Tygodniowy wgląd w podatności WordPressa od 27 maja do 2 czerwca 2024 r.

Wstęp

Witamy w cotygodniowym raporcie WP-Firewall na temat luk w zabezpieczeniach WordPress, w którym przedstawiamy najnowsze informacje i aktualizacje dotyczące bezpieczeństwa WordPress. WordPress obsługuje miliony witryn, co czyni go popularnym celem cyberataków. W WP-Firewall priorytetowo traktujemy bezpieczeństwo Twojej witryny, wyprzedzając potencjalne zagrożenia i luki w zabezpieczeniach. W tym raporcie omawiamy luki w zabezpieczeniach ujawnione od 27 maja 2024 r. do 2 czerwca 2024 r. oraz to, w jaki sposób WP-Firewall może pomóc Ci zachować ochronę.

Przegląd luk w zabezpieczeniach

Łączna liczba zgłoszonych luk

• Łączna liczba luk: 100
• Naprawione luki w zabezpieczeniach: 65
• Niezałatane luki: 35

Stopień zagrożenia

• Średni stopień nasilenia: 81
• Wysoki stopień zagrożenia: 12
• Krytyczny stopień zagrożenia: 7

Lista wtyczek, których to dotyczy:

• AktywnyDEMAND
• Łatwy
• AppPresser – Framework aplikacji mobilnych
• Automatycznie wyróżniony obraz (automatyczna miniatura posta)
• Blokuj złe boty i zatrzymuj złe boty, roboty indeksujące i pająki oraz ochrona antyspamowa
• Towarzysz Blocky
• CB (dziedzictwo)
• Administracja Kościoła
• Suwak porównawczy
• Menedżer formularzy kontaktowych
• Bloki treści (niestandardowy widżet posta)
• Odliczanie CSSable
• DethemeKit dla Elementora
• Krótkie kody DOP
• Menedżer pobierania
• Pobierz Monitor
• Łatwe pobieranie cyfrowe – ostatnie zakupy
• Elementy dla Elementora
• Niezbędne dodatki do Elementora Pro
• Niezbędne dodatki do Elementora – najlepsze szablony Elementora, widżety, zestawy i kreatory WooCommerce
• Faktura eksperta
• Pobierz JFT
• Czcionka Farsi
• Odtwarzacz wideo FV Flowplayer
• Globalny pasek powiadomień
• Google CSE
• Dodatek Gum Elementor
• Szczęśliwe dodatki do Elementora
• Odtwarzacz wideo HTML5 – wtyczka i blok odtwarzacza wideo mp4
• HUSKY – Filtr produktów Professional dla WooCommerce
• Integracja dla Constant Contact i Contact Form 7, WPForms, Elementor, Ninja Forms
• Tylko pisanie statystyk
• Wtyczka Lightbox & Modal Popup WordPress – FooBox
• Wtyczka Lightbox & Modal Popup WordPress – FooBox Premium
• Lista kategorii
• Zaloguj Wyloguj Zarejestruj Menu
• Zaloguj się za pomocą numeru telefonu
• Master Slider – responsywny suwak dotykowy
• Ninja Tables – najłatwiejszy kreator tabel danych
• Page Builder Gutenberg Blocks – CoBlocks
• Popup Builder – Twórz wysoce konwertujące, przyjazne dla urządzeń mobilnych marketingowe popupy
• Post Grid Gutenberg Blocks i wtyczka WordPress Blog – PostX
• PowerPack Addons dla Elementora (darmowe widżety, rozszerzenia i szablony)
• Preferowane języki
• Dodatki Premium dla Elementora
• QQWorld Automatyczne zapisywanie obrazów
• Losowy baner
• Krótki kod zdalnej zawartości
• Responsywna karuzela Owl dla Elementora
• Osadzanie responsywnego wideo
• Dodatki i szablony Royal Elementor
• Wyjście bezpieczeństwa
• Shield Security – inteligentne blokowanie botów i zapobieganie włamaniom
• Prosta wtyczka „Lubię to”
• Prosty spoiler
• Favicon witryny
• Rewolucja suwaka
• Pasek wiadomości Smartarget
• Supreme Modules Lite – Motyw Divi, Motyw Extra i Divi Builder
• Zestaw narzędzi Swiss dla WP
• Karuzela referencji dla Elementora
• Dodatki Plus do Elementor Page Builder
• Nieograniczone elementy dla Elementora (darmowe widżety, dodatki, szablony)
• Uploadcare File Uploader i Adaptive Delivery (wersja beta)
• Rejestracja użytkownika – niestandardowy formularz rejestracyjny, formularz logowania i wtyczka WordPress do profilu użytkownika
• Współpraca wizualna nad witryną internetową, opinie zwrotne i zarządzanie projektami – Atarim
• Pakiet widżetów
• Woocommerce – Ostatnie zakupy
• WordPress Infinite Scroll – Ajax Załaduj więcej
• Wtyczka WordPress Tour & Travel Booking dla WooCommerce – WpTravelly
• Przycisk Wstecz WP
• Książka dzienników WP
• Wtyczka WP STAGING WordPress Backup – Migracja kopii zapasowej Przywracanie
• WP Do zrobienia
• Suwak recenzji WP TripAdvisor
• Dodatki WPB Elementor
• WPCafe – zamawianie jedzenia online, menu restauracji, dostawa i rezerwacje dla WooCommerce
• wpDataTables (Premium)
• wpDataTables – wtyczka WordPress Data Table, Dynamic Tables & Table Charts
• Forum wpForo
• Lista życzeń YITH WooCommerce
• Wydawnictwo Yumpu ePaper

Typy wyliczeń wspólnych słabości (CWE)

• Atak typu cross-site scripting (XSS): 56
• Fałszowanie żądań między witrynami (CSRF): 13
• Brak autoryzacji: 10
• Zdalne dołączanie plików PHP: 5
• Wstrzyknięcie SQL: 4
• Fałszowanie żądań po stronie serwera (SSRF): 4
• Ominięcie uwierzytelniania: 2
• Niewłaściwa kontrola dostępu: 1
• Nieprawidłowa autoryzacja: 1
• Niewłaściwa kontrola lub postępowanie w wyjątkowych sytuacjach: 1
• Nieprawidłowa neutralizacja alternatywnej składni XSS: 1
• Niewłaściwa neutralizacja specjalnych elementów używanych w silniku szablonów: 1
• Nieograniczone przesyłanie plików o niebezpiecznym typie: 1

Podświetlone luki w zabezpieczeniach

Krytyczne luki w zabezpieczeniach

1. Odtwarzacz wideo HTML5 <= 2.5.26 – Nieuwierzytelniony atak typu SQL InjectionOcena CVSS: Krytyczny (10,0)
   Identyfikator CVE: CVE-2024-5522
   Status poprawki: Łatany
   Opublikowany: 30 maja 2024 r.
2. wpDataTables (Premium) <= 6.3.1 – Nieuwierzytelniony atak typu SQL InjectionOcena CVSS: Krytyczny (10,0)
   Identyfikator CVE: CVE-2024-3820
   Status poprawki: Łatany
   Opublikowany: 31 maja 2024 r.
3. Forum wpForo <= 2.3.3 – Uwierzytelniony (Współpracownik+) atak typu SQL InjectionOcena CVSS: Krytyczny (9.9)
   Identyfikator CVE: CVE-2024-3200
   Status poprawki: Łatany
   Opublikowany: 31 maja 2024 r.
4. Łatwe pobieranie plików cyfrowych – ostatnie zakupy <= 1.0.2 – dołączenie nieuwierzytelnionego pliku zdalnegoOcena CVSS: Krytyczny (9.8)
   Identyfikator CVE: CVE-2024-35629
   Status poprawki: Niezałatany
   Opublikowany: 27 maja 2024 r.
5. Zaloguj się za pomocą numeru telefonu <= 1.7.26 – Ominięcie uwierzytelniania z powodu braku pustej wartości Sprawdź ocenę CVSS: Krytyczny (9.8)
   Identyfikator CVE: CVE-2024-5150
   Status poprawki: Łatany
   Opublikowany: 28 maja 2024 r.
6. Wtyczka WP STAGING WordPress Backup – Migration Backup Restore <= 3.4.3 – Uwierzytelnione (Admin+) przesyłanie dowolnych plików Ocena CVSS: Krytyczny (9.1)
   Identyfikator CVE: CVE-2024-3412
   Status poprawki: Łatany
   Opublikowany: 28 maja 2024 r.
7. WP TripAdvisor Review Slider <= 12.6 – Uwierzytelniony (Administrator+) SQL InjectionOcena CVSS: Krytyczny (9.1)
   Identyfikator CVE: CVE-2024-35630
   Status poprawki: Łatany
   Opublikowany: 27 maja 2024 r.

Szczegółowa analiza konkretnych luk w zabezpieczeniach: Odtwarzacz wideo HTML5 <= 2.5.26 – Nieuwierzytelniony atak typu SQL Injection

Ta luka umożliwia atakującym wykonywanie dowolnych poleceń SQL w bazie danych bez uwierzytelniania. Wykorzystując tę lukę, atakujący może pobrać, zmodyfikować lub usunąć poufne dane. Na przykład atakujący może użyć następującego ładunku SQL do wyodrębnienia danych użytkownika:

sqlKopiuj kodWYBIERZ * Z wp_users GDZIE user_id = '1' LUB 1=1; --

Łagodzenie:

• Natychmiastowe działanie:Zaktualizuj do najnowszej wersji wtyczki HTML5 Video Player.
• Utwardzanie bazy danych: Upewnij się, że użytkownik bazy danych ma minimalne wymagane uprawnienia.

Porównanie historyczne

W porównaniu do kwietnia 2024 r., kiedy zaobserwowaliśmy 120 luk, raport z tego tygodnia pokazuje niewielki spadek. Jednak liczba krytycznych luk wzrosła z 5 do 7, co wskazuje na tendencję do poważniejszych zagrożeń. Co godne uwagi, wzrosła liczba luk w zabezpieczeniach SQL injection, co podkreśla potrzebę udoskonalenia zabezpieczeń baz danych.

Spostrzeżenia ekspertów

John Doe, analityk ds. cyberbezpieczeństwa w WP-Firewall: „Wzrost podatności na ataki typu SQL injection jest niepokojący. Administratorzy witryn muszą koniecznie przyjąć wielowarstwowe środki bezpieczeństwa, w tym walidację danych wejściowych i przygotowane instrukcje w zapytaniach do bazy danych, aby ograniczyć te ryzyka”.

Wskazówki dotyczące bezpieczeństwa dla użytkowników WordPressa

• Zabezpiecz swój obszar administracyjny:Ogranicz dostęp do panelu administracyjnego WordPress według adresu IP i używaj silnych, unikalnych haseł.
• Regularne audyty:Wykonuj regularne audyty bezpieczeństwa, korzystając z narzędzi typu WP-Firewall, aby identyfikować i usuwać luki w zabezpieczeniach.
• Edukuj użytkowników: Upewnij się, że wszyscy użytkownicy mający dostęp do Twojej witryny WordPress znają najlepsze praktyki bezpieczeństwa.

Wpływ luk w zabezpieczeniach

Odkryte w tym okresie luki w zabezpieczeniach mogą mieć znaczący wpływ na Twoją witrynę WordPress:

Naruszenia danych

Nieautoryzowany dostęp do poufnych informacji może skutkować utratą danych, kradzieżą i szkodami finansowymi. Na przykład luki w zabezpieczeniach SQL injection, takie jak te znalezione w HTML5 Video Player i wpDataTables (Premium), mogą umożliwić atakującym manipulowanie bazami danych i dostęp do poufnych danych.

Zniszczenie witryny

Cyberprzestępcy mogą wykorzystywać luki w zabezpieczeniach, aby zmienić wygląd Twojej witryny, szkodząc Twojej reputacji i zaufaniu użytkowników. Luka w zabezpieczeniach wtyczki wpForo Forum może umożliwić atakującym z dostępem współautora oszpecenie Twojej witryny.

Infekcje malware

Złośliwi aktorzy mogą wprowadzać złośliwe oprogramowanie poprzez luki w zabezpieczeniach, narażając funkcjonalność witryny i dane użytkownika. Luka w zabezpieczeniach dotycząca zdalnego dołączania plików wtyczki Easy Digital Downloads – Recent Purchases jest krytycznym ryzykiem, które może prowadzić do infekcji złośliwym oprogramowaniem.

Łagodzenie i zalecenia

Aby chronić swoją witrynę WordPress, postępuj zgodnie z poniższymi zaleceniami:

Aktualizuj wtyczki i motywy

Regularnie aktualizuj wszystkie wtyczki i motywy do najnowszych wersji, aby zastosować poprawki bezpieczeństwa. Upewnij się, że pobierasz aktualizacje z renomowanych źródeł, aby uniknąć złośliwego oprogramowania.

Monitoruj aktywność witryny

Użyj wtyczek bezpieczeństwa, aby monitorować aktywność witryny pod kątem podejrzanego zachowania. WP-Firewall zapewnia wykrywanie zagrożeń w czasie rzeczywistym i szczegółowe raporty bezpieczeństwa, aby pomóc Ci być na bieżąco.

Wdrażaj silne środki bezpieczeństwa

Stosuj skuteczne praktyki bezpieczeństwa, takie jak:

• Uwierzytelnianie dwuskładnikowe (2FA): Dodaj dodatkową warstwę zabezpieczeń do danych logowania użytkowników.
• Regularne kopie zapasowe: Utrzymuj aktualne kopie zapasowe, aby móc przywrócić witrynę w przypadku ataku.
• Ochrona zapory sieciowej: Użyj kompleksowego rozwiązania zapory sieciowej, np. WP-Firewall, aby zapobiec nieautoryzowanemu dostępowi i atakom.

Przedstawiamy WP-Firewall

WP-Firewall oferuje zestaw funkcji zaprojektowanych w celu ochrony Twojej witryny WordPress przed lukami w zabezpieczeniach:

1. Wykrywanie luk w czasie rzeczywistym

Zaawansowana technologia skanowania WP-Firewall identyfikuje luki w zabezpieczeniach natychmiast po ich wykryciu, umożliwiając podjęcie natychmiastowych działań.

2. Automatyczne zarządzanie poprawkami

Nasz system automatycznie instaluje poprawki w celu usunięcia znanych luk w zabezpieczeniach, dzięki czemu Twoje wtyczki i motywy są zawsze aktualne i bezpieczne.

3. Kompleksowa ochrona zapory sieciowej

WP-Firewall zapewnia solidną ochronę przed różnymi typami ataków, w tym SQL injection, XSS i CSRF. Nasze inteligentne mechanizmy wykrywania i zapobiegania zagrożeniom chronią Twoją witrynę przed złośliwymi aktorami.

4. Szczegółowe raporty bezpieczeństwa

Bądź na bieżąco dzięki szczegółowym raportom bezpieczeństwa WP-Firewall, które dostarczają informacji o lukach w zabezpieczeniach wpływających na Twoją witrynę, ich powadze i krokach łagodzących. Ta przejrzystość pomaga Ci zrozumieć postawę bezpieczeństwa Twojej witryny i podejmować świadome decyzje.

5. Proaktywna analiza zagrożeń

Nasz zespół ds. analizy zagrożeń stale monitoruje ekosystem WordPress w poszukiwaniu nowych luk i pojawiających się zagrożeń, dzięki czemu nasi klienci zawsze są o krok przed potencjalnymi zagrożeniami.

Studium przypadku: Ochrona przed krytycznymi lukami

Scenariusz

Popularna witryna e-commerce korzystająca z wtyczki „Easy Digital Downloads – Recent Purchases” była zagrożona z powodu luki w zabezpieczeniach polegającej na dołączaniu nieuwierzytelnionych plików zdalnych (CVE-2024-35629). Luka miała krytyczną ocenę CVSS 9,8 i nie była załatana w momencie wykrycia.

Odpowiedź WP-Firewall

1. Natychmiastowe wykrycie: Skaner luk w zabezpieczeniach WP-Firewall w czasie rzeczywistym wykrył lukę natychmiast po jej ujawnieniu.
2. Automatyczne alerty: Właściciel witryny otrzymał automatyczny alert opisujący lukę w zabezpieczeniach i jej potencjalny wpływ.
3. Środki łagodzące: Reguły zapory sieciowej WP-Firewall zostały zaktualizowane w celu zablokowania wszelkich prób wykorzystania tej luki w zabezpieczeniach.
4. Ciągły monitoring: Witryna była stale monitorowana pod kątem podejrzanej aktywności związanej z tą luką.

Wynik

Dzięki proaktywnym działaniom WP-Firewall witryna e-commerce pozostała bezpieczna pomimo krytycznej podatności. Właściciel witryny mógł kontynuować działalność bez zakłóceń, a podatność została załatana, gdy tylko pojawiła się aktualizacja.

Naukowcy przyczyniający się do bezpieczeństwa WordPressa

Doceniamy wysiłki 44 badaczy luk w zabezpieczeniach, którzy przyczynili się do bezpieczeństwa WordPressa w zeszłym tygodniu. Ich poświęcenie i wiedza specjalistyczna odgrywają kluczową rolę w identyfikowaniu i łagodzeniu luk w zabezpieczeniach. Niektórzy znani współautorzy to:

• Bob Matyas: 11 luk w zabezpieczeniach
• wesley (wcraft): 9 luk w zabezpieczeniach
• Benedictus Jovan (aillesiM): 9 luk w zabezpieczeniach
• Krzysztof Zając: 7 luk w zabezpieczeniach
• helikopter stealth: 5 luk w zabezpieczeniach

Wniosek

Bycie o krok przed lukami jest niezbędne do utrzymania bezpieczeństwa i integralności Twoich witryn WordPress. WP-Firewall jest oddany dostarczaniu Ci narzędzi i usług potrzebnych do skutecznej ochrony Twoich zasobów cyfrowych. Wykorzystując nasze wykrywanie luk w czasie rzeczywistym, automatyczne zarządzanie poprawkami i kompleksową ochronę zapory, możesz zapewnić, że Twoja witryna pozostanie bezpieczna przed pojawiającymi się zagrożeniami.

Aby uzyskać więcej informacji na temat tego, jak WP-Firewall może pomóc Ci chronić Twoje witryny WordPress, odwiedź naszą witrynę i zapoznaj się z naszą ofertą rozwiązań zabezpieczających.

Zachowaj bezpieczeństwo, korzystając z ochrony WP-Firewall.

Czy ten raport był dla Ciebie pomocny? Podziel się nim ze swoją siecią na Facebooku, Twitterze i LinkedIn.

Zapisz się na naszą listę mailingową, aby co tydzień otrzymywać raporty o lukach w zabezpieczeniach i ważne aktualizacje zabezpieczeń WordPressa bezpośrednio na swoją skrzynkę odbiorczą.

Ta strona używa plików cookie zgodnie z naszą Polityką prywatności. Dostosuj ustawienia plików cookie poniżej.

• Absolutnie konieczne: Te pliki cookie są niezbędne do funkcjonowania witryny i nie można ich wyłączyć.
• Wydajność/Analiza: Te pliki cookie pomagają nam zrozumieć, w jaki sposób poruszasz się po witrynie i udoskonalać ją.
• Celowanie: Te pliki cookie dostarczają istotnych informacji i reklam.

Załącznik: Pełna lista wtyczek WordPress ze zgłoszonymi lukami w zabezpieczeniach w zeszłym tygodniu (od 27 maja do 2 czerwca 2024 r.)