Ügyfélszolgálat: +36 70 623 8822

WordPress és bővítmény sérülékenységek

Szerző: Szűcs Ádám Kategória: Cikk, Hírek, Ingyenes videók, cikkek, WordPress biztonság

Az alábbi posztot azért hozom létre, hogy legyen egy hely, ahol megnézheted a legújabb, WordPress-t érintő sérülékenységeket és a megoldásukat. Időről-időre frissíteni fogom, ha lesz újabb sérülékenység.

Sokszor kiderül, hogy egy-egy bővítményben találtak olyan kódot, amivel kárt tudnak tenni a weboldalban. Ezekről nem tudok mindig külön cikket írni, de ezt a cikket egy perc alatt tudom bővíteni, így ezen sérülékenységekről is hírt fogok tudni adni.

A sérülékenységeket alapvetően 3 módon lehet megszüntetni:

  • Frissíteni kell a sérülékenységet tartalmazó bővítményt (vagy WordPress-t) olyan verzióra, amely már nem tartalmazza a hibát.
  • Vagy törölni kell (nem elég kikapcsolni!) a bővítményt, és helyette keresni egy alternatívát. Miért kell törölni az ilyen bővítményeket? Mert erre szakosodott eszközökkel egy pillanat alatt megtalálni a kikapcsolt bővítményeket is.
  • Komplett vírusírtással. Ha súlyos fertőzés érte a weboldalt, akkor csak ez segít. Ha szükséged van ilyenre, vedd fel velem a kapcsolatot!

Honnan értesülhetsz sérülékenységekről?

  • WPScan Vulnerability Database – itt meg tudod nézni, hogy a weboldaladon használt bővítmények között van-e olyan (vagy olyan verzió), amelyben sérülékenység található.
  • CVE Details
  • Wordfence blog
  • Jelen cikkből. Igaz, itt nem fogok mindenről beszámolni, azaz csak a nagyobb tömegeket érintő biztonsági résekről fogok írni.

Legújabb, sokak által használt WordPress bővítményekkel kapcsolatos sérülékenységek:

2017.12.19. – Captcha plugin

300 000 weboldalon használt bővítmény a Captcha. Backdoort találtak benne (a 4.3.6 verziótól a 4.4.4-es verzióig érintettek a felhasználók), amely jelen esetben azt jelenti, hogy a bővítményben talált sérülékenység miatt adminisztrátori hozzáférést tud szerezni az, aki ismeri a hibát, és tudja, hogy az adott weboldalon fent van ez a bővítmény. Azonnal töröld ezt a bővítményt! A probléma onnan fakadt, hogy a bővítmény eredeti tulajdonosa átadta másnak a fiókját, aki feltételezhetően szándékosan helyezte el a kártékony kódot a bővítményben, amely a frissítéssel minden weboldalra települt. A WordPress fejlesztői korlátozták a bővítmény tulajdonosának fiókját, és kiadtak egy olyan verziót (4.4.5), amely nem tartalmazza a hibát. És elvileg a bővítmény tulaja mostantól csak ellenőrzés után tud friss verziót kiadni a bővítményből. Én ettől függetlenül – a fentiek miatt – azt javaslom, hogy töröld ezt a bővítményt, és ha a szerzőtől (pl.: Covert me Popup, Death To Comments, Human Captcha, Smart Recaptcha, Social Exchange) használsz más bővítményeket, azokat is! Ajánlott alternatívák: Math Captcha | Captcha CodeRészletek, forrás

További alternatívák, amelyeket még nem használtam, de szimpatikusnak tűnnek első ránézésre:

  • https://wordpress.org/plugins/login-recaptcha/
  • https://wordpress.org/plugins/wp-conditional-captcha/
  • https://wordpress.org/plugins/wp-captcha-booster/

2017.11.15. – YOAST SEO

XSS sebezhetőség az 5.7.1-es verzióban, és a korábbiakban. Frissíteni kell min. 5.8-as verzióra. Forrás

2017.11.07. – Duplicator bővítmény.

Az 1.2.29 előtti verziókban XSS sebezhetőség van. Érdemes frissíteni min. 1.2.29-es verzióra. Forrás



Hasznos volt? Tetszett? Iratkozz fel a BEJEGYZÉSÉRTESÍTŐ-re:
AJÁNDÉK! Azonnal letölthető, 137 weboldal készítés hiba című, 55 oldalas tanulmány!

Szólj hozzá!

Honlapunk cookie-kat használ. Részletek

Egy EU-s törvény alapján kötelező tájékoztatni a látogatókat, hogy a weboldal ún. cookie-kat használ. Ha ezzel nem értesz egyet, akkor a böngésződ megfelelő beállításait használva tiltsd le a cookie-k tárolását. | Részletes adatvédelmi tájékoztató |

Bezárás