Ügyfélszolgálat: +36 70 623 8822

WordPress 4.7.2 – biztonsági frissítés

Szerző: Szűcs Ádám Kategória: Cikk, Hírek, WordPress biztonság

Megjelent a WordPress 4.7.2, amely minden előző verzióban megtalálható sérülékenységet javít. Ezek közül a legaggasztóbb:

  • Oldalak és bejegyzések címének, tartalmának átírása, jogosultság nélkül: A WordPress REST API-ban találtak egy ilyen hibát, ezt is javítja ez új verzió. Ha 4.7, vagy 4.7.1-es verziót használsz, és nem szeretnéd, hogy spammelésre használják a weboldaladat, és a Google ezért büntetéssel és/vagy hátrasorolással válaszoljon erre, ajánlott azonnal frissíteni a legújabb verzióra!

Példa fertőzött oldalakra a Google listában:

A hiba nyilvánosságra kerülését követő 48 órán belül több mint 65 000 oldalt fertőzött meg csak egy “hacker”. Aki mellett természetesen mások is tevékenykednek, és fertőznek meg weboldalakat.

Példa egy fertőzött oldal külső megjelenésére:

Mit tegyél?

Először készíts egy biztonsági mentést, majd a “Vezérlőpult” => “Frissítések” menüpont alatt végezd el a frissítést!

További sérülékenységek, amelyeket javít ez a verzió

  • SQL injection a (WP_Query)
  • XSS sérülékenység (nem közvetlenül a WordPress-ben, a frissítés csak óvintézkedés, hogy adott esetben egy bővítmény miatt ne legyen sebezhető az oldal).

A talált hibák olyan súlyosak, hogy a Google Search Console (ha regisztrálva van ott az oldal) is küld róla e-mailt:

A WordPress 4.7.2 verzióben módosított fájlok:

  • wp-admin/about.php
  • wp-admin/includes/class-wp-press-this.php
  • wp-admin/includes/class-wp-posts-list-table.php
  • wp-includes/version.php
  • wp-includes/class-wp-query.php
  • wp-includes/class-wp-comment.php
  • wp-includes/class-wp-term.php
  • wp-includes/rest-api/endpoints/class-wp-rest-comments-controller.php
  • wp-includes/rest-api/endpoints/class-wp-rest-taxonomies-controller.php
  • wp-includes/rest-api/endpoints/class-wp-rest-post-types-controller.php
  • wp-includes/rest-api/endpoints/class-wp-rest-posts-controller.php
  • wp-includes/rest-api/endpoints/class-wp-rest-terms-controller.php
  • wp-includes/rest-api/endpoints/class-wp-rest-post-statuses-controller.php
  • wp-includes/rest-api/endpoints/class-wp-rest-revisions-controller.php
  • wp-includes/rest-api/endpoints/class-wp-rest-users-controller.php
  • wp-includes/class-wp-post.php
  • wp-includes/rest-api.php

További részletek:
https://blog.sucuri.net/2017/02/content-injection-vulnerability-wordpress-rest-api.html

WordPress admin felület elérhetőség – korlátozás IP címre, IP tartományra

Szerző: Szűcs Ádám Kategória: Hasznos lehet, Videó, WordPress biztonság

Az admin felület védelme során extrém intézkedés, de előfordulhat, hogy indokolttá válik, hogy csak egy, vagy néhány IP címről (vagy tartományról) lehessen elérni a bejelentkező oldalt és az admin felületet. Ezt .htaccess korlátozással lehet könnyedén megoldani. Hátránya: dinamikus IP cím esetén gyakran kell szerkeszteni FTP-n keresztül a .htaccess fájlokat, bár mutatok arra is megoldást, hogyan lehet egy teljes IP tartományt engedélyezni.

WordPress admin felület elérhetőség – korlátozás IP címre, IP tartományra

    

WordPress weboldal helyreállítása biztonsági mentésből

Szerző: Szűcs Ádám Kategória: Hasznos lehet, START csomag, Videó, WordPress biztonság

Az egyik kedves előfizetőm hívta fel a figyelmemet rá, hogy nincs még arról videó, hogyan kell a biztonsági mentésből helyreállítani egy weboldalt. És tényleg, nem is tudom, hogyan maradhatott ki a sok száz oktatóanyag közül! 🙂

Ugyan hasonló (a biztonsági mentésből való helyreállítás pont olyan, mint egy klónozás, vagy költöztetés 2. fele annyi eltéréssel, hogy mind a forrás, mind a cél url ugyanaz marad, ezért nem kell a webcímeket módosítani) videó van, de pontosan erről szóló még nincs, ezért készítettem egyet.

Az alábbi videón fogtam egy weboldalt, majd biztonsági mentés után nagy lélegzet, és úgy ahogy van letöröltem az egészet. Majd visszaállítottam a biztonsági mentésből.

    

WordPress 4.5.3 – biztonsági frissítés

Szerző: Szűcs Ádám Kategória: Cikk, Hírek, WordPress biztonság

46 nappal az előző után, sorban a 107. verzióként megjelent a WordPress 4.5.3. Az új verzió az összes korábbi verzióban megtalálható biztonsági rést javít, így mindenkinek haladéktalanul érdemes frissítenie!

  1. Csinálj biztonsági mentést a weboldalról.
  2. Menj a Vezérlőpult =>Frissítések menüpont alá, és végezd el a frissítést.

Módosított fájlok:

  • readme.html
  • wp-admin/about.php
  • wp-admin/nav-menus.php
  • wp-admin/includes/ajax-actions.php
  • wp-admin/includes/upgrade.php
  • wp-admin/includes/post.php
  • wp-admin/includes/class-wp-media-list-table.php
  • wp-admin/options.php
  • wp-admin/revision.php
  • wp-includes/load.php
  • wp-includes/default-filters.php
  • wp-includes/theme-compat/embed-content.php
  • wp-includes/embed.php
  • wp-includes/class-wp-customize-manager.php
  • wp-includes/js/media-views.js
  • wp-includes/js/tinymce/wp-tinymce.js.gz
  • wp-includes/js/tinymce/plugins/wordpress/plugin.js
  • wp-includes/js/tinymce/plugins/wordpress/plugin.min.js
  • wp-includes/js/tinymce/plugins/wplink/plugin.js
  • wp-includes/js/tinymce/plugins/wplink/plugin.min.js
  • wp-includes/js/media-views.min.js
  • wp-includes/js/jquery/jquery-migrate.js
  • wp-includes/js/jquery/jquery.js
  • wp-includes/js/jquery/jquery-migrate.min.js
  • wp-includes/class-oembed.php
  • wp-includes/version.php
  • wp-includes/customize/class-wp-customize-media-control.php
  • wp-includes/customize/class-wp-customize-site-icon-control.php
  • wp-includes/pluggable.php
  • wp-includes/script-loader.php
  • wp-includes/formatting.php
  • wp-includes/class-wp-customize-widgets.php
  • wp-includes/post-template.php

WordPress Biztonsági Est – 2016/03/23

Szerző: Szűcs Ádám Kategória: Hírek, Ingyenes videók, cikkek, WordPress biztonság

2016. március 23-án voltam a címben említett eseményen, amelyet Csermák Szabolcs Etikus hacker tartott.

Készítettem egy 13 perces hanganyagot, amelyen gyorsan összefoglaltam a hallottakat. Ez egy nagyon sűrű és elnagyolt kivonata a ~2,5 órás eseménynek.

Szeretnéd részletesebben megismerni a WordPress biztonsági beállításait?
Íme egy 2 órás videó a témában!