Kiadták a WordPress 4.8.2 verziót, amely minden korábbi verziót érintő sérülékenységet (főleg XSS és SQL injektálás terén) javít, így mindenképpen érdemes frissíteni a weboldaladat a “Vezérlőpult” => “Frissítések” menüpont alatt. A verzió 9 biztonsági frissítést, és 6 karbantartó frissítést tartalmaz.

Mi történhet, ha nem frissíted a weboldaladat?

Itt leírtam.

A befoltozott biztonsági rések:

Forrás: https://wordpress.org/news/2017/09/wordpress-4-8-2-security-and-maintenance-release/

Módosított fájlok:

1. wp-admin/about.php
2. wp-admin/edit-tag-form.php
3. wp-admin/includes/class-wp-plugins-list-table.php
4. wp-admin/includes/file.php
5. wp-admin/includes/template.php
6. wp-admin/install.php
7. wp-admin/js/widgets/text-widgets.js
8. wp-admin/js/widgets/text-widgets.min.js
9. wp-admin/plugin-editor.php
10. wp-admin/plugins.php
11. wp-admin/setup-config.php
12. wp-admin/theme-editor.php
13. wp-admin/user-edit.php
14. wp-includes/class-wp-customize-manager.php
15. wp-includes/embed.php
16. wp-includes/formatting.php
17. wp-includes/js/mce-view.js
18. wp-includes/js/mce-view.min.js
19. wp-includes/js/tinymce/plugins/wplink/plugin.js
20. wp-includes/js/tinymce/plugins/wplink/plugin.min.js
21. wp-includes/js/tinymce/wp-tinymce.js.gz
22. wp-includes/js/twemoji.js
23. wp-includes/js/twemoji.min.js
24. wp-includes/js/wp-emoji-loader.js
25. wp-includes/js/wp-emoji-loader.min.js
26. wp-includes/js/wp-emoji-release.min.js
27. wp-includes/js/wplink.js
28. wp-includes/js/wplink.min.js
29. wp-includes/script-loader.php
30. wp-includes/version.php
31. wp-includes/widgets/class-wp-widget-text.php
32. wp-includes/wp-db.php

Forrás: https://codex.wordpress.org/Version_4.8.2

Gyorshír – 2017/05/17
Megjelent a WordPress 4.7.5, amely minden korábbi verziót érintő sérülékenységeket javít.

Mielőbb keresd fel a “Vezérlőpult” => “Frissítések” menüpontot, és végezd el a frissítést!

Módosított fájlok:

• wp-admin/includes/file.php
• wp-admin/js/common.js
• wp-admin/js/common.min.js
• wp-admin/js/customize-controls.js
• wp-admin/js/customize-controls.min.js
• wp-admin/js/updates.js
• wp-admin/js/updates.min.js
• wp-admin/about.php
• wp-admin/customize.php
• wp-content/plugins/akismet/_inc/img/logo-full-2x.png
• wp-content/plugins/akismet/_inc/akismet.css
• wp-content/plugins/akismet/_inc/akismet.js
• wp-content/plugins/akismet/akismet.php
• wp-content/plugins/akismet/class.akismet.php
• wp-content/plugins/akismet/readme.txt
• wp-includes/js/plupload/handlers.js
• wp-includes/js/plupload/handlers.min.js
• wp-includes/js/wp-api.js
• wp-includes/js/wp-api.min.js
• wp-includes/class-http.php
• wp-includes/class-wp-customize-manager.php
• wp-includes/class-wp-xmlrpc-server.php
• wp-includes/taxonomy.php
• wp-includes/version.php

A WordPress 4.7 és 4.7.1-es verziójában található súlyos sérülékenység egy megújított funkcióra, a REST API-ra vezethető vissza (részletek, konkrét biztonsági kockázat a fenti cikkben). Ezért (is) érdemes letiltani ezt a funkciót a weboldalunkon, hasonlóan az xmlrpc.php fájlhoz.

Mi az a REST API?

Fejlesztői eszköz, amelynek az elődje a WordPress 4.4 óta a rendszer része. Ezt a funkciót főleg fejlesztők szokták használni (segítségével a megszokottnál könnyebben lehet adatokat lekérni a rendszerből), de sok weboldalon kihasználatlan marad, ezért felesleges az engedélyezése.

A DDoS támadások kedvelt kiinduló célpontja valamelyik REST API által elérhető url.

Adatlistázás példa, ha nincs tiltva a REST API:
A weboldalunk címe mögé ezt: /wp-json/wp/v2/users, vagy ezt: wp-json/wp/v2/users?page=1&per_page=10 írva ki lehet listázni a weboldal felhasználóit.

Továbbiak:

• /wp-json
• /wp-json/wp/v2/posts
• /wp-json/wp/v2/pages
• /wp-json/wp/v2/media
• /wp-json/wp/v2/types
• /wp-json/wp/v2/statuses
• /wp-json/wp/v2/taxonomies
• /wp-json/wp/v2/categories
• /wp-json/wp/v2/tags
• /wp-json/wp/v2/settings

A REST API funkció tiltása

Fel kell telepíteni a Disable REST API bővítményt, majd aktiválni kell. Nincs semmilyen további teendő, a funkció (tiltás) működik is. Ha pl. beírod a webcímed mögé a /wp-json kiegészítést, már nem lesznek elérhetőek az adatok.

További részletek a REST API mibenlétéről:

• Kézikönyv: https://developer.wordpress.org/rest-api/
• Általános bemutató: https://www.toptal.com/wordpress/beginners-guide-wordpress-rest-api
• Példák: https://forum.ait-pro.com/forums/topic/wp-rest-api-block-json-requests-to-users-comments-routes/

A WordPress-ben lehetőség van arra, hogy maga a WordPress admin felülete és fájljai máshol (más url alatt) legyenek, mint a weboldal elérhetősége. Tehát pl. a weboldalunk címe: wordpress.video.hu, akkor a belépő oldal “hagyományos” url-je a wordpress.video.hu/wp-login.php lenne. Ehelyett pl. a wordpress.video.hu/mappa/wp-login.php címet is beállíthatjuk a belépő oldal url-jének úgy, hogy a weboldal elérhetősége NEM változik wordpress.video.hu/mappa url-re, hanem marad wordpress.video.hu.

Ez biztonsági szempontból megfontolandó kérdés, amelynek a technikai megvalósíthatósága pár percet vesz igénybe egy új oldal létrehozásakor.

Miben tér el attól a megoldástól ez, amikor megváltoztatjuk a bejelentkező oldal elérhetőségének (ld. 22. bővítmény itt) url-jét? Az a különbség, hogy a most mutatott megoldásban “fizikailag” is áthelyezésre kerülnek a WordPress fájljai.

A videón látott műveletet FOKOZOTT odafigyeléssel, teljes biztonsági mentés elkészítése után végezzétek el!

    

Nem akarod frissíteni a WordPress-t. Megértem. A te döntésed. Mi történhet a weboldaladdal? Hogy adott esetben ne érjen meglepetésként, megmutatom a legrosszabb eshetőségeket.

Tudvalevő, hogy időről-időre megjelenik egy-egy új WordPress verzió, amelyekre haladéktalanul érdemes frissíteni a meglévő verziót. Az alábbiakban azt is elmondom, hogy miért.

A WordPress frissítések két fő csoportja:

• Főverziók: Általában funkcionálisan fejleszti a meglévő weboldalt, ám előfordul, hogy egy-egy főverzió egyben ajánlott biztonsági frissítés is.
• Alverziók: Általában biztonsági és/vagy karbantartó frissítések. Ezek jönnek gyakrabban, egy-egy sérülékenység észlelése után akár néhány órán belül. A biztonsági frissítés azt jelenti, hogy egy korábbi, vagy az összes korábbi verzióban fellelhető sérülékenységet javít. Az ilyen sérülékenységek azért nagyon veszélyesek, mert ha robotok segítségével észreveszik rossz szándékú hackerek, hogy nem a legújabb, esetleg biztonsági rést is tartalmazó verziót használunk, akkor ennek segítségével vagy feltörhetik, vagy elérhetetlenné tehetik a weboldalunkat, esetleg spamelésre használhatják. Ezek a meglévő Google-beli helyezés(eke)t, illetve adott esetben a tárhelyszolgáltató üzembiztonságát is veszélyeztethetik. Előbbi visszasorolással, utóbbi akár a weboldal elérhetetlenné tételével is reagálhat a problémára.

Mi történhet, ha nem törődünk a frissítésekkel?

Nem fontossági/gyakorisági sorrendben:

• Spamelésre használhatják a weboldalunkat. Vagy e-maileket küldhetnek, vagy akár tiltott szerek, szervezetek reklámja is elhelyezésre kerülhet.
• Az előző pontból kifolyólag a tárhelyszolgáltató letilthatja a weboldalunkat.
• Törölhetik/megfertőzhetik/módosíthatják a tartalmakat.
• Elérhetetlenné válhat egy vagy több aloldal.
• Súlyos esetben akár a tárhelyen több weboldalt is tönkre tudnak tenni.
• A Google hátrasorolhatja a weboldalt. Részben a fentiek miatt is, részben az elavult szoftverhasználat miatt.
• A Google “támadó webhelyként” azonosíthatja a weboldalt.
• A böngészők nem engedik megnyitni a weboldalt, ha vírust észlelnek rajta.
• A tárhelyszolgáltató felmondhatja a szerződést.
• Ügyfeleket veszíthetünk, ha éppen elérhetetlen a weboldal, és/vagy emiatt nem tudnak informálódni, rendelést leadni.
• Ügyféladatokat/üzleti titkokat/személyes adatokat tudnak kinyerni az adatbázisból.
• További anyagi kár lehet az okozott kár helyreállítására fordított összeg.
• Stb.

Milyen gyakran frissül a WordPress?

Az első WordPress a cikk megírásakor 13,85 éve jelent meg. Ez idő alatt átlagosan 44,99 naponta – tehát nagyjából átlagosan másfél havonta – jelent meg egy-egy új al- vagy főverzió. 2016-ban 9 db, 2015-ben 11 db, 2014-ben 9 db frissítés jelent meg. További részletek ebben a táblázatban. Itt megnézheti azt is, hogy milyen régi WordPress verziót használ!

Milyen gyorsan érdemes telepíteni egy-egy WordPress frissítést?

Minél gyorsabban. A nemrég megjelent WordPress 4.7.2 pl. olyan sérülékenységet javított, amellyel illetéktelenek az egész weboldalt tönkre tudták adott esetben tenni. A sérülékenység nyilvánosságra kerülésétől számított pár napon belül tömegesen törtek fel és fertőztek meg weboldalakat.

“Az én weboldalamat ki törné fel?”

A feltöréseket, fertőzéseket robotok végzik el, emberi beavatkozás nélkül. Ha rátalálnak a weboldalra, nem nézik azt, hogy az egy kismama blogja-e, vagy egy multinak a céges weboldala. Ha sérülékenység van rajta, azt kihasználják, és kárt okozhatnak.

Mit érdemes még frissíteni?

A WordPress frissítéseken kívül érdemes frissíteni a bővítményeket és a kinézeteket is. Nem csak a használta(ka)t, hanem az összes telepítettet. A legjobb azonban, ha a nem használt bővítmények és kinézetek törlésre kerülnek.

Ha frissítek, nem lehet gond?

Sajnos de, több okból is:

• Előfordulhat, hogy egy-egy új verzió nem kompatibilis a többivel (WordPress-el, kinézettel, bővítménnyel, tárhellyel, stb.), így ez gondot jelenthet.
• Attól, hogy a WordPress-t frissíted, még használhatsz olyan kiegészítőt, amely miatt sérülékeny marad a weboldalad.
• Ha nem megfelelő a weboldal, a tárhely, a számítógéped, és a hozzáféréssel rendelkezők hozzáférési adatainak védelme, az is gondot jelenthet.

Hogyan frissítsek?

A “Vezérlőpult” -> “Frissítések” menüpont alatt lehet a frissítéseket elvégezni. Kivéve a prémium kinézetek és bővítmények frissítését. A Frissítés megkezdése előtt érdemes biztonsági mentést készíteni a teljes weboldalról, hogyha bármi balul sülne el, legyen egy visszaállítható állapot a munka megkezdésekor fellelhető állapotról.

Ha ezekkel nem szeretnél bajlódni, bízd szakemberre a frissítést, keress meg, és segítek!

Egy kis statisztika, hogy az összes WordPress weboldalt tekintve mennyi használ egy-egy verziót (sajnos olyan nincs, hogy a 4-es, vagy 4.7-es ágon belül mi az arány):

forrás: w3techs.com/technologies/details/cm-wordpress/all/all

Néhány példa, fertőzött weboldalakra (saját gyűjtés):

1. Hackelt tartalom:

2. orosz tartalom a menüsorban:

3. Támadás REST API-n keresztül:

4. Eltűnt az összes “OLDAL” tartalomtípus:

5. Spam bejegyzések tömkelege, pl.:

6. Fertőzött forráskód:

7. Vírusos weboldal – riasztás:

8. Előfordulhat, hogy a weboldal HELYÉN ez, vagy ehhez hasonló látvány fogad:

A biztonságossá tétel során alapkő számomra a All In One WP Security & Firewall bővítmény. Az alábbi videón bemutatom, hogy én hogyan szoktam beállítani ezt a több mint 400 000 weboldalon használt kiegészítőt.

Az alábbi 6 perces videó PROFI PLUSZ tagsággal nézhető.

    

Megjelent a WordPress 4.7.2, amely minden előző verzióban megtalálható sérülékenységet javít. Ezek közül a legaggasztóbb:

• Oldalak és bejegyzések címének, tartalmának átírása, jogosultság nélkül: A WordPress REST API-ban találtak egy ilyen hibát, ezt is javítja ez új verzió. Ha 4.7, vagy 4.7.1-es verziót használsz, és nem szeretnéd, hogy spammelésre használják a weboldaladat, és a Google ezért büntetéssel és/vagy hátrasorolással válaszoljon erre, ajánlott azonnal frissíteni a legújabb verzióra!

Példa fertőzött oldalakra a Google listában:

A hiba nyilvánosságra kerülését követő 48 órán belül több mint 65 000 oldalt fertőzött meg csak egy “hacker”. Aki mellett természetesen mások is tevékenykednek, és fertőznek meg weboldalakat.

Példa egy fertőzött oldal külső megjelenésére:

Mit tegyél?

Először készíts egy biztonsági mentést, majd a “Vezérlőpult” => “Frissítések” menüpont alatt végezd el a frissítést!

További sérülékenységek, amelyeket javít ez a verzió

• SQL injection a (WP_Query)
• XSS sérülékenység (nem közvetlenül a WordPress-ben, a frissítés csak óvintézkedés, hogy adott esetben egy bővítmény miatt ne legyen sebezhető az oldal).

A talált hibák olyan súlyosak, hogy a Google Search Console (ha regisztrálva van ott az oldal) is küld róla e-mailt:

A WordPress 4.7.2 verzióben módosított fájlok:

• wp-admin/about.php
• wp-admin/includes/class-wp-press-this.php
• wp-admin/includes/class-wp-posts-list-table.php
• wp-includes/version.php
• wp-includes/class-wp-query.php
• wp-includes/class-wp-comment.php
• wp-includes/class-wp-term.php
• wp-includes/rest-api/endpoints/class-wp-rest-comments-controller.php
• wp-includes/rest-api/endpoints/class-wp-rest-taxonomies-controller.php
• wp-includes/rest-api/endpoints/class-wp-rest-post-types-controller.php
• wp-includes/rest-api/endpoints/class-wp-rest-posts-controller.php
• wp-includes/rest-api/endpoints/class-wp-rest-terms-controller.php
• wp-includes/rest-api/endpoints/class-wp-rest-post-statuses-controller.php
• wp-includes/rest-api/endpoints/class-wp-rest-revisions-controller.php
• wp-includes/rest-api/endpoints/class-wp-rest-users-controller.php
• wp-includes/class-wp-post.php
• wp-includes/rest-api.php

További részletek:
https://blog.sucuri.net/2017/02/content-injection-vulnerability-wordpress-rest-api.html

GYORSHÍR!
Minap megjelent a WordPress 4.7-es ágának első hibajavító kiadása, amely 8 hibát javít. Mindenkinek érdemes elvégezni mielőbb a frissítést!

ui.: Tudtad? Bő egy hónap alatt átlépte a 11,6 milliós letöltésszámot a WordPress 4.7!

Az admin felület védelme során extrém intézkedés, de előfordulhat, hogy indokolttá válik, hogy csak egy, vagy néhány IP címről (vagy tartományról) lehessen elérni a bejelentkező oldalt és az admin felületet. Ezt .htaccess korlátozással lehet könnyedén megoldani. Hátránya: dinamikus IP cím esetén gyakran kell szerkeszteni FTP-n keresztül a .htaccess fájlokat, bár mutatok arra is megoldást, hogyan lehet egy teljes IP tartományt engedélyezni.

WordPress admin felület elérhetőség – korlátozás IP címre, IP tartományra

    

Az egyik kedves előfizetőm hívta fel a figyelmemet rá, hogy nincs még arról videó, hogyan kell a biztonsági mentésből helyreállítani egy weboldalt. És tényleg, nem is tudom, hogyan maradhatott ki a sok száz oktatóanyag közül! 🙂

Ugyan hasonló (a biztonsági mentésből való helyreállítás pont olyan, mint egy klónozás, vagy költöztetés 2. fele annyi eltéréssel, hogy mind a forrás, mind a cél url ugyanaz marad, ezért nem kell a webcímeket módosítani) videó van, de pontosan erről szóló még nincs, ezért készítettem egyet.

Az alábbi videón fogtam egy weboldalt, majd biztonsági mentés után nagy lélegzet, és úgy ahogy van letöröltem az egészet. Majd visszaállítottam a biztonsági mentésből. START csomaggal nézhető is!