Video: Verhuis je WordPress website (tot wel 10 GB!) met deze GRATIS plugin - of doe het handmatig! (December 2024)
Als u een WordPress-site bezit, zorg er dan voor dat u op de hoogte blijft van updates - niet alleen voor het kernplatform, maar ook voor alle thema's en plug-ins.
WordPress beheert meer dan 70 miljoen websites over de hele wereld, waardoor het een aantrekkelijk doelwit is voor cybercriminelen. Aanvallers kapen vaak kwetsbare WordPress-installaties om spampagina's en andere kwaadaardige inhoud te hosten.
Onderzoekers hebben de afgelopen weken een aantal ernstige kwetsbaarheden in deze populaire WordPress-plug-ins ontdekt. Controleer uw beheerdersdashboard en zorg ervoor dat u de nieuwste versies hebt geïnstalleerd.
1. MailPoet v2.6.7 Beschikbaar
Onderzoekers van webbeveiligingsbedrijf Sucuri ontdekten een fout in het uploaden van bestanden op afstand in MailPoet, een plug-in waarmee WordPress-gebruikers nieuwsbrieven kunnen maken, meldingen kunnen plaatsen en auto-responders kunnen maken. Voorheen bekend als wysija-nieuwsbrieven, is de plug-in meer dan 1, 7 miljoen keer gedownload. De ontwikkelaars hebben de fout hersteld in versie 2.6.7. Eerdere versies zijn allemaal kwetsbaar.
"Deze bug moet serieus worden genomen; het geeft een potentiële indringer de macht om alles te doen wat hij wil op de website van zijn slachtoffer, " zei Daniel Cid, Chief Technology Officer van Sucuri, dinsdag in een blogpost. "Hiermee kan elk PHP-bestand worden geüpload. Hierdoor kan een aanvaller uw website gebruiken voor phishing-lokmiddelen, spam verzenden, malware hosten, andere klanten infecteren (op een gedeelde server), enzovoort!"
Het beveiligingslek ging ervan uit dat iemand die de specifieke oproep deed om het bestand te uploaden, een beheerder was, zonder daadwerkelijk te verifiëren dat de gebruiker was geverifieerd, vond Sucuri. "Het is een gemakkelijke fout om te maken, " zei Cid.
2. TimThumb v2.8.14 Beschikbaar
Vorige week publiceerde een onderzoeker details over een ernstige kwetsbaarheid in TimThumb v2.8.13, een plug-in waarmee gebruikers afbeeldingen automatisch kunnen bijsnijden, zoomen en vergroten of verkleinen. De ontwikkelaar achter TimThumb, Ben Gillbanks, heeft het probleem verholpen in versie 2.8.14, die nu beschikbaar is op Google Code.
Het beveiligingslek zat in de WebShot-functie van TimThumb en stond aanvallers toe (zonder authenticatie) om op afstand pagina's te verwijderen en inhoud te wijzigen door kwaadaardige code op kwetsbare sites te injecteren, volgens een analyse van Sucuri. Met WebShot kunnen gebruikers externe webpagina's ophalen en deze omzetten in screenshots.
"Met een eenvoudige opdracht kan een aanvaller alle bestanden op uw server maken, verwijderen en wijzigen", schreef Cid.
Omdat WebShot standaard niet is ingeschakeld, hebben de meeste TimThumb-gebruikers geen last. Het risico voor externe uitvoering van code blijft echter bestaan omdat WordPress-thema's, plug-ins en andere componenten van derden TimThumb gebruiken. Onderzoeker Pichaya Morimoto, die de fout op de lijst met volledige openbaringen openbaarde, zei zelfs dat WordThumb 1.07, WordPress Gallery Plugin en IGIT Posts Slider Widget mogelijk kwetsbaar waren, evenals thema's van de themify.me-site.
Als WebShot is ingeschakeld, moet u dit uitschakelen door het thema of het timthumb-bestand van de plug-in te openen en de waarde WEBSHOT_ENABLED in te stellen op false, aanbevolen door Sucuri.
Als je nog steeds TimThumb gebruikt, is het tijd om te overwegen het geleidelijk af te schaffen. Uit een recente analyse van Incapsula bleek dat 58 procent van alle aanvallen op externe bestandsinclusie op WordPress-sites TimThumb betrof. Gillbanks heeft TimThumb sinds 2011 niet onderhouden (om een zero-day te repareren), omdat het kern-WordPress-platform nu postminiaturen ondersteunt.
"Ik heb TimThumb niet meer gebruikt in een WordPress-thema sinds voor de vorige TimThumb-beveiligingsuitbuiting in 2011, " zei Gillbanks.
3. Alles in één SEO Pack v2.1.6 Beschikbaar
Begin juni onthulden Sucuri-onderzoekers een kwetsbaarheid voor escalatie van privileges in All in ONE SEO Pack. De plug-in optimaliseert WordPress-sites voor de zoekmachine en door het beveiligingslek zouden gebruikers titels, beschrijvingen en metatags kunnen wijzigen, zelfs zonder beheerdersrechten. Deze bug kan worden gekoppeld aan een tweede privilege-escalatiefout (ook opgelost) om kwaadaardige JavaScript-code in de pagina's van de site te injecteren en "dingen doen zoals het wachtwoord van de beheerdersaccount wijzigen of een achterdeur in de bestanden van uw website achterlaten", zei Sucuri.
Volgens sommige schattingen gebruiken ongeveer 15 miljoen WordPress-sites het All in One SEO-pakket. Semper Fi, het bedrijf dat de plug-in beheert, heeft vorige maand een fix uitgezet in 2.1.6.
4. Login Rebuilder v1.2.3 Beschikbaar
Het US-CERT Cyber Security Bulletin van vorige week bevatte twee kwetsbaarheden die invloed hadden op WordPress-plug-ins. De eerste was een cross-site verzoek vervalsing fout in de Login Rebuilder plug-in waarmee aanvallers de authenticatie van willekeurige gebruikers konden kapen. Als een gebruiker een kwaadaardige pagina bekijkt terwijl hij is ingelogd op de WordPress-site, kunnen aanvallers de sessie in wezen kapen. De aanval, waarvoor geen authenticatie nodig was, zou volgens de National Vulnerability Database kunnen leiden tot ongeoorloofde openbaarmaking van informatie, aanpassing en verstoring van de site.
Versies 1.2.0 en eerder zijn kwetsbaar. Ontwikkelaar 12net heeft vorige week een nieuwe versie 1.2.3 uitgebracht.
5. JW Player v2.1.4 Beschikbaar
Het tweede probleem in het US-CERT-bulletin was een beveiligingslek met betrekking tot het vervalsen van aanvragen op verschillende sites in de JW Player-plug-in. Met de plug-in kunnen gebruikers Flash- en HTML5-audio- en videoclips en YouTube-sessies insluiten op de WordPress-site. Aanvallers kunnen de authenticatie van beheerders die zijn misleid om een schadelijke site te bezoeken, op afstand kapen en de videospelers van de site verwijderen.
Versies 2.1.3 en eerder zijn kwetsbaar. De ontwikkelaar heeft de fout in versie 2.1.4 vorige week verholpen.
Regelmatige updates zijn belangrijk
Vorig jaar analyseerde Checkmarx de 50 meest gedownloade plug-ins en top 10 e-commerce plug-ins voor WordPress en vond het gemeenschappelijke beveiligingsproblemen zoals SQL-injectie, cross-site scripting en cross-site verzoekvervalsing in 20 procent van de plug-ins.
Sucuri waarschuwde vorige week dat "duizenden" WordPress-sites waren gehackt en spam-pagina's waren toegevoegd aan de kerndirectory van wp-include op de server. "De SPAM-pagina's zijn verborgen in een willekeurige map in wp-include", waarschuwde Cid. De pagina's zijn bijvoorbeeld te vinden onder / wp-include / finance / paydayloan.
Hoewel Sucuri geen "definitief bewijs" had over hoe deze sites werden gecompromitteerd, "hebben de websites in bijna alle gevallen verouderde WordPress-installaties of cPanel", schreef Cid.
WordPress heeft een vrij pijnloos updateproces voor zowel plug-ins als kernbestanden. Site-eigenaren moeten regelmatig controleren op updates voor alle updates en deze installeren. Het is ook de moeite waard om alle mappen door te nemen, zoals wp-include, om te controleren of onbekende bestanden niet zijn opgenomen.
"Het laatste wat elke website-eigenaar wil, is er later achter komen dat zijn merk- en systeembronnen zijn gebruikt voor snode handelingen", zei Cid.