Протягом вересня-жовтня ми дізналися кілька важливих новин по темі безпеки сайтів на WordPress , а саме про кілька плагінів та шаблоні для WordPress, в коді яких знайдено вразливості, що в багатьох випадках призводить до ураження сайтів вірусами/взлому хакерами.
Поділимо вміст публікації на такі підтеми, аби було зручніше знайти те, що цікавить саме вас:
1. Ядро WordPress
У версії WordPress 5.2.3 та старіших було знайдено кілька вразливостей (докладніше англійською):
- Cross-Site Scripting
- Неавторизовані публікації
- Cross-Site Scripting через вбудовування стороннього Javascript
- Вразливість JSON-кешу
- Підміна запитів для атак SSRF
- Проблеми у функції валідації реферу (referrer) в адмін-панелі.
Вам не обов’язково розуміти кожне чи навіть деякі з цих слів. Головне, про що це каже, що вам варто оновитися до WordPress 5.2.4 , аби уникнути проблем із зловживанням цими вразливостями.
2. Плагіни для WordPress
Перший плагін, в якому знайдено вразливості, та обов’язково треба його оновити до останньої версії, якщо використовується – це Woody Ad Snippets версії 2.2.8. Плагін встановлено на більш ніж 90000 сайтів на WordPress, тож і ваш може бути серед них.
Другий кандидат на оновлення – це Easy FancyBox версії 1.8.17 та нижче. Досить популярний плагін для роботи із зображеннями, встановлений більш ніж на 300000 сайтів з WordPress, обов’язково перевірте, чи немає його у вас і, за потреби, оновіть.
Маєте магазин на WordPress, що працює з популярним Woocommerce? Вірогідно, для зручності ваших відвідувачів ви встановили Advanced AJAX Product Filters . Якщо так, маєте знати, що версії 1.3.6 та старіші мають вразливість, через яку зловмисник може перенаправляти відвідувачів на інші сайти. Рецепт успіху – оновитись до останньої версії.
Популярний плагін WordPress для формування розділу “Питань – Відповідей”, або простіше FAQ під назвою Ultimate FAQ також потрапив в наш список. Плагін має більше 40000 активних встановлень, але у версіях нижче 1.8.24 і самої 1.8.24 включно він вразливий до несанкціонованого імпорту/експорту налаштувань. Завдяки популярності плагіна – автор активно його підтримує, і в останніх версіях ця неприємність виправлена.
Цікавий та достатньо популярний плагін, що дозволяв збирати відгуки на сайті та публікувати їх разом з мікророзміткою (для показу зірочок в результатах пошуку Google) мав вразливысть, через яку зловмисник міг додати на сайт сторонній код. Після появи цієї новини плагін було заблоковано в бібліотеці плагінів WordPress, але наразі в нього з’явився новий автор, плагін оновлено та завантажено з необхідними виправленнями. Як і в минулих випадках – достатньо оновити до останньої версії.
3. Шаблони для WordPress
У преміум шаблоні для сайтів нерухомості SELIO, вартість якого на сьогодні усього 38 доларів, що для маркету Themeforest є досить демократично (середня вартість шаблонів сягає 60-70 доларів) , знайдено вразливість, через яку є можливість зловмиснику виконати свій SQL запит до бази. В останній версії шаблону автор виправив це.
До речі, сам шаблон досить сучасний та цікавий, має багато потужних функцій, зокрема підготовлений для багатомовних сайтів, працює з популярним конструктором Elementor, демо версію шаблону ви можете переглянути тут
4. Різне
Аби тримати свій сайт в безпеці – не потрібно робити щось занадто складне, на нашому сайті в категорії “Захист WordPress“, зокрема, ви можете знайти кілька цікавих статей, що ми підготували для вас, аби убезпечити свій сайт від взлому та вірусів. Також там є і практичні поради з видалення вірусів, якщо вже таке сталося.
Ми також надаємо платні послуги з адміністрування сайтів на WordPress, що включають різноманітні консультації, а також багато різноманітних дій та додаткових налаштувань, що дозволить тримати ваш сайт не ураженим, або швидко відновити його роботу у разі неправомірного взлому, звертайтесь!
