A rendszeres WordPress frissítés és biztonsági mentés elengedhetetlen a honlapod biztonsága szempontjából, ezt már nyilván tudod.
Ennek ellenére nem árt nyomon követni a WordPress biztonsággal foglalkozó weboldalak beszámolóit, hogy időben lépni tudjunk, elkerülve a bosszantó, költséges és sokszor hosszadalmas vírusirtást.
2019 augusztusának első felében elég sok új WordPress bővítmény sebezhetőségre derült fény.
Ha használod valamelyiket, azonnal frissítsd, vagy teljesen távolítsd el a honlapodról!
Ez természetesen a kikapcsolt plugin-ekre is vonatkozik!
Íme a biztonsági problémával érintett bővítmények:
1. WP Fastest Cache
Borzasztóan népszerű weboldal gyorsító cache bővítmény, több, mint egymillió (!) aktív telepítéssel!
Ha te is köztük vagy, figyelj!
A WP Fastest Cache 0.8.9.5 és ez alatti verzióit érinti a sebezhetőség, amelynek részleteit angolul itt találod: Directory Traversal.
Weboldal tulajdonosként ezekkel a részletekkel nem kell foglalkoznod, azonban:
Amit tenned kell
A biztonsági rést a fejlesztők befoltozták, így a frissítéssel megoldódik a probléma. Azonnal frissíts! (Legalább a 0.8.9.6. verzió a nyerő!)
2. Popup Builder
Felugró ablak szerkesztő bővítmény, százezresnagyságrendű aktív telepítéssel.
A Popup Builder 3.44 és ez alatti verziója SQL injektálással veszélyeztetett.
Amit tenned kell
A hibát a 3.45-ös verzióval, és afelett elhárították, frissíts azonnal!
3. Email Subscribers & Newsletters
Feliratkoztató, és beépített email küldő rendszer, százezres nagyságrendű aktív telepítéssel.
A plugin 4.1.6 verzió alatt ki van téve az úgynevezett Cross-Site Scripting támadásnak, amelynek rövidített beceneve XSS, és többféle típusát elsősorban adathalászatra (Phising) használják a hackerek.
Amit tenned kell
A plugin fejlesztői a 4.1.7 verziótól megoldották a sebezhetőségi gondot – frissíts!
4. Ultimate Member
Népszerű tagsági rendszer bővítmény, amit szintén százezres nagyságrendben, aktívan használnak weboldalakon.
Az előző bővítményhez hasonló XSS kapu található a 2.0.53 verzió alatt.
Amit tenned kell
A bővítmény fejlesztői tudnak a hibáról, megoldották, csak frissítened kell a 2.0.53 verzióra!
5. Give
Sokak által (60ezer aktív telepítés) használt adományozó plugin, a 2.5.0 és az alatti verziók SQL injektálás fertőzésnek vannak kitéve.
Amit tenned kell
Sebezhetőség javítva, frissíts a 2.5.1 verzióra azonnal!
A fenti, széles körben használt bővítmények mellett néhány kevésbé ismert plugin is érintett a frissen felfedezett biztonsági résekben:
6. Woody Ad Snippets
7. Login or Logout Menu Item
8. CformsII
9. PPOM for WooCommerce
10.301 Redirects Addon Bulk Uploader
11. ND Donations, ND Booking és ND Learning Courses
12. JoomSport
A legújabb verziók már nem tartalmazzák a hibát, tehát ha ezeket használod, akkor is frissíts gyorsan!
+1 Real Estate 7 WordPress sablon
Fizetős, ingatlanos Wp téma. A jelen állapot szerint a hibát még nem javították, az egyetlen lehetőséged a sebezhetőség elkerülésére a sablon törlése!
Ha ezt nem tudod megtenni, írj a fejlesztőknek, és minden nap készíts teljes biztonsági mentést, amit tárolj is el!
Remélhetőleg július óta minden bővítményed és sablonod frissült, mert a múlt hónapban közéttett biztonsági rések komoly bővítményeket érintettek.
Néhány plugin, a 2019 júliusában sebezhető bővitmények közül:
- Yoast SEO
- WooCommerce
- Ad Inserter
- WP Statistics
- Appointment Booking Calendar
- Slimstat Analytics
- WP Google Maps
- LiveChat
- WP Like Button
- Newsletters
- All-in-One WP Migration
- Advanced Contact form 7 DB
- Coming Soon Page & Maintenance Mode
- Appointment Hour Booking
Ezekkel sincs más teendőd, mint a legújabb verzióra frissíteni – ezt egy gombnyomással megteheted, de ne feledkezz meg az előtte-utána biztonsági mentésről sem!
A Wordfence cikkében további támadásnak kitett bővítményeket is megemlít, ezek a következők:
- Woocommerce User Email Verification
- Yellow Pencil Visual Theme Customizer
- Coming Soon and Maintenance Mode
- Blog Designer
Lehet, hogy most az forog a fejedben, hogy a WordPress nem biztonságos, túl sok támadás éri, és milyen sok mindenre kell figyelni ezzel kapcsolatban…
Egyáltalán nincs így!
Az egyetlen, amire figyelned kell, a rendszeres frissítés és biztonsági mentés!
Hidd el, a WordPress nincs több támadásnak kitéve, mint bármely más népszerű rendszer, viszont legalább sok információnk van a rosszindulatú folyamatokról – köszönhetően a wp hatalmas rajongótáborának.
(Gondolj csak bele, a telefonodon naponta hány alkalmazást kell frissítened, hogy naprakészen, biztonságban tartsd az Android, vagy Ios rendszered!)
Ha mégis megtörtént a baj, igénybe veheted Honlap vírusirtás szolgáltatásunkat, segítünk!
Forrás: iThemes blog