XSS уязвимост засяга множество WordPress плъгини

  by    0   0

ICN.bg ви уведомява за множество WordPress плъгини, които са уязвими към Cross-site Scripting (XSS), поради неправилно използване на add_query_arg() и remove_query_arg() функции. Това са популярни функции, използвани от разработчици за модифициране и изпращане на заявки към базата данни през URL адреси в WordPress.

Официалната документация на WordPress (Codex) не даде достатъчно яснота по този въпрос и някои разработчици останаха подведени, че всичко е наред. Те допуснаха, че тези функции филтрират потребителските входни данни, а всъщност това не се случва. Вижте повече за уязвимостта и как да се предпазите.

Списък на засегнатите плъгини:

  • Jetpack
  • WordPress SEO
  • Google Analytics by Yoast
  • All In one SEO
  • Gravity Forms
  • Multiple Plugins from Easy Digital Downloads
  • UpdraftPlus
  • WP-E-Commerce
  • WPTouch
  • Download Monitor
  • Related Posts for WordPress
  • My Calendar
  • P3 Profiler
  • Give
  • Multiple iThemes products including Builder and Exchange
  • Broken-Link-Checker
  • Ninja Forms

Вероятно съществуват и много други освен изброените по-горе. Ако използвате WordPress, ние силно ви препоръчваме да отидете в своя wp-admin dashboard и още сега да ъпдейтнете всички по-стари плъгини.

Ако сте разработчик, проверете своя код, за да видите как използвате тези две функции:

add_query_arg

remove_query_arg

Препоръчваме ви да използвате esc_url() (or esc_url_raw()) функции за тях.

Време за ъпдейтване!

Ако използвате някои от тези плъгини уверете се, че сте ги ъпдейтнали. Ето и няколко трика, които ще намалят риска от заплахи и ще помогнат за подобряването на вашата сигурност:

 

1. Подобрявайте. Ъпдейтвайте своя сайт.

2. Ограничавайте. Ограничавайте контрола за достъп. Ограничете своята wp-admin директория само до бял списък с IP адреси. Давайте администраторски достъп само на потребители, които наистина се нуждаят от него. Не влизайте като администратор, ако няма да извършвате администраторска дейност.

3.Мониторинг. Преглеждайте вашите влизания. Това ще ви помогне да разберете какво се случва с вашия сайт.

4.Намалете своя обхват. Използвайте само тези плъгини или теми, от които вашият сайт наистина има нужда.

5.Следете. Съветваме ви да сканирате своя сайт за компрометирани или изтекли софтуери.

6.Защита. Ако имате IPS (Intrusion Prevention System) или WAF (Web Application Firewall), те могат да ви помогнат да избегнете най-често срещаните форми на XSS exploit. Може да изпробвате и нашия CloudProxy.  Други начини за предотвратяване на този проблем е open source route, OSSEC, Snort и ModSecurity.

Преди около месец ви предупредихме и за проблем, идентифициран от Joost oт Yoast  в един от неговите плъгини. Вижте повече за него тук.


Подобни публикации

Какво представлява бекъп на WordPress сайт и какви са видовете бекъп?

Word-Press-Back-Up-Blog-300x262Бекъпът е задължителна част от поддръжката на всеки WordPress сайт. Преди да започнете да правите големи промени по сайта си, е добре да се подсигурите, като за целта можете да създадете резервно копие (бекъп) на вашата уеб страница. По този начин ще се застраховате, че при възникване на проблем със сайта, лесно можете да върнете […]


Прочети повече →

Two-factor authentication за максимална сигурност на cPanel

AA-cPanel-300-262Колко информация съдържа вашия cPanel? Уеб сайта на вашия бизнес, бази данни, файлове, достъп до имейл акаунти, конфиденциална кореспонденция, пароли за достъп и още куп важни неща. Вашият cPanel е вашето съкровище от информация, което трябва да бъде защитено. А вие чувствате ли се сигурни и защитени? Ако имате съмнения, тогава отговорът е в активирането […]


Прочети повече →

Как Google Chrome ще показва на потребителите си несигурните сайтове (сайтове без HTTPS)

HTTPs-chrome-alerts-300-262През 2014 от Google съобщиха, че планират да уведомяват своите Google Chrome потребители за сайтове, които не са сигурни и не предоставят криптирана връзка. Ако не искате Google да ви визуализира като несигурен сайт в Google Chrome или пък искате да бъдете сигурни като потребители, какъв тип сайтове посещавате и колко са защитени данните ви, задължително […]


Прочети повече →

Автоматични бекъпи на cloud и нает сървър

friendly-geekshttp://www.youtube.com/watch?v=K-M0T88a0HQ&feature=share Friendly Geeks показват как да създавате автоматични бекъпи на файловете и базите данни, разположени на вашия cloud или нает сървър. За целта е създаден тестов клауд сървър, на който е записан специален скрипт, който ще се използва за създаване на бекъп. Вижте стъпка по стъпка в едно видео как да създадете архив на файловете […]


Прочети повече →

Защо да включите docker в ИТ плана си за 2016

docker-IT-300-262Вземайки предвид факта, че docker технологията съществува от 2013 г., категорично можем да кажем, че това е една от най-бързо развиващите се и навлезли технологични новости в IT средите. На какво се дължи това? На факта, че docker драстично улеснява програмистите, като им дава възможност да пакетират приложения с всичко необходимо за тяхната работа в […]


Прочети повече →