Video: Come aggiornare WordPress in modo sicuro 😅 (Settembre 2024)
Se possiedi un sito WordPress, assicurati di rimanere aggiornato sugli aggiornamenti, non solo per la piattaforma principale, ma anche per tutti i temi e i plug-in.
WordPress alimenta oltre 70 milioni di siti Web in tutto il mondo, rendendolo un bersaglio attraente per i criminali informatici. Gli aggressori spesso sequestrano installazioni WordPress vulnerabili per ospitare pagine di spam e altri contenuti dannosi.
I ricercatori hanno scoperto una serie di gravi vulnerabilità in questi popolari plugin di WordPress nelle ultime settimane. Controlla la dashboard dell'amministratore e assicurati di avere installato le versioni più recenti.
1. MailPoet v2.6.7 disponibile
I ricercatori della società di sicurezza Web Sucuri hanno riscontrato un difetto di caricamento dei file remoti in MailPoet, un plug-in che consente agli utenti di WordPress di creare newsletter, pubblicare notifiche e creare risposte automatiche. Precedentemente noto come newsletter wysija, il plug-in è stato scaricato più di 1, 7 milioni di volte. Gli sviluppatori hanno corretto il difetto nella versione 2.6.7. Le versioni precedenti sono tutte vulnerabili.
"Questo bug dovrebbe essere preso sul serio; dà a un potenziale intruso il potere di fare tutto ciò che vuole sul sito Web della sua vittima", ha dichiarato Daniel Cid, Chief Technology Officer di Sucuri, in un post sul blog martedì. "Consente il caricamento di qualsiasi file PHP. Ciò può consentire a un utente malintenzionato di utilizzare il tuo sito Web per attirare phishing, inviare SPAM, ospitare malware, infettare altri clienti (su un server condiviso) e così via!"
Sucuri ha scoperto che la vulnerabilità presupponeva che chiunque effettuasse la chiamata specifica per caricare il file fosse un amministratore, senza verificare effettivamente che l'utente fosse autenticato. "È un errore facile da fare", ha detto Cid.
2. TimThumb v2.8.14 disponibile
La scorsa settimana, un ricercatore ha rilasciato i dettagli di una grave vulnerabilità in TimThumb v2.8.13, un plug-in che consente agli utenti di ritagliare, ingrandire e ridimensionare automaticamente le immagini. Lo sviluppatore dietro TimThumb, Ben Gillbanks, ha corretto il difetto nella versione 2.8.14, che ora è disponibile su Google Code.
La vulnerabilità era nella funzione WebShot di TimThumb e consentiva agli aggressori (senza autenticazione) di rimuovere da remoto le pagine e modificare il contenuto iniettando codice dannoso in siti vulnerabili, secondo un'analisi di Sucuri. WebShot consente agli utenti di acquisire pagine Web remote e convertirle in schermate.
"Con un semplice comando, un utente malintenzionato può creare, rimuovere e modificare qualsiasi file sul server", ha scritto Cid.
Poiché WebShot non è abilitato per impostazione predefinita, la maggior parte degli utenti TimThumb non sarà interessata. Tuttavia, il rischio di attacchi di esecuzione di codice in remoto rimane perché i temi WordPress, i plug-in e altri componenti di terze parti utilizzano TimThumb. In effetti, la ricercatrice Pichaya Morimoto, che ha rivelato il difetto nell'elenco Full Disclosure, ha affermato che WordThumb 1.07, Plugin Galleria WordPress e Widget Slider IGIT erano probabilmente vulnerabili, così come i temi del sito themify.me.
Se WebShot è abilitato, è necessario disabilitarlo aprendo il tema o il file timthumb del plug-in e impostando il valore di WEBSHOT_ENABLED su false, si consiglia Sucuri.
In realtà, se usi ancora TimThumb, è tempo di considerare di eliminarlo gradualmente. Una recente analisi di Incapsula ha rilevato che il 58 percento di tutti gli attacchi di inclusione di file remoti contro i siti WordPress riguardava TimThumb. Gillbanks non gestisce TimThumb dal 2011 (per risolvere un giorno zero) poiché la piattaforma principale di WordPress ora supporta le miniature dei post.
"Non ho usato TimThumb in un tema WordPress da prima del precedente exploit sulla sicurezza di TimThumb nel 2011", ha detto Gillbanks.
3. All in One SEO Pack v2.1.6 disponibile
All'inizio di giugno, i ricercatori di Sucuri hanno rivelato una vulnerabilità di escalation di privilegi in All in ONE SEO Pack. Il plug-in ottimizza i siti WordPress per il motore di ricerca e la vulnerabilità consentirebbe agli utenti di modificare titoli, descrizioni e metatag anche senza i privilegi di amministratore. Questo bug potrebbe essere incatenato con un secondo difetto di escalation dei privilegi (anche corretto) per iniettare codice JavaScript dannoso nelle pagine del sito e "fare cose come cambiare la password dell'account dell'amministratore per lasciare qualche backdoor nei file del tuo webista", ha detto Sucuri.
Secondo alcune stime, circa 15 milioni di siti WordPress utilizzano il pacchetto SEO All in One. Sempre Fi, la società che gestisce il plug-in, ha lanciato una correzione in 2.1.6 il mese scorso.
4. Login Rebuilder v1.2.3 disponibile
Il bollettino sulla sicurezza informatica della US CERT della scorsa settimana includeva due vulnerabilità che interessano i plugin di WordPress. Il primo era un difetto di falsificazione della richiesta tra siti nel plug-in Rebuilder di accesso che avrebbe consentito agli aggressori di compromettere l'autenticazione di utenti arbitrari. In sostanza, se un utente visualizzasse una pagina dannosa durante l'accesso al sito WordPress, gli aggressori sarebbero in grado di dirottare la sessione. L'attacco, che non ha richiesto l'autenticazione, potrebbe comportare la divulgazione non autorizzata di informazioni, modifiche e interruzioni del sito, secondo il National Vulnerability Database.
Le versioni 1.2.0 e precedenti sono vulnerabili. Developer 12net ha rilasciato una nuova versione 1.2.3 la scorsa settimana.
5. JW Player v2.1.4 disponibile
Il secondo problema incluso nel bollettino US-CERT era una vulnerabilità di falsificazione delle richieste tra siti nel plug-in JW Player. Il plug-in consente agli utenti di incorporare clip audio e video Flash e HTML5, nonché sessioni YouTube, sul sito WordPress. Gli aggressori sarebbero in grado di dirottare in remoto l'autenticazione degli amministratori indotti a visitare un sito dannoso e rimuovere i lettori video dal sito.
Le versioni 2.1.3 e precedenti sono vulnerabili. Lo sviluppatore ha risolto il problema nella versione 2.1.4 della scorsa settimana.
Gli aggiornamenti regolari sono importanti
L'anno scorso, Checkmarx ha analizzato i 50 plug-in più scaricati e i 10 plug-in di e-commerce più importanti per WordPress e ha riscontrato problemi di sicurezza comuni come iniezione SQL, script tra siti e contraffazione di richieste tra siti nel 20 percento dei plug-in.
Sucuri la scorsa settimana ha avvertito che "migliaia" di siti WordPress sono stati hackerati e le pagine di spam sono state aggiunte alla directory principale di wp-include sul server. "Le pagine SPAM sono nascoste all'interno di una directory casuale all'interno di wp-Includes", ha avvertito Cid. Le pagine possono essere trovate sotto / wp-Includes / finance / paydayloan, per esempio.
Mentre Sucuri non aveva "prove definitive" su come questi siti fossero stati compromessi ", in quasi tutti i casi, i siti web eseguono installazioni obsolete di WordPress o cPanel", ha scritto Cid.
WordPress ha un processo di aggiornamento abbastanza indolore per i suoi plugin e file core. I proprietari dei siti devono controllare e installare regolarmente gli aggiornamenti per tutti gli aggiornamenti. Vale anche la pena controllare tutte le directory, come wp-Includes, per assicurarsi che i file sconosciuti non abbiano preso residenza.
"L'ultima cosa che ogni proprietario di un sito Web desidera è scoprire in seguito che le risorse del proprio marchio e sistema sono state utilizzate per azioni nefaste", ha affermato Cid.
