Sebezhető WordPress bővítmények 2019 augusztusában – Melyek ezek, és mit tegyél?

Sebezhető WordPress bővítmények 2019 augusztusában – Melyek ezek, és mit tegyél?

A rendszeres WordPress frissítés és biztonsági mentés elengedhetetlen a honlapod biztonsága szempontjából, ezt már nyilván tudod.
Ennek ellenére nem árt nyomon követni a WordPress biztonsággal foglalkozó weboldalak beszámolóit, hogy időben lépni tudjunk, elkerülve a bosszantó, költséges és sokszor hosszadalmas vírusirtást.

2019 augusztusának első felében elég sok új WordPress bővítmény sebezhetőségre derült fény.
Ha használod valamelyiket, azonnal frissítsd, vagy teljesen távolítsd el a honlapodról!
Ez természetesen a kikapcsolt plugin-ekre is vonatkozik!

 

Íme a biztonsági problémával érintett bővítmények:

 

1. WP Fastest Cache

WP Fastest Cache

Borzasztóan népszerű weboldal gyorsító cache bővítmény, több, mint egymillió (!) aktív telepítéssel!
Ha te is köztük vagy, figyelj!

A WP Fastest Cache 0.8.9.5 és ez alatti verzióit érinti a sebezhetőség, amelynek részleteit angolul itt találod: Directory Traversal.
Weboldal tulajdonosként ezekkel a részletekkel nem kell foglalkoznod, azonban:

Amit tenned kell

A biztonsági rést a fejlesztők befoltozták, így a frissítéssel megoldódik a probléma. Azonnal frissíts! (Legalább a 0.8.9.6. verzió a nyerő!)

 

2. Popup Builder

Popup Builder – Responsive WordPress Pop up – Subscription & Newsletter

Felugró ablak szerkesztő bővítmény, százezresnagyságrendű aktív telepítéssel.
A Popup Builder 3.44 és ez alatti verziója SQL injektálással veszélyeztetett.

Amit tenned kell

A hibát a 3.45-ös verzióval, és afelett elhárították, frissíts azonnal!

 

3. Email Subscribers & Newsletters

Email Subscribers & Newsletters

Feliratkoztató, és beépített email küldő rendszer, százezres nagyságrendű aktív telepítéssel.

A plugin 4.1.6 verzió alatt ki van téve az úgynevezett Cross-Site Scripting támadásnak, amelynek rövidített beceneve XSS, és többféle típusát elsősorban adathalászatra (Phising) használják a hackerek.

Amit tenned kell

A plugin fejlesztői a 4.1.7 verziótól megoldották a sebezhetőségi gondot – frissíts!

 

4. Ultimate Member

Ultimate Member – User Profile & Membership Plugin

Népszerű tagsági rendszer bővítmény, amit szintén százezres nagyságrendben, aktívan használnak weboldalakon.

Az előző bővítményhez hasonló XSS kapu található a 2.0.53 verzió alatt.

Amit tenned kell

A bővítmény fejlesztői tudnak a hibáról, megoldották, csak frissítened kell a 2.0.53 verzióra!

 

5. Give

GiveWP – Donation Plugin and Fundraising Platform

Sokak által (60ezer aktív telepítés) használt adományozó plugin, a 2.5.0 és az alatti verziók SQL injektálás fertőzésnek vannak kitéve.

Amit tenned kell

Sebezhetőség javítva, frissíts a 2.5.1 verzióra azonnal!

 

A fenti, széles körben használt bővítmények mellett néhány kevésbé ismert plugin is érintett a frissen felfedezett biztonsági résekben:

6. Woody Ad Snippets
7. Login or Logout Menu Item
8. CformsII
9. PPOM for WooCommerce
10.301 Redirects Addon Bulk Uploader
11. ND Donations, ND Booking és ND Learning Courses
12. JoomSport

A legújabb verziók már nem tartalmazzák a hibát, tehát ha ezeket használod, akkor is frissíts gyorsan!

 

+1 Real Estate 7 WordPress sablon

Fizetős, ingatlanos Wp téma. A jelen állapot szerint a hibát még nem javították, az egyetlen lehetőséged a sebezhetőség elkerülésére a sablon törlése!
Ha ezt nem tudod megtenni, írj a fejlesztőknek, és minden nap készíts teljes biztonsági mentést, amit tárolj is el!

 

cyber támadás, wordpress vírusok

 

Remélhetőleg július óta minden bővítményed és sablonod frissült, mert a múlt hónapban közéttett biztonsági rések komoly bővítményeket érintettek.

Néhány plugin, a 2019 júliusában sebezhető bővitmények közül:

  • Yoast SEO
  • WooCommerce
  • Ad Inserter
  • WP Statistics
  • Appointment Booking Calendar
  • Slimstat Analytics
  • WP Google Maps
  • LiveChat
  • WP Like Button
  • Newsletters
  • All-in-One WP Migration
  • Advanced Contact form 7 DB
  • Coming Soon Page & Maintenance Mode
  • Appointment Hour Booking

Ezekkel sincs más teendőd, mint a legújabb verzióra frissíteni – ezt egy gombnyomással megteheted, de ne feledkezz meg az előtte-utána biztonsági mentésről sem!

 

A napokban a Wordfence Blog is megerősítette, hogy a fent említett ND bővítmények, és a Simple 301 Redirects Addon – Bulk Uploader plugin régebbi verzióinak ismert sebezhetőségeire tömeges támadások érkeztek az elmúlt hetekben. A támadások jellemzően ún. átirányítós vírust tartalmaztak, amelyek a weboldalad forgalmát ártalmas honlapokra irányítják.

 

A Wordfence cikkében további támadásnak kitett bővítményeket is megemlít, ezek a következők:

  • Woocommerce User Email Verification
  • Yellow Pencil Visual Theme Customizer
  • Coming Soon and Maintenance Mode
  • Blog Designer

 

Lehet, hogy most az forog a fejedben, hogy a WordPress nem biztonságos, túl sok támadás éri, és milyen sok mindenre kell figyelni ezzel kapcsolatban…
Egyáltalán nincs így!
Az egyetlen, amire figyelned kell, a rendszeres frissítés és biztonsági mentés!

Hidd el, a WordPress nincs több támadásnak kitéve, mint bármely más népszerű rendszer, viszont legalább sok információnk van a rosszindulatú folyamatokról – köszönhetően a wp hatalmas rajongótáborának.
(Gondolj csak bele, a telefonodon naponta hány alkalmazást kell frissítened, hogy naprakészen, biztonságban tartsd az Android, vagy Ios rendszered!)

Ha mégis megtörtént a baj, igénybe veheted Honlap vírusirtás szolgáltatásunkat, segítünk!

Forrás: iThemes blog

 

WordPress frissítés, weblap frissítése

WordPress frissítés, weblap frissítése

Frissíthetek…?

 

Ügyfeleim gyakran felteszik a kérdést: Frissíthetem a WordPress-t? Nem lesz baj?

Sajnos, nem tudom megjósolni. Alapesetben nem lesz baj.

De. Tudjuk, hogy a WordPress motor, a sablonok, a bővítmények mind-mind frissítendők, és könnyen előfordulhat, hogy az új verziók valahol összeakadnak egymással (vagy régebbi verziókkal), és funkcionális, vagy kinézetbeli hibát okozhatnak, szélsőséges esetben az egész honlap széteshet, vagy elérhetetlenné válhat.

És még egy “de”:

A WordPress frissítés nem opcionális! Muszáj frissíteni, mert csak így tarthatjuk biztonságban a honlapunkat. Sokat mesélhetnének erről mindazok, akiknek elavult plugin, vagy sablon miatt fertőződött meg a honlapja!
(Ha ilyen problémával küzdesz, weboldal vírusmentesítő szolgáltatásunkkal tudunk segíteni.)

Egyszóval, frissíteni KELL.

Hogyan tegyük ezt úgy, hogy tényleg ne legyen baj, és a weboldalunk biztonságban legyen?

 

Honlap biztonság illusztráció, számzáras jelszó

 

Weblap frissítése biztonságosan

 

1. Ahhoz, hogy egyáltalán minimális biztonsággal frissítsünk, szabályos WordPress honlap felépítés szükséges.

 

Értem ezalatt, hogy:

  • Fizetős sablonok, bővítmények kizárólag hivatalos eladótól használhatóak, az ingyen letöltött, ún. nulled cuccokat felejtsük el! (Nem csak etikátlan, de egytől egyig vírussal fertőzöttek, vagy minimum biztonsági réssel vannak ellátva.) Az eredeti fájlokat őrizzük meg (lehetőleg több adathordozón is), illetve amíg frissítés jár hozzá, addig a legfrissebb változatot is.
  • A tárhely követelményei is feleljenek meg a mai elvárásoknak (pl. php verzió). A legtöbb piacon lévő tárhelyszolgáltatás rendben van ilyen szempontból.
  • Ha a honlap felépítéséhez, fejlesztéséhez külön programozás kell, célszerű megkérdezni a szakembert, hogy mely fájlokban nyúlt bele a kódba (és ezt fel is írni magunknak), illetve célszerű kifejezetten WordPress codex-hez értő programozót keresni, aki érti a WordPress motor felépítését, és nem a szomszédpistike-majd-megoldja-okosba módszert alkalmazni, mert nagy árat fizethetünk érte.
  • Jó, ha van gyereksablon (child theme) a honlapunkon, így jó eséllyel megmaradnak az esetleges kódszintű változtatások a sablonunkban frissítés után is.

 

2. Lehetőleg ne ezerévente egyszer álljunk neki a frissítésnek.

Sokan esnek abba a hibába, hogy félelemből, vagy más elfoglaltságok miatt hónapokig (alig merem leírni: …akár évekig) halogatják a frissítéseket. Ez kifejezetten rossz stratégia, mert az elavult bővítmények és sablonok, vagy akár maga a WordPress motor hatalmas biztonsági rést jelentenek – ezt nem lehet elégszer elmondani!

Gondoljuk arra, hogy az okostelefonunkra minden nap több frissítés érkezik. Pontosan tudom, hogy milyen idegesítő, és felesleges időpocsékolásnak tűnik – de tudomásul kell vennünk, hogy ez egy felgyorsult világ, és a fejlesztők a (szintén gyorsan dolgozó) hackerek ellen veszik fel a harcot az állandó változtatással. Ha ennyit nem teszünk meg magunkért, akkor saját magunkat szolgáltatjuk ki az adathalászoknak.

Ráadásul a frissítés kis lépésekben kevésbé kockázatos, mintha tíz-húsz verziószámot ugranánk egy-egy alkalommal.

 

3. Jó tudni, hogy a WordPress főverziók (pl.: WP 4.x, WP 5.x), a sablonod, és (ha használod a webáruházadban) a WooCommerce főverziók frissítése kicsivel több kockázatot jelent. A főverziók jellemzően többféle, és nagyobb mennyiségű változtatást hordoznak magukban.

  • A változtatásokkal járó bug-okat, hibákat kiküszöbölheted azzal, hogy a főverziók esetében kivársz, és nem frissítesz azonnal. Célszerű megvárni az első-második alverziót a nagy váltás előtt (pl.: WP 5.0.0 helyett 5.1.0).
  • A nagyverziók tervezett funkcionális változtatásai (mint például a Gutenberg blokk szerkesztő, melyet a WordPress 5-ös főverzió hozott magával) szintén érinthetnek téged. Ezekről célszerű a blogokban, fórumokban tájékozódni.

Ahogyan az életben mindenhol, a változtatások változtatására is hamarosan talál megoldást a WordPress nagy közössége. 😉

 

4. A frissítések sorrendjére nincs hivatalos állásfoglalás. A legtöbb szakember a következő sorrendet használja:

  • bővítmények frissítése
  • sablonok frissítése
  • WordPress motor frissítése

Én magam is így csinálom, azonban feltehetően vannak, akik visszafelé lépegetnek, vagy össze-vissza frissítenek, ahogyan jön – önmagában ez nem okoz gondot általában.

 

5. Mindig készíts teljes biztonsági mentést a honlapodról a frissítés előtt!

TELJES biztonsági mentést, tehát a fájlokat és az adatbázist IS le kell mentened a saját gépedre. Így, ha bármi félrecsúszik, vissza tudod állítani a jelenlegi állapotot, sérülésmentesen.

Ha az összes eddigit figyelmen kívül hagyod, ez az egy mindenképpen szükséges!

 

WordPress frissítés lépései

 

Maga a frissítési folyamat végtelenül egyszerű és felhasználóbarát. Gyakorlatilag egy next-next-finish elvű, két gombnyomással megoldható dolog.

Amikor belépsz az admin felületedre, a WordPress jelzi, hogy frissítésed érkezett.

Eztán a WordPress frissítési felületén kijelölöd a választott sablont, bővítményt, vagy motort, és egy gombnyomással elindítod a folyamatot.

 

wordpress frissítés lépései, képernyőfotó az admin felületről

 

Vársz egy keveset, és amikor szól a honlapod, készen vagy. 🙂

Célszerű végigkattintani a menüket, oldalsávokat, letesztelni az űrlap-küldést, vagy a webáruház vásárlási folyamatát, hogy biztos lehess benne, minden simán lezajlott.
Ha biztosra szeretnél menni, mentsd le a honlapod a frissített változatban is!

 

Weboldal automatikus frissítése

Alapesetben az automatikus frissítéseket csak a nagyon szimpla felépítésű honlapok esetében ajánlom, ha van (szintén) automatikus napi biztonsági mentés.

Bár a frissítés egyszerű folyamat, mégis – ha bajt okoz, akkor fontos, hogy kézben tartsuk a kontrollt.

A WordPress 3.7 óta az automatikus frissítést egy darabig beépítették a motorba, most azonban már csak a lehetőség van meg, alapértelmezetten ki van kapcsolva.

Bekapcsolhatjuk a wp-config.php fájl-ban, ebben a sorban:

define(‘AUTOMATIC_UPDATER_DISABLED’, true);

Ha a “true” helyett “false”-ra írjuk át ezt a parancsot, az automatikus frissítés ismét működésbe lép.

Ha nem szeretnénk mindent és bármikor automatikusan frissíteni, vagy a kódban turkálni, lehetőség van bővítményekkel szabályozni az automatikus frissítést.

A bővítmények általában lehetőséget adnak arra, hogy differenciáltan szabályozzunk: például csak a bővítmények, vagy sablonok frissítését kapcsoljuk be, vagy letilthatjuk a főverziók frissítését (major updates), és megtarthatjuk az alverziókét (minor updates).

 

A teljesség kedvéért meg kell emlékezni arról is, hogy frissítést nem csak az adminisztrációs felületről, hanem FTP kapcsolaton keresztül is csinálhatunk. Ez inkább baj esetén szükséges, középhaladó technika, alapesetben nincs erre szükség.

 

Összefoglalva:

1. A frissítés nem opcionális, hanem kötelező biztonsági elem!

2. Mindig legyen előtte teljes biztonsági mentésed

3. Ha nem tudod, vagy nem akarod megcsinálni: támaszkodj olyanra, aki ért hozzá – írj nekünk!

A következő cikkben a WordPress biztonsági mentéssel fogunk foglalkozni.

 

 

Vírusmentes honlapok

Vírusmentes honlapok

WordPress biztonság:
Hogyan kerüljük el, hogy honlapunkat feltörjék?

(Avagy: Tanácsok, amiket nem lehet elégszer elmondani)

(tovább…)

WordPress biztonsági bővítmény – Limit Login Attempts

WordPress biztonsági bővítmény – Limit Login Attempts

Honlapunk támadások elleni védelmének az egyik legegyszerűbb, és legütősebb módja a Limit Login Attempts nevű ügyes kis bővítmény használata.

Megakadályozza az ún. brute-force támadásokat, melyek a honlapod admin felületéről érkeznek, sőt, még e-mail-t is küld neked a gonosz próbálkozásokról!

 

A plugin teljesen ingyenes, magyar nyelvű, és a WordPress hivatalos oldaláról töltheted le!

Használata pofonegyszerű, így csináld:

(tovább…)

Igen, mi is használunk sütiket, de nagyon keveset. :) A honlap további használatához a sütiket el kell fogadni. További információ

A süti beállítások ennél a honlapnál engedélyezett a legjobb felhasználói élmény érdekében. Amennyiben a beállítás változtatása nélkül kerül sor a honlap használatára, vagy az "Elfogadás" gombra történik kattintás, azzal a felhasználó elfogadja a sütik használatát.

Bezárás