Нещодавно стало відомо про вразливості в коді деяких популярних плагінів. Нижче наведено список цих плагінів та короткий опис проблеми, як спосіб її вирішення:
All In One WP Security & Firewall
All In One WP Security & Firewall версії 4.4.1 та нижче мають баг, що може відкрити дані про приховану сторінку авторизації. Тож якщо ви використовуєте якусь сторонню адресу для сторінки авторизації аби захиститись від зламу чи підбору паролів – час оновити цей плагін, інакше ваш захист не працюватиме. Багу виправлено у версії 4.4.2.
Popup Maker
Цей плагін версії 1.8.12 має вразливість, через яку сторонні можуть отримати інформацію про активні/неактивні плагіни, версію PHP та іншу інформацію. Хоча наразі ця інформація не є критично небезпечною, але при певних обставинах може зашкодити вам чи налаштованому вами захисту сайту. Оновіться!
Fast Velocity Minify
Дуже популярний плагін для оптимізації сайту під показники тесту Google Page Speed Insights. На сьогодні цей плагін встановлено на більш ніж 80 000+ сайтів на WordPress. Знайдена в плагіні вразливість дозволяє неавторизованим користувачам дізнатись повний шлях до кореневого каталогу вашого сайту, де встановлено WordPress.
Інформацію про цю вразливість було надіслано автору плагіна і він випустив виправлення буквально за кілька годин після цього. Версії до 2.7.6 є вразливими до атак , що можуть використати цей недолік, тож варто оновити негайно версію до 2.7.7. Сама по собі вразливість не дає зловмиснику якихось привілей, але розкрита інформація може бути використана для атак через інші вразливості.
wpDataTables
Популярний плагін для роботи з таблицями в публікаціях та сторінках на сайтах WordPress версій 2.0.7 та нижче має значну вразливість, що дозволяє Cross-Site Scripting та SQL-ін’єкції. Якщо простими словами – авторизовані користувачі мають можливість виконати довільний скрипт , хоч і не мають адміністративних прав, а ті, хто має адміністративні – можуть виконати довільний запит до бази даних.
Нагадаємо, що у разі необхідності захистити ваш сайт від сторонніх зазіхань ви можете звернутись до наших партнерів проекту bezpeka.online
