Еженедельный отчет об уязвимостях WordPress с 13 по 19 мая 2024 г.

Еженедельный отчет об уязвимостях WordPress WP-Firewall (с 13 по 19 мая 2024 г.)

В постоянно меняющемся ландшафте безопасности WordPress первостепенное значение имеет опережение уязвимостей. В WP-Firewall наша миссия — обеспечить надежную защиту и своевременные обновления для защиты ваших сайтов WordPress. На этой неделе мы рассмотрим последние уязвимости, о которых сообщалось с 13 по 19 мая 2024 года, и то, как WP-Firewall оснащен для защиты вас от этих угроз.

Важность бдительности в обеспечении безопасности WordPress

WordPress управляет 40% сети, что делает его главной целью для кибератак. С постоянным обнаружением новых уязвимостей крайне важно иметь проактивную стратегию безопасности. WP-Firewall не только предлагает мощный плагин брандмауэра, но и предоставляет комплексные услуги безопасности, чтобы гарантировать, что ваш сайт останется в безопасности.

Обзор уязвимостей

За последнюю неделю было обнаружено 107 уязвимостей в 82 плагинах WordPress и 8 темах WordPress. Эти уязвимости были предоставлены 42 исследователями, что подчеркивает совместные усилия в сообществе безопасности WordPress. Вот подробный анализ уязвимостей:

Общее количество неисправленных и исправленных уязвимостей

– Залатан: 96
– Непропатченный: 11

Общее количество уязвимостей по уровню серьезности CVSS

– Средняя степень серьезности: 86
– Высокая степень серьезности: 14
– Критическая серьезность: 7

Общее количество уязвимостей по типу CWE

– Межсайтовый скриптинг (XSS): 61
– Отсутствует авторизация: 17
– Подделка межсайтовых запросов (CSRF): 7
– SQL-инъекция: 3
– Неограниченная загрузка файлов: 3
– Прохождение пути: 2
– Обход аутентификации: 1
– Неправильный контроль доступа: 1
– Подделка запросов на стороне сервера (SSRF): 1
– Открыть перенаправление: 1

Улучшенная защита с помощью WP-Firewall

В WP-Firewall мы постоянно отслеживаем и обновляем правила брандмауэра для защиты от новых угроз. Наши премиум-пользователи получают обновления в режиме реального времени, что обеспечивает немедленную защиту от возникающих уязвимостей. Вот обзор новых правил брандмауэра, развернутых на прошлой неделе:

– WAF-RULE-700: данные отредактированы, пока мы работаем с поставщиком над исправлением.
– WAF-RULE-699: данные отредактированы, пока мы работаем с поставщиком над исправлением.

Клиенты Premium, Care и Response получили эту защиту немедленно, тогда как пользователи бесплатной версии получат эти обновления с 30-дневной задержкой.

Выделенные уязвимости

Критические уязвимости

1. Kognetiks Chatbot для WordPress <= 2.0.0 – Неаутентифицированная произвольная загрузка файлов
– Рейтинг CVSS: 10.0
– CVE-ID: CVE-2024-32700
– Статус патча: исправлено
– Опубликовано: 13 мая 2024 г.

2. Сборка приложения онлайн <= 1.0.21 – Обход аутентификации через заголовок
– Рейтинг CVSS: 9,8
– CVE-ID: CVE-2024-3658
– Статус патча: Не исправлено
– Опубликовано: 17 мая 2024 г.

3. Плагин контактной формы от Fluent Forms <= 5.1.16 – отсутствует авторизация**
– Рейтинг CVSS: 9,8
– CVE-ID: CVE-2024-2771
– Статус патча: исправлено
– Опубликовано: 17 мая 2024 г.

Уязвимости высокой степени серьезности

1. Видеогалерея All-in-One <= 3.6.5 — аутентифицированное включение локальных файлов**
– Рейтинг CVSS: 8.8
– CVE-ID: CVE-2024-4670
– Статус патча: исправлено
– Опубликовано: 14 мая 2024 г.

2. **Alt Text AI <= 1.4.9 – Аутентифицированная инъекция SQL**
– **Рейтинг CVSS:** 8.8
– **CVE-ID:** CVE-2024-4847
– **Статус исправления:** Пропатчено
– **Опубликовано:** 14 мая 2024 г.

3. **Подписчики электронной почты от Icegram Express <= 5.7.19 – Отсутствует авторизация**
– **Рейтинг CVSS:** 8.8
– **CVE-ID:** CVE-2024-4010
– **Статус исправления:** Пропатчено
– **Опубликовано:** 14 мая 2024 г.

Приверженность WP-Firewall безопасности

Наша команда в WP-Firewall стремится обеспечить высочайший уровень безопасности для вашего WordPress## WP-Firewall Еженедельный отчет об уязвимостях WordPress (с 13 мая 2024 г. по 19 мая 2024 г.)

Миссия WP-Firewall

В постоянно меняющемся ландшафте безопасности WordPress первостепенное значение имеет опережение уязвимостей. В WP-Firewall наша миссия — обеспечить надежную защиту и своевременные обновления для защиты ваших сайтов WordPress. На этой неделе мы рассмотрим последние уязвимости, о которых сообщалось с 13 по 19 мая 2024 года, и то, как WP-Firewall оснащен для защиты вас от этих угроз.

Важность бдительности в обеспечении безопасности WordPress

WordPress управляет 40% сети, что делает его главной целью для кибератак. С постоянным обнаружением новых уязвимостей крайне важно иметь проактивную стратегию безопасности. WP-Firewall не только предлагает мощный плагин брандмауэра, но и предоставляет комплексные услуги безопасности, чтобы гарантировать, что ваш сайт останется в безопасности.

Улучшенная защита с помощью WP-Firewall

В WP-Firewall мы постоянно отслеживаем и обновляем правила брандмауэра для защиты от новых угроз. Наши премиум-пользователи получают обновления в режиме реального времени, что гарантирует немедленную защиту от возникающих уязвимостей. Наша команда в WP-Firewall стремится обеспечить наивысший уровень безопасности для вашего WordPress

Последний отчет об уязвимостях WordPress: точка зрения WP-Firewall

Экосистема WordPress — это живое и динамичное пространство, но оно также привлекает значительное количество вредоносной активности. Каждую неделю обнаруживаются новые уязвимости, и злоумышленники постоянно ищут способы их эксплуатации. Вот почему для каждого владельца сайта WordPress крайне важно быть в курсе последних угроз.

В этом отчете отмечены ошеломляющие 107 уязвимостей в 82 плагинах и 8 темах. Хотя это число может показаться пугающим, оно подчеркивает важность проактивных мер безопасности.

WP-Firewall: ваш щит от новейших угроз

В WP-Firewall мы понимаем серьезность этих уязвимостей. Мы стремимся предоставлять нашим пользователям самые надежные и современные решения безопасности для защиты их сайтов WordPress. Наш подход к безопасности многоуровневый и охватывает:

• Мощный брандмауэрl: Наш брандмауэр предназначен для блокировки вредоносного трафика и предотвращения атак до того, как они смогут достичь вашего сайта. Мы постоянно обновляем правила брандмауэра для устранения последних угроз, включая те, которые были отмечены в отчете Wordfence.
• Обнаружение угроз в реальном времени: Мы используем передовые методы анализа угроз для выявления и блокировки известных злоумышленников и шаблонов атак. Этот проактивный подход гарантирует, что ваш сайт защищен от наиболее распространенных и новых угроз.
• Сканирование уязвимостей: Мы предлагаем комплексные услуги сканирования уязвимостей для выявления и устранения потенциальных слабых мест в вашей установке WordPress, плагинах и темах. Это поможет вам оставаться на шаг впереди и устранять уязвимости до того, как ими смогут воспользоваться.
• Экспертная поддержка: Наша команда экспертов по безопасности доступна 24/7, чтобы предоставить поддержку и руководство по всем аспектам безопасности WordPress. Мы можем помочь вам понять последние угрозы, внедрить лучшие практики и отреагировать на инциденты безопасности.

Отчет о ключевых выводах

В отчете раскрывается несколько ключевых тенденций, о которых следует знать владельцам сайтов WordPress:

• Распространенность межсайтового скриптинга (XSS): Уязвимости XSS были наиболее распространенным типом зарегистрированных уязвимостей, на их долю пришлось 61 из 107 уязвимостей. Атаки XSS позволяют злоумышленникам внедрять вредоносные скрипты на ваш сайт, потенциально крадя пользовательские данные, перенаправляя пользователей на вредоносные сайты или получая контроль над вашим сайтом.
• Критические уязвимости: В отчете также отмечено несколько критических уязвимостей, включая те, которые затрагивают популярные плагины, такие как Kognetiks Chatbot и Build App Online. Эти уязвимости могут позволить злоумышленникам получить полный контроль над вашим сайтом, поэтому необходимо немедленно их исправить.
• Неисправленные уязвимости: Хотя многие уязвимости, указанные в отчете Wordfence, были исправлены, все еще есть 11 уязвимостей, которые остаются неисправленными. Это означает, что веб-сайты, использующие эти плагины или темы, по-прежнему подвержены риску атаки.

Ответ WP-Firewall: защита вашего сайта

WP-Firewall активно работает над защитой наших пользователей от уязвимостей, указанных в отчете Wordfence. Мы уже внедрили улучшенные правила брандмауэра для блокировки атак, нацеленных на эти уязвимости.

За пределами отчета: проактивный подход к безопасности WordPress

Хотя быть в курсе последних уязвимостей крайне важно, не менее важно использовать проактивный подход к безопасности WordPress. Вот несколько рекомендаций, которым должен следовать каждый владелец сайта WordPress:

• Поддерживайте актуальность ядра WordPress, плагинов и тем: Регулярно обновляйте ядро WordPress, плагины и темы, чтобы быть уверенным, что у вас установлены последние версии с последними исправлениями безопасности.
• Используйте надежные пароли: Выбирайте надежные пароли для учетной записи администратора WordPress и других учетных записей пользователей. Избегайте использования распространенных паролей и рассмотрите возможность использования менеджера паролей для генерации и хранения надежных паролей.
• Включить двухфакторную аутентификацию (2FA): 2FA добавляет дополнительный уровень безопасности, требуя от пользователей ввода кода с мобильного устройства в дополнение к паролю. Это значительно усложняет злоумышленникам доступ к вашему веб-сайту.
• Ограничить привилегии пользователя: Предоставляйте пользователям только минимальные привилегии, необходимые для выполнения их задач. Это помогает предотвратить несанкционированный доступ к конфиденциальным данным и настройкам.
• Регулярно создавайте резервные копии своего сайта: Регулярное резервное копирование необходимо для восстановления вашего веб-сайта в случае инцидента безопасности. Рассмотрите возможность использования надежного плагина или сервиса резервного копирования для автоматизации процесса резервного копирования.
• Будьте осторожны с фишинговыми атаками: Фишинговые атаки — это распространенный способ, которым злоумышленники получают доступ к вашему веб-сайту. Будьте осторожны, нажимая на ссылки в электронных письмах или в социальных сетях, и всегда проверяйте подлинность любого веб-сайта перед вводом учетных данных.

WP-Firewall: ваш надежный партнер в обеспечении безопасности WordPress

Отчет Intelligence служит суровым напоминанием о постоянной угрозе безопасности WordPress. В WP-Firewall мы стремимся предоставлять нашим пользователям инструменты и экспертные знания, необходимые для обеспечения безопасности. Мы призываем вас предпринять активные действия для защиты вашего веб-сайта и связаться с нами, если у вас есть какие-либо вопросы или опасения.

Вместе мы сможем сделать экосистему WordPress более безопасной и защищенной для всех.