Віруси та вразливості, що приносить нам осінь?

Протягом вересня-жовтня ми дізналися кілька важливих новин по темі безпеки сайтів на WordPress , а саме про кілька плагінів та шаблоні для WordPress, в коді яких знайдено вразливості, що в багатьох випадках призводить до ураження сайтів вірусами/взлому хакерами.

Поділимо вміст публікації на такі підтеми, аби було зручніше знайти те, що цікавить саме вас:

  1. Ядро WordPress
  2. Плагіни для WordPress
  3. Шаблони для WordPress
  4. Різне

1. Ядро WordPress

У версії WordPress 5.2.3 та старіших було знайдено кілька вразливостей (докладніше англійською):

  • Cross-Site Scripting
  • Неавторизовані публікації
  • Cross-Site Scripting через вбудовування стороннього Javascript
  • Вразливість JSON-кешу
  • Підміна запитів для атак SSRF
  • Проблеми у функції валідації реферу (referrer) в адмін-панелі.

Вам не обов’язково розуміти кожне чи навіть деякі з цих слів. Головне, про що це каже, що вам варто оновитися до WordPress 5.2.4 , аби уникнути проблем із зловживанням цими вразливостями.

2. Плагіни для WordPress

Вразливості в плагіні WordPress

Woody Ad Snippets

Перший плагін, в якому знайдено вразливості, та обов’язково треба його оновити до останньої версії, якщо використовується – це Woody Ad Snippets версії 2.2.8. Плагін встановлено на більш ніж 90000 сайтів на WordPress, тож і ваш може бути серед них.

Вразливості в плагіні WordPress

Easy Fancybox

Другий кандидат на оновлення – це Easy FancyBox версії 1.8.17 та нижче. Досить популярний плагін для роботи із зображеннями, встановлений більш ніж на 300000 сайтів з WordPress, обов’язково перевірте, чи немає його у вас і, за потреби, оновіть.

Вразливості в плагіні WordPress

Advanced AJAX Product Filters

Маєте магазин на WordPress, що працює з популярним Woocommerce? Вірогідно, для зручності ваших відвідувачів ви встановили Advanced AJAX Product Filters . Якщо так, маєте знати, що версії 1.3.6 та старіші мають вразливість, через яку зловмисник може перенаправляти відвідувачів на інші сайти. Рецепт успіху – оновитись до останньої версії.

Вразливості в плагіні WordPress

Ultimate Faq

Популярний плагін WordPress для формування розділу “Питань – Відповідей”, або простіше FAQ під назвою Ultimate FAQ також потрапив в наш список. Плагін має більше 40000 активних встановлень, але у версіях нижче 1.8.24 і самої 1.8.24 включно він вразливий до несанкціонованого імпорту/експорту налаштувань. Завдяки популярності плагіна – автор активно його підтримує, і в останніх версіях ця неприємність виправлена.

Вразливості в плагіні WordPress

Rich Reviews

Цікавий та достатньо популярний плагін, що дозволяв збирати відгуки на сайті та публікувати їх разом з мікророзміткою (для показу зірочок в результатах пошуку Google) мав вразливысть, через яку зловмисник міг додати на сайт сторонній код. Після появи цієї новини плагін було заблоковано в бібліотеці плагінів WordPress, але наразі в нього з’явився новий автор, плагін оновлено та завантажено з необхідними виправленнями. Як і в минулих випадках – достатньо оновити до останньої версії.

3. Шаблони для WordPress

Преміум шаблон для WordPress

SELIO – Шаблон нерухомості для WordPress

У преміум шаблоні для сайтів нерухомості SELIO, вартість якого на сьогодні усього 38 доларів, що для маркету Themeforest є досить демократично (середня вартість шаблонів сягає 60-70 доларів) , знайдено вразливість, через яку є можливість зловмиснику виконати свій SQL запит до бази. В останній версії шаблону автор виправив це.

До речі, сам шаблон досить сучасний та цікавий, має багато потужних функцій, зокрема підготовлений для багатомовних сайтів, працює з популярним конструктором Elementor, демо версію шаблону ви можете переглянути тут

4. Різне

Аби тримати свій сайт в безпеці – не потрібно робити щось занадто складне, на нашому сайті в категорії “Захист WordPress“, зокрема, ви можете знайти кілька цікавих статей, що ми підготували для вас, аби убезпечити свій сайт від взлому та вірусів. Також там є і практичні поради з видалення вірусів, якщо вже таке сталося.

Ми також надаємо платні послуги з адміністрування сайтів на WordPress, що включають різноманітні консультації, а також багато різноманітних дій та додаткових налаштувань, що дозволить тримати ваш сайт не ураженим, або швидко відновити його роботу у разі неправомірного взлому, звертайтесь!

Дмитро Кондрюк

Автор публикации Дмитро Кондрюк

В веб-індустрії з 2003 року. В 2009р. заснував проект Український WordPress (що у подальшому став офіційним сайтом команди локалізації WordPress в Україні). З 2010 року засновник і технічний директор проекту Український хостинг для WordPress (WPHost.me) - повноцінного хостинг-сервісу, максимально оптимізованого на використання CMS WordPress.

Есть, что сказать?

Ваш email не будет публиковаться

Можно воспользоваться такими тегами в тексте:
<a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>