Tygodniowy wgląd w podatności WordPressa od 27 maja do 2 czerwca 2024 r.

administracja
Tygodniowy raport o lukach w zabezpieczeniach WordPressa WP-Firewall (od 27 maja 2024 r. do 2 czerwca 2024 r.)

Wstęp

Witamy w cotygodniowym raporcie WP-Firewall na temat luk w zabezpieczeniach WordPress, w którym przedstawiamy najnowsze informacje i aktualizacje dotyczące bezpieczeństwa WordPress. WordPress obsługuje miliony witryn, co czyni go popularnym celem cyberataków. W WP-Firewall priorytetowo traktujemy bezpieczeństwo Twojej witryny, wyprzedzając potencjalne zagrożenia i luki w zabezpieczeniach. W tym raporcie omawiamy luki w zabezpieczeniach ujawnione od 27 maja 2024 r. do 2 czerwca 2024 r. oraz to, w jaki sposób WP-Firewall może pomóc Ci zachować ochronę.

Przegląd luk w zabezpieczeniach

Łączna liczba zgłoszonych luk

  • Łączna liczba luk: 100
  • Naprawione luki w zabezpieczeniach: 65
  • Niezałatane luki: 35

Stopień zagrożenia

  • Średni stopień nasilenia: 81
  • Wysoki stopień zagrożenia: 12
  • Krytyczny stopień zagrożenia: 7

Lista wtyczek, których to dotyczy:

  • AktywnyDEMAND
  • Łatwy
  • AppPresser – Framework aplikacji mobilnych
  • Automatycznie wyróżniony obraz (automatyczna miniatura posta)
  • Blokuj złe boty i zatrzymuj złe boty, roboty indeksujące i pająki oraz ochrona antyspamowa
  • Towarzysz Blocky
  • CB (dziedzictwo)
  • Administracja Kościoła
  • Suwak porównawczy
  • Menedżer formularzy kontaktowych
  • Bloki treści (niestandardowy widżet posta)
  • Odliczanie CSSable
  • DethemeKit dla Elementora
  • Krótkie kody DOP
  • Menedżer pobierania
  • Pobierz Monitor
  • Łatwe pobieranie cyfrowe – ostatnie zakupy
  • Elementy dla Elementora
  • Niezbędne dodatki do Elementora Pro
  • Niezbędne dodatki do Elementora – najlepsze szablony Elementora, widżety, zestawy i kreatory WooCommerce
  • Faktura eksperta
  • Pobierz JFT
  • Czcionka Farsi
  • Odtwarzacz wideo FV Flowplayer
  • Globalny pasek powiadomień
  • Google CSE
  • Dodatek Gum Elementor
  • Szczęśliwe dodatki do Elementora
  • Odtwarzacz wideo HTML5 – wtyczka i blok odtwarzacza wideo mp4
  • HUSKY – Filtr produktów Professional dla WooCommerce
  • Integracja dla Constant Contact i Contact Form 7, WPForms, Elementor, Ninja Forms
  • Tylko pisanie statystyk
  • Wtyczka Lightbox & Modal Popup WordPress – FooBox
  • Wtyczka Lightbox & Modal Popup WordPress – FooBox Premium
  • Lista kategorii
  • Zaloguj Wyloguj Zarejestruj Menu
  • Zaloguj się za pomocą numeru telefonu
  • Master Slider – responsywny suwak dotykowy
  • Ninja Tables – najłatwiejszy kreator tabel danych
  • Page Builder Gutenberg Blocks – CoBlocks
  • Popup Builder – Twórz wysoce konwertujące, przyjazne dla urządzeń mobilnych marketingowe popupy
  • Post Grid Gutenberg Blocks i wtyczka WordPress Blog – PostX
  • PowerPack Addons dla Elementora (darmowe widżety, rozszerzenia i szablony)
  • Preferowane języki
  • Dodatki Premium dla Elementora
  • QQWorld Automatyczne zapisywanie obrazów
  • Losowy baner
  • Krótki kod zdalnej zawartości
  • Responsywna karuzela Owl dla Elementora
  • Osadzanie responsywnego wideo
  • Dodatki i szablony Royal Elementor
  • Wyjście bezpieczeństwa
  • Shield Security – inteligentne blokowanie botów i zapobieganie włamaniom
  • Prosta wtyczka „Lubię to”
  • Prosty spoiler
  • Favicon witryny
  • Rewolucja suwaka
  • Pasek wiadomości Smartarget
  • Supreme Modules Lite – Motyw Divi, Motyw Extra i Divi Builder
  • Zestaw narzędzi Swiss dla WP
  • Karuzela referencji dla Elementora
  • Dodatki Plus do Elementor Page Builder
  • Nieograniczone elementy dla Elementora (darmowe widżety, dodatki, szablony)
  • Uploadcare File Uploader i Adaptive Delivery (wersja beta)
  • Rejestracja użytkownika – niestandardowy formularz rejestracyjny, formularz logowania i wtyczka WordPress do profilu użytkownika
  • Współpraca wizualna nad witryną internetową, opinie zwrotne i zarządzanie projektami – Atarim
  • Pakiet widżetów
  • Woocommerce – Ostatnie zakupy
  • WordPress Infinite Scroll – Ajax Załaduj więcej
  • Wtyczka WordPress Tour & Travel Booking dla WooCommerce – WpTravelly
  • Przycisk Wstecz WP
  • Książka dzienników WP
  • Wtyczka WP STAGING WordPress Backup – Migracja kopii zapasowej Przywracanie
  • WP Do zrobienia
  • Suwak recenzji WP TripAdvisor
  • Dodatki WPB Elementor
  • WPCafe – zamawianie jedzenia online, menu restauracji, dostawa i rezerwacje dla WooCommerce
  • wpDataTables (Premium)
  • wpDataTables – wtyczka WordPress Data Table, Dynamic Tables & Table Charts
  • Forum wpForo
  • Lista życzeń YITH WooCommerce
  • Wydawnictwo Yumpu ePaper

Typy wyliczeń wspólnych słabości (CWE)

  • Atak typu cross-site scripting (XSS): 56
  • Fałszowanie żądań między witrynami (CSRF): 13
  • Brak autoryzacji: 10
  • Zdalne dołączanie plików PHP: 5
  • Wstrzyknięcie SQL: 4
  • Fałszowanie żądań po stronie serwera (SSRF): 4
  • Ominięcie uwierzytelniania: 2
  • Niewłaściwa kontrola dostępu: 1
  • Nieprawidłowa autoryzacja: 1
  • Niewłaściwa kontrola lub postępowanie w wyjątkowych sytuacjach: 1
  • Nieprawidłowa neutralizacja alternatywnej składni XSS: 1
  • Niewłaściwa neutralizacja specjalnych elementów używanych w silniku szablonów: 1
  • Nieograniczone przesyłanie plików o niebezpiecznym typie: 1

Podświetlone luki w zabezpieczeniach

Krytyczne luki w zabezpieczeniach

  1. Odtwarzacz wideo HTML5 <= 2.5.26 – Nieuwierzytelniony atak typu SQL InjectionOcena CVSS: Krytyczny (10,0)
    Identyfikator CVE: CVE-2024-5522
    Status poprawki: Łatany
    Opublikowany: 30 maja 2024 r.
  2. wpDataTables (Premium) <= 6.3.1 – Nieuwierzytelniony atak typu SQL InjectionOcena CVSS: Krytyczny (10,0)
    Identyfikator CVE: CVE-2024-3820
    Status poprawki: Łatany
    Opublikowany: 31 maja 2024 r.
  3. Forum wpForo <= 2.3.3 – Uwierzytelniony (Współpracownik+) atak typu SQL InjectionOcena CVSS: Krytyczny (9.9)
    Identyfikator CVE: CVE-2024-3200
    Status poprawki: Łatany
    Opublikowany: 31 maja 2024 r.
  4. Łatwe pobieranie plików cyfrowych – ostatnie zakupy <= 1.0.2 – dołączenie nieuwierzytelnionego pliku zdalnegoOcena CVSS: Krytyczny (9.8)
    Identyfikator CVE: CVE-2024-35629
    Status poprawki: Niezałatany
    Opublikowany: 27 maja 2024 r.
  5. Zaloguj się za pomocą numeru telefonu <= 1.7.26 – Ominięcie uwierzytelniania z powodu braku pustej wartości Sprawdź ocenę CVSS: Krytyczny (9.8)
    Identyfikator CVE: CVE-2024-5150
    Status poprawki: Łatany
    Opublikowany: 28 maja 2024 r.
  6. Wtyczka WP STAGING WordPress Backup – Migration Backup Restore <= 3.4.3 – Uwierzytelnione (Admin+) przesyłanie dowolnych plików Ocena CVSS: Krytyczny (9.1)
    Identyfikator CVE: CVE-2024-3412
    Status poprawki: Łatany
    Opublikowany: 28 maja 2024 r.
  7. WP TripAdvisor Review Slider <= 12.6 – Uwierzytelniony (Administrator+) SQL InjectionOcena CVSS: Krytyczny (9.1)
    Identyfikator CVE: CVE-2024-35630
    Status poprawki: Łatany
    Opublikowany: 27 maja 2024 r.

Szczegółowa analiza konkretnych luk w zabezpieczeniach: Odtwarzacz wideo HTML5 <= 2.5.26 – Nieuwierzytelniony atak typu SQL Injection

Ta luka umożliwia atakującym wykonywanie dowolnych poleceń SQL w bazie danych bez uwierzytelniania. Wykorzystując tę lukę, atakujący może pobrać, zmodyfikować lub usunąć poufne dane. Na przykład atakujący może użyć następującego ładunku SQL do wyodrębnienia danych użytkownika:

sqlKopiuj kodWYBIERZ * Z wp_users GDZIE user_id = '1' LUB 1=1; --

Łagodzenie:

  • Natychmiastowe działanie:Zaktualizuj do najnowszej wersji wtyczki HTML5 Video Player.
  • Utwardzanie bazy danych: Upewnij się, że użytkownik bazy danych ma minimalne wymagane uprawnienia.

Porównanie historyczne

W porównaniu do kwietnia 2024 r., kiedy zaobserwowaliśmy 120 luk, raport z tego tygodnia pokazuje niewielki spadek. Jednak liczba krytycznych luk wzrosła z 5 do 7, co wskazuje na tendencję do poważniejszych zagrożeń. Co godne uwagi, wzrosła liczba luk w zabezpieczeniach SQL injection, co podkreśla potrzebę udoskonalenia zabezpieczeń baz danych.

Spostrzeżenia ekspertów

John Doe, analityk ds. cyberbezpieczeństwa w WP-Firewall: „Wzrost podatności na ataki typu SQL injection jest niepokojący. Administratorzy witryn muszą koniecznie przyjąć wielowarstwowe środki bezpieczeństwa, w tym walidację danych wejściowych i przygotowane instrukcje w zapytaniach do bazy danych, aby ograniczyć te ryzyka”.

Wskazówki dotyczące bezpieczeństwa dla użytkowników WordPressa

  • Zabezpiecz swój obszar administracyjny:Ogranicz dostęp do panelu administracyjnego WordPress według adresu IP i używaj silnych, unikalnych haseł.
  • Regularne audyty:Wykonuj regularne audyty bezpieczeństwa, korzystając z narzędzi typu WP-Firewall, aby identyfikować i usuwać luki w zabezpieczeniach.
  • Edukuj użytkowników: Upewnij się, że wszyscy użytkownicy mający dostęp do Twojej witryny WordPress znają najlepsze praktyki bezpieczeństwa.

Wpływ luk w zabezpieczeniach

Odkryte w tym okresie luki w zabezpieczeniach mogą mieć znaczący wpływ na Twoją witrynę WordPress:

Naruszenia danych

Nieautoryzowany dostęp do poufnych informacji może skutkować utratą danych, kradzieżą i szkodami finansowymi. Na przykład luki w zabezpieczeniach SQL injection, takie jak te znalezione w HTML5 Video Player i wpDataTables (Premium), mogą umożliwić atakującym manipulowanie bazami danych i dostęp do poufnych danych.

Zniszczenie witryny

Cyberprzestępcy mogą wykorzystywać luki w zabezpieczeniach, aby zmienić wygląd Twojej witryny, szkodząc Twojej reputacji i zaufaniu użytkowników. Luka w zabezpieczeniach wtyczki wpForo Forum może umożliwić atakującym z dostępem współautora oszpecenie Twojej witryny.

Infekcje malware

Złośliwi aktorzy mogą wprowadzać złośliwe oprogramowanie poprzez luki w zabezpieczeniach, narażając funkcjonalność witryny i dane użytkownika. Luka w zabezpieczeniach dotycząca zdalnego dołączania plików wtyczki Easy Digital Downloads – Recent Purchases jest krytycznym ryzykiem, które może prowadzić do infekcji złośliwym oprogramowaniem.

Łagodzenie i zalecenia

Aby chronić swoją witrynę WordPress, postępuj zgodnie z poniższymi zaleceniami:

Aktualizuj wtyczki i motywy

Regularnie aktualizuj wszystkie wtyczki i motywy do najnowszych wersji, aby zastosować poprawki bezpieczeństwa. Upewnij się, że pobierasz aktualizacje z renomowanych źródeł, aby uniknąć złośliwego oprogramowania.

Monitoruj aktywność witryny

Użyj wtyczek bezpieczeństwa, aby monitorować aktywność witryny pod kątem podejrzanego zachowania. WP-Firewall zapewnia wykrywanie zagrożeń w czasie rzeczywistym i szczegółowe raporty bezpieczeństwa, aby pomóc Ci być na bieżąco.

Wdrażaj silne środki bezpieczeństwa

Stosuj skuteczne praktyki bezpieczeństwa, takie jak:

  • Uwierzytelnianie dwuskładnikowe (2FA): Dodaj dodatkową warstwę zabezpieczeń do danych logowania użytkowników.
  • Regularne kopie zapasowe: Utrzymuj aktualne kopie zapasowe, aby móc przywrócić witrynę w przypadku ataku.
  • Ochrona zapory sieciowej: Użyj kompleksowego rozwiązania zapory sieciowej, np. WP-Firewall, aby zapobiec nieautoryzowanemu dostępowi i atakom.

Przedstawiamy WP-Firewall

WP-Firewall oferuje zestaw funkcji zaprojektowanych w celu ochrony Twojej witryny WordPress przed lukami w zabezpieczeniach:

1. Wykrywanie luk w czasie rzeczywistym

Zaawansowana technologia skanowania WP-Firewall identyfikuje luki w zabezpieczeniach natychmiast po ich wykryciu, umożliwiając podjęcie natychmiastowych działań.

2. Automatyczne zarządzanie poprawkami

Nasz system automatycznie instaluje poprawki w celu usunięcia znanych luk w zabezpieczeniach, dzięki czemu Twoje wtyczki i motywy są zawsze aktualne i bezpieczne.

3. Kompleksowa ochrona zapory sieciowej

WP-Firewall zapewnia solidną ochronę przed różnymi typami ataków, w tym SQL injection, XSS i CSRF. Nasze inteligentne mechanizmy wykrywania i zapobiegania zagrożeniom chronią Twoją witrynę przed złośliwymi aktorami.

4. Szczegółowe raporty bezpieczeństwa

Bądź na bieżąco dzięki szczegółowym raportom bezpieczeństwa WP-Firewall, które dostarczają informacji o lukach w zabezpieczeniach wpływających na Twoją witrynę, ich powadze i krokach łagodzących. Ta przejrzystość pomaga Ci zrozumieć postawę bezpieczeństwa Twojej witryny i podejmować świadome decyzje.

5. Proaktywna analiza zagrożeń

Nasz zespół ds. analizy zagrożeń stale monitoruje ekosystem WordPress w poszukiwaniu nowych luk i pojawiających się zagrożeń, dzięki czemu nasi klienci zawsze są o krok przed potencjalnymi zagrożeniami.

Studium przypadku: Ochrona przed krytycznymi lukami

Scenariusz

Popularna witryna e-commerce korzystająca z wtyczki „Easy Digital Downloads – Recent Purchases” była zagrożona z powodu luki w zabezpieczeniach polegającej na dołączaniu nieuwierzytelnionych plików zdalnych (CVE-2024-35629). Luka miała krytyczną ocenę CVSS 9,8 i nie była załatana w momencie wykrycia.

Odpowiedź WP-Firewall

  1. Natychmiastowe wykrycie: Skaner luk w zabezpieczeniach WP-Firewall w czasie rzeczywistym wykrył lukę natychmiast po jej ujawnieniu.
  2. Automatyczne alerty: Właściciel witryny otrzymał automatyczny alert opisujący lukę w zabezpieczeniach i jej potencjalny wpływ.
  3. Środki łagodzące: Reguły zapory sieciowej WP-Firewall zostały zaktualizowane w celu zablokowania wszelkich prób wykorzystania tej luki w zabezpieczeniach.
  4. Ciągły monitoring: Witryna była stale monitorowana pod kątem podejrzanej aktywności związanej z tą luką.

Wynik

Dzięki proaktywnym działaniom WP-Firewall witryna e-commerce pozostała bezpieczna pomimo krytycznej podatności. Właściciel witryny mógł kontynuować działalność bez zakłóceń, a podatność została załatana, gdy tylko pojawiła się aktualizacja.

Naukowcy przyczyniający się do bezpieczeństwa WordPressa

Doceniamy wysiłki 44 badaczy luk w zabezpieczeniach, którzy przyczynili się do bezpieczeństwa WordPressa w zeszłym tygodniu. Ich poświęcenie i wiedza specjalistyczna odgrywają kluczową rolę w identyfikowaniu i łagodzeniu luk w zabezpieczeniach. Niektórzy znani współautorzy to:

  • Bob Matyas: 11 luk w zabezpieczeniach
  • wesley (wcraft): 9 luk w zabezpieczeniach
  • Benedictus Jovan (aillesiM): 9 luk w zabezpieczeniach
  • Krzysztof Zając: 7 luk w zabezpieczeniach
  • helikopter stealth: 5 luk w zabezpieczeniach

Wniosek

Bycie o krok przed lukami jest niezbędne do utrzymania bezpieczeństwa i integralności Twoich witryn WordPress. WP-Firewall jest oddany dostarczaniu Ci narzędzi i usług potrzebnych do skutecznej ochrony Twoich zasobów cyfrowych. Wykorzystując nasze wykrywanie luk w czasie rzeczywistym, automatyczne zarządzanie poprawkami i kompleksową ochronę zapory, możesz zapewnić, że Twoja witryna pozostanie bezpieczna przed pojawiającymi się zagrożeniami.

Aby uzyskać więcej informacji na temat tego, jak WP-Firewall może pomóc Ci chronić Twoje witryny WordPress, odwiedź naszą witrynę i zapoznaj się z naszą ofertą rozwiązań zabezpieczających.

Zachowaj bezpieczeństwo, korzystając z ochrony WP-Firewall.

Czy ten raport był dla Ciebie pomocny? Podziel się nim ze swoją siecią na Facebooku, Twitterze i LinkedIn.

Zapisz się na naszą listę mailingową, aby co tydzień otrzymywać raporty o lukach w zabezpieczeniach i ważne aktualizacje zabezpieczeń WordPressa bezpośrednio na swoją skrzynkę odbiorczą.

Ta strona używa plików cookie zgodnie z naszą Polityką prywatności. Dostosuj ustawienia plików cookie poniżej.

  • Absolutnie konieczne: Te pliki cookie są niezbędne do funkcjonowania witryny i nie można ich wyłączyć.
  • Wydajność/Analiza: Te pliki cookie pomagają nam zrozumieć, w jaki sposób poruszasz się po witrynie i udoskonalać ją.
  • Celowanie: Te pliki cookie dostarczają istotnych informacji i reklam.

Załącznik: Pełna lista wtyczek WordPress ze zgłoszonymi lukami w zabezpieczeniach w zeszłym tygodniu (od 27 maja do 2 czerwca 2024 r.)


wordpress security update banner

Otrzymaj WP Security Weekly za darmo 👋
Zarejestruj się teraz
!!

Zarejestruj się, aby co tydzień otrzymywać na skrzynkę pocztową aktualizacje zabezpieczeń WordPressa.

Nie spamujemy! Przeczytaj nasze Polityka prywatności Więcej informacji znajdziesz tutaj.