й для всіх тем і плагінів.

WordPress працює над 70 мільйонами веб-сайтів по всьому світу, що робить його привабливою ціллю для кібер-злочинців. Зловмисники часто викрадають уразливі установки WordPress для розміщення спам-сторінок та іншого шкідливого вмісту.

Протягом останніх тижнів дослідники виявили ряд серйозних уразливостей цих популярних плагінів WordPress. Перевірте інформаційну панель адміністратора і переконайтеся, що у вас встановлені останні версії.

1. MailPoet v2.6.7 Доступний

Дослідники компанії веб-безпеки Sucuri виявили недолік завантаження файлів у віддаленому файлі у MailPoet, плагіні, який дозволяє користувачам WordPress створювати інформаційні бюлетені, публікувати повідомлення та створювати автоматичні відповіді. Раніше відомий як wysija-бюлетені, плагін завантажено більше 1, 7 мільйона разів. Розробники виправили недолік у версії 2.6.7. Більш ранні версії всі вразливі.

"Цю помилку слід сприймати серйозно; вона дає потенційному зловмиснику можливість робити все, що завгодно, на веб-сайті своєї жертви", - заявив у вівторок у своєму блозі головний керівник відділу технології Сукурі Даніель Сід. "Це дозволяє завантажувати будь-який файл PHP. Це може дозволити зловмиснику використовувати ваш веб-сайт для фішинг-приманки, надсилання SPAM, розміщення зловмисного програмного забезпечення, інфікування інших клієнтів (на спільному сервері) тощо".

Сукурі виявив, що вразливість передбачає, що кожен, хто робив конкретний виклик для завантаження файлу, був адміністратором, не підтверджуючи справжність користувача. "Це легко зробити помилку", - сказав Сид.

2. TimThumb v2.8.14 Доступний

Минулого тижня дослідник оприлюднив деталі серйозної вразливості у TimThumb v2.8.13, плагіні, який дозволяє користувачам автоматично обрізати, масштабувати та змінювати розміри зображень. Розробник, що стоїть за TimThumb, Бен Гіллбанкс, усунув недолік у версії 2.8.14, яка тепер доступна в Google Code.

Аналіз Sucuri показав, що вразливість була функцією WebShot від TimThumb та дозволила зловмисникам (без автентифікації) віддалено видаляти сторінки та змінювати вміст, вводячи шкідливий код на вразливі сайти. WebShot дозволяє користувачам захоплювати віддалені веб-сторінки та конвертувати їх у скріншоти.

"За допомогою простої команди зловмисник може створювати, видаляти та змінювати будь-які файли на вашому сервері", - написав Cid.

Оскільки WebShot не включений за замовчуванням, на більшість користувачів TimThumb це не вплине. Однак ризик для віддалених атак виконання коду залишається, оскільки теми, плагіни та інші сторонні компоненти WordPress використовують TimThumb. Насправді, дослідник Піхая Морімото, який виявив недолік у списку повного розкриття, заявив, що WordThumb 1, 07, плагін WordPress Gallery та плагін IGIT Posts Slider Widget, можливо, вразливі, а також теми з сайту themify.me.

Якщо у вас увімкнено WebShot, слід вимкнути його, відкривши файл темпуту теми або плагіну та встановивши значення WEBSHOT_ENABLED на помилкове, рекомендується Sucuri.

Насправді, якщо ви все ще використовуєте TimThumb, саме час розглянути можливість його припинення. Нещодавній аналіз Incapsula виявив, що 58 відсотків усіх віддалених атак включення файлів на WordPress сайти залучали TimThumb. Gillbanks не підтримує TimThumb з 2011 року (щоб виправити нульовий день), оскільки основна платформа WordPress тепер підтримує ескізи.

"Я не використовував TimThumb в темі WordPress ще до попереднього експлуатації безпеки TimThumb у 2011 році", - сказав Гіллбанкс.

3. Доступно все в одному пакеті v2.1.6

На початку червня дослідники Sucuri виявили вразливість ескалації привілеїв у програмі All in ONE SEO Pack. Плагін оптимізує сайти WordPress для пошукової системи, і вразливість дозволить користувачам змінювати заголовки, описи та метатеги навіть без прав адміністратора. Ця помилка може бути пов’язана з другим недоліком ескалації привілеїв (також виправленим) для введення зловмисного коду JavaScript на сторінки сайту та "зробіть такі дії, як зміна пароля облікового запису адміністратора, щоб залишити якийсь задній пристрій у файлах веб-вашої веб-системи", - сказав Сукурі.

За деякими підрахунками, близько 15 мільйонів сайтів WordPress використовують пакет SEO все в одному. Semper Fi, компанія, що управляє плагіном, випустила виправлення в 2.1.6 минулого місяця.

4. Увійти Реконструктор v1.2.3

У Бюлетені кібербезпеки США-CERT минулого тижня було включено дві вразливості, що впливають на плагіни WordPress. Перший - це помилка підробки між веб-сайтом у плагіні Login Rebuilder, який дозволив зловмисникам захопити автентифікацію довільних користувачів. По суті, якщо користувач переглянув шкідливу сторінку під час входу на сайт WordPress, зловмисники зможуть захопити сеанс. Атака, яка не потребувала автентифікації, може призвести до несанкціонованого розголошення інформації, модифікації та зриву сайту, згідно з Національною базою даних про вразливість.

Версії 1.2.0 і новіші версії є вразливими. Минулого тижня Developer 12net випустив нову версію 1.2.3.

5. Доступний JW Player v2.1.4

Другий випуск, що містився в бюлетені US-CERT, був узагальненим запитом на підробку вразливості в плагіні JW Player. Плагін дозволяє користувачам вбудовувати аудіо та відеокліпи Flash та HTML5, а також сеанси YouTube на веб-сайті WordPress. Зловмисники зможуть віддалено викрасти аутентифікацію адміністраторів, що ввели в відвідування шкідливого сайту та видалити відеоплеєри з сайту.

Версії 2.1.3 та новіші версії є вразливими. Минулий тиждень розробник усунув недолік у версії 2.1.4.

Регулярні оновлення є важливими

Минулого року Checkmarx проаналізував 50 найбільш завантажених плагінів та 10 найпопулярніших плагінів електронної комерції для WordPress та виявив поширені проблеми безпеки, такі як інжекція SQL, сценарій міжміських сайтів та підробка заявки на веб-сайті у 20 відсотках плагінів.

На минулому тижні Sucuri попередив, що "тисячі" сайтів WordPress були взломані, а сторінки спаму додані в основний каталог wp-include на сервері. "Сторінки SPAM приховані всередині випадкового каталогу всередині wp-include", - попередив Cid. Сторінки можуть бути, наприклад, під / wp-include / finance / paydayloan.

Хоча Sucuri не мав "остаточного підтвердження" щодо того, як ці сайти були порушені, "майже в кожному випадку веб-сайти мають застарілі встановлення WordPress або cPanel", - написав Cid.

WordPress має досить безболісний процес оновлення своїх плагінів, а також основних файлів. Власникам сайтів потрібно регулярно перевіряти та встановлювати оновлення для всіх оновлень. Також варто перевірити всі каталоги, такі як wp-include, щоб переконатися, що невідомі файли не залишилися на місці.

"Останнє, що хоче кожен власник веб-сайту, це пізніше дізнатися, що їх бренд та системні ресурси використовуються для недобрих дій", - сказав Сід.