ปลั๊กอิน wordpress ห้าอันที่คุณควรอัปเดตทันที

หากคุณเป็นเจ้าของเว็บไซต์ WordPress ตรวจสอบให้แน่ใจว่าคุณได้รับการอัปเดตอยู่เสมอไม่เฉพาะแพลตฟอร์มหลัก แต่รวมถึงธีมและปลั๊กอินทั้งหมดด้วย

WordPress ให้พลังกว่า 70 ล้านเว็บไซต์ทั่วโลกทำให้เป็นเป้าหมายที่น่าดึงดูดสำหรับอาชญากรไซเบอร์ ผู้โจมตีมักจะจี้การติดตั้ง WordPress ที่มีช่องโหว่เพื่อโฮสต์หน้าสแปมและเนื้อหาที่เป็นอันตรายอื่น ๆ

นักวิจัยได้ค้นพบช่องโหว่ร้ายแรงจำนวนหนึ่งในปลั๊กอิน WordPress ยอดนิยมเหล่านี้ในช่วงสองสามสัปดาห์ที่ผ่านมา ตรวจสอบแดชบอร์ดผู้ดูแลระบบของคุณและตรวจสอบให้แน่ใจว่าคุณติดตั้งเวอร์ชันล่าสุดแล้ว

1. MailPoet v2.6.7 พร้อมใช้งาน

นักวิจัยจาก บริษัท รักษาความปลอดภัยบนเว็บ Sucuri พบข้อบกพร่องในการอัปโหลดไฟล์ระยะไกลใน MailPoet ซึ่งเป็นปลั๊กอินที่ช่วยให้ผู้ใช้ WordPress สร้างจดหมายข่าวโพสต์การแจ้งเตือนและสร้างผู้ตอบโต้อัตโนมัติ ก่อนหน้านี้รู้จักกันในชื่อ wysija-newsletters ปลั๊กอินดังกล่าวได้ถูกดาวน์โหลดมากกว่า 1.7 ล้านครั้ง นักพัฒนาแก้ไขข้อบกพร่องในเวอร์ชัน 2.6.7 เวอร์ชั่นก่อนหน้านี้มีจุดอ่อนทั้งหมด

"ข้อผิดพลาดนี้ควรได้รับการดำเนินการอย่างจริงจังมันให้อำนาจผู้บุกรุกในการทำทุกอย่างที่เขาต้องการบนเว็บไซต์ของเหยื่อ" Daniel Cid หัวหน้าเจ้าหน้าที่ฝ่ายเทคโนโลยีของ Sucuri กล่าวในบล็อกโพสต์เมื่อวันอังคาร "อนุญาตให้อัปโหลดไฟล์ PHP ใดก็ได้ซึ่งจะทำให้ผู้โจมตีสามารถใช้เว็บไซต์ของคุณเพื่อล่อลวงฟิชชิ่งส่งสแปมส่งโฮสต์มัลแวร์ติดลูกค้าอื่น ๆ (บนเซิร์ฟเวอร์ที่ใช้ร่วมกัน) และอื่น ๆ !"

ช่องโหว่สันนิษฐานว่าใครก็ตามที่โทรเข้ามาเพื่ออัพโหลดไฟล์นั้นเป็นผู้ดูแลระบบโดยไม่ได้ตรวจสอบว่าผู้ใช้นั้นได้รับการตรวจสอบสิทธิ์หรือไม่ “ มันเป็นความผิดพลาดง่าย ๆ ที่จะทำ” ซิดกล่าว

2. TimThumb v2.8.14 พร้อมใช้งาน

เมื่อสัปดาห์ที่แล้วนักวิจัยได้เปิดเผยรายละเอียดของช่องโหว่ร้ายแรงใน TimThumb v2.8.13 ซึ่งเป็นปลั๊กอินที่ช่วยให้ผู้ใช้ครอบตัดซูมและปรับขนาดภาพโดยอัตโนมัติ นักพัฒนาที่อยู่เบื้องหลัง TimThumb, Ben Gillbanks ได้แก้ไขข้อบกพร่องในรุ่น 2.8.14 ซึ่งตอนนี้มีให้ใช้บน Google Code แล้ว

ช่องโหว่อยู่ในฟังก์ชัน WebShot ของ TimThumb และอนุญาตให้ผู้โจมตี (โดยไม่ต้องมีการรับรองความถูกต้อง) เพื่อลบหน้าเว็บและแก้ไขเนื้อหาจากระยะไกลโดยการฉีดโค้ดที่เป็นอันตรายลงในไซต์ที่มีช่องโหว่ตามการวิเคราะห์ของ Sucuri WebShot ช่วยให้ผู้ใช้สามารถดึงเว็บเพจระยะไกลและแปลงเป็นภาพหน้าจอได้

"ด้วยคำสั่งง่ายๆผู้โจมตีสามารถสร้างลบและแก้ไขไฟล์ใด ๆ บนเซิร์ฟเวอร์ของคุณ" Cid wrote

เนื่องจาก WebShot ไม่ได้เปิดใช้งานตามค่าเริ่มต้นผู้ใช้ TimThumb ส่วนใหญ่จะไม่ได้รับผลกระทบ อย่างไรก็ตามความเสี่ยงในการโจมตีด้วยรหัสระยะไกลยังคงอยู่เนื่องจากธีมเวิร์ดเพรสปลั๊กอินและส่วนประกอบบุคคลที่สามอื่น ๆ ใช้ TimThumb ในความเป็นจริงนักวิจัย Pichaya Morimoto ผู้เปิดเผยข้อบกพร่องในรายการการเปิดเผยข้อมูลกล่าวว่า WordThumb 1.07 ปลั๊กอิน WordPress Gallery และ IGIT Posts Slider Widget อาจมีความเสี่ยงเช่นเดียวกับธีมจากเว็บไซต์ themify.me

หากคุณเปิดใช้งาน WebShot คุณควรปิดใช้งานโดยการเปิดไฟล์ timthumb ของธีมหรือปลั๊กอินและตั้งค่า WEBSHOT_ENABLED เป็นเท็จแนะนำ Sucuri

ที่จริงแล้วถ้าคุณยังใช้ TimThumb ก็ถึงเวลาที่จะพิจารณาเลิกวางขั้นตอน การวิเคราะห์ล่าสุดโดย Incapsula พบว่าร้อยละ 58 ของการโจมตีรวมไฟล์จากระยะไกลกับเว็บไซต์ WordPress เกี่ยวข้องกับ TimThumb Gillbanks ยังไม่ได้ดูแล TimThumb ตั้งแต่ 2011 (เพื่อแก้ไขปัญหา zero-day) เนื่องจากแพลตฟอร์ม WordPress หลักตอนนี้รองรับการโพสต์รูปขนาดย่อ

"ฉันไม่ได้ใช้ TimThumb ในธีม WordPress ตั้งแต่ก่อนหน้าที่ความปลอดภัยของ TimThumb ก่อนหน้านี้ใช้ประโยชน์ในปี 2011" Gillbanks กล่าว

3. มีทั้งหมดในชุด SEO v2.1.6 หนึ่งชุด

ในต้นเดือนมิถุนายนนักวิจัยของ Sucuri เปิดเผยช่องโหว่ของการเพิ่มระดับสิทธิ์ใน All in ONE SEO Pack ปลั๊กอินจะปรับไซต์ WordPress ให้เหมาะสมกับเครื่องมือค้นหาและช่องโหว่จะช่วยให้ผู้ใช้สามารถแก้ไขชื่อคำอธิบายและเมตาแท็กแม้ไม่มีสิทธิ์ผู้ดูแลระบบ ข้อผิดพลาดนี้อาจถูกผูกมัดด้วยข้อบกพร่องการเลื่อนระดับสิทธิ์ที่สอง (เช่นแก้ไข) เพื่อฉีดโค้ด JavaScript ที่เป็นอันตรายลงในหน้าของเว็บไซต์และ "ทำสิ่งต่าง ๆ เช่นเปลี่ยนรหัสผ่านของบัญชีผู้ดูแลระบบเพื่อปล่อยให้แบ็คดอร์บางไฟล์

ตามประมาณการบางไซต์ WordPress ประมาณ 15 ล้านแห่งใช้ All in One SEO Pack Semper Fi บริษัท ที่จัดการปลั๊กอินส่งการแก้ไขใน 2.1.6 เมื่อเดือนที่แล้ว

4. เข้าสู่ระบบสร้างใหม่ v1.2.3 ที่มีอยู่

US-CERT Cyber ​​Security Bulletin ของสัปดาห์ที่แล้วมีสองช่องโหว่ที่มีผลต่อปลั๊กอินของ WordPress ข้อแรกคือข้อผิดพลาดในการปลอมแปลงคำขอข้ามไซต์ในปลั๊กอินล็อกอินสร้างใหม่ซึ่งจะช่วยให้ผู้โจมตีจี้การตรวจสอบสิทธิ์ของผู้ใช้โดยพลการ โดยพื้นฐานแล้วหากผู้ใช้ดูหน้าเว็บที่เป็นอันตรายในขณะที่ลงชื่อเข้าใช้เว็บไซต์ WordPress ผู้โจมตีจะสามารถขโมยเซสชันได้ การโจมตีที่ไม่ต้องการการรับรองความถูกต้องอาจส่งผลให้มีการเปิดเผยข้อมูลการแก้ไขและการหยุดชะงักของไซต์โดยไม่ได้รับอนุญาตตามฐานข้อมูลช่องโหว่แห่งชาติ

รุ่น 1.2.0 และก่อนหน้านี้มีความเสี่ยง นักพัฒนา 12net เปิดตัวเวอร์ชั่นใหม่ 1.2.3 เมื่อสัปดาห์ที่แล้ว

5. JW Player v2.1.4 พร้อมใช้งาน

ปัญหาที่สองที่รวมอยู่ในบูเลทีน US-CERT เป็นช่องโหว่การปลอมแปลงคำขอข้ามไซต์ในปลั๊กอิน JW Player ปลั๊กอินช่วยให้ผู้ใช้ฝัง Flash และคลิปเสียงและวิดีโอ HTML5 รวมถึงเซสชัน YouTube บนเว็บไซต์ WordPress ผู้โจมตีจะสามารถทำการตรวจสอบความถูกต้องของผู้ดูแลระบบที่ถูกหลอกจากระยะไกลเพื่อเยี่ยมชมเว็บไซต์ที่เป็นอันตรายและลบเครื่องเล่นวิดีโอออกจากไซต์

รุ่น 2.1.3 และก่อนหน้านี้มีความเสี่ยง นักพัฒนาแก้ไขข้อบกพร่องในเวอร์ชัน 2.1.4 เมื่อสัปดาห์ที่แล้ว

การอัพเดทปกติมีความสำคัญ

เมื่อปีที่แล้ว Checkmarx วิเคราะห์ปลั๊กอินที่ดาวน์โหลดมากที่สุด 50 อันดับและปลั๊กอินอีคอมเมิร์ซ 10 อันดับแรกสำหรับ WordPress และพบปัญหาด้านความปลอดภัยทั่วไปเช่นการฉีด SQL, การเขียนสคริปต์ข้ามไซต์และการปลอมแปลงคำขอข้ามไซต์ใน 20 เปอร์เซ็นต์ของปลั๊กอิน

เมื่อสัปดาห์ที่แล้วซูกุริเตือนว่าเว็บไซต์ WordPress หลายพันแห่งถูกแฮ็กและหน้าสแปมที่ถูกเพิ่มเข้าไปในไดเรกทอรีหลักของ wp รวมถึงเซิร์ฟเวอร์ "หน้าสแปมถูกซ่อนอยู่ในไดเรกทอรีสุ่มภายใน wp-include" Cid เตือน ตัวอย่างหน้าอาจพบได้ใน / wp-include / finance / paydayloan เป็นต้น

ในขณะที่ Sucuri ไม่มี "การพิสูจน์ที่ชัดเจน" ว่าไซต์เหล่านี้ถูกบุกรุกได้อย่างไร "ในเกือบทุกกรณีเว็บไซต์กำลังเรียกใช้ WordPress หรือ cPanel ที่ล้าสมัย" Cid เขียน

WordPress มีกระบวนการอัปเดตที่ค่อนข้างลำบากสำหรับปลั๊กอินและไฟล์หลัก เจ้าของเว็บไซต์จะต้องตรวจสอบและติดตั้งการปรับปรุงสำหรับการปรับปรุงทั้งหมดเป็นประจำ นอกจากนี้ยังควรตรวจสอบไดเรกทอรีทั้งหมดเช่น WP- รวมเพื่อให้แน่ใจว่าไฟล์ที่ไม่รู้จักไม่ได้อยู่ในบ้าน

"สิ่งสุดท้ายที่เจ้าของเว็บไซต์ต้องการคือการค้นพบในภายหลังว่าทรัพยากรแบรนด์และระบบของพวกเขาถูกใช้เพื่อการกระทำที่เลวร้าย" ซิดกล่าว