Vídeo: ❌ Volver a versión anterior de WordPress y plugins ❌ Arreglar error al actualizar a WordPress 5.5.1 (Setembre 2024)
Si teniu un lloc de WordPress, assegureu-vos de mantenir-vos al dia de les actualitzacions, no només per a la plataforma principal, sinó per a tots els temes i complements.
WordPress potencia més de 70 milions de llocs web arreu del món, cosa que el converteix en un objectiu atractiu per a ciberdelinqüents. Els atacants sovint segresten instal·lacions de WordPress vulnerables per allotjar pàgines de correu brossa i altre contingut maliciós.
Les investigacions han descobert diverses vulnerabilitats greus en aquests populars complements de WordPress durant les darreres setmanes. Comproveu el tauler de control d’administrador i assegureu-vos de tenir instal·lades les darreres versions.
1. Disponible MailPoet v2.6.7
Investigadors de la companyia de seguretat web Sucuri van trobar un defecte de pujada de fitxers a MailPoet, un complement que permet als usuaris de WordPress crear butlletins, publicar notificacions i crear respostes automàtiques. Anteriorment conegut com wysija-newsletters, el connector ha estat descarregat més d’1, 7 milions de vegades. Els desenvolupadors van empassar el defecte en la versió 2.6.7. Les versions anteriors són totes vulnerables.
"Aquest error s'hauria de prendre seriosament; proporciona a un intrús potencial el poder de fer qualsevol cosa que vulgui al lloc web de la seva víctima", va dir Daniel Cid, el màxim responsable tecnològic de Sucuri, en un missatge al bloc. "Permet penjar qualsevol fitxer PHP. Això pot permetre que un atacant utilitzi el vostre lloc web per atraure pors, enviar SPAM, allotjar programari maliciós, infectar a altres clients (en un servidor compartit), etc."
La vulnerabilitat va suposar que qualsevol persona que realitzés la trucada específica per carregar el fitxer fos un administrador, sense verificar realment que l'usuari s'havia autentificat, va trobar Sucuri. "És un error fàcil de cometre", va dir Cid.
2. Disponible TimThumb v2.8.14
La setmana passada, un investigador va publicar detalls d'una greu vulnerabilitat en TimThumb v2.8.13, un complement que permet als usuaris retallar, fer zoom i canviar de mida automàticament. El desenvolupador de TimThumb, Ben Gillbanks, va solucionar el defecte en la versió 2.8.14, que ara està disponible a Google Code.
La vulnerabilitat estava en la funció WebShot de TimThumb i va permetre als atacants (sense autenticació) eliminar de forma remota pàgines i modificar contingut mitjançant la injecció de codi maliciós als llocs vulnerables, segons una anàlisi de Sucuri. WebShot permet als usuaris agafar pàgines web remotes i convertir-les en captures de pantalla.
"Amb una simple comanda, un atacant pot crear, eliminar i modificar qualsevol fitxer del servidor", va escriure Cid.
Com que WebShot no està activat de manera predeterminada, la majoria dels usuaris de TimThumb no seran afectats. Tanmateix, el risc d’atacs d’execució de codi remota continua sent perquè els temes de WordPress, els plugins i altres components de tercers utilitzen TimThumb. De fet, l'investigador Pichaya Morimoto, que va revelar el defecte a la llista de divulgació completa, va dir que WordThumb 1.07, WordPress Gallery Plugin i IGIT Posts Slider Widget eren possiblement vulnerables, així com temes del lloc themify.me.
Si teniu WebShot activat, haureu de desactivar-lo obrint el fitxer de marca de temps del tema o el complement i ajustant el valor de WEBSHOT_ENABLED a fals, recomana Sucuri.
De fet, si encara utilitzeu TimThumb, és hora de plantejar-lo. Una recent anàlisi realitzada per Incapsula va comprovar que el 58 per cent de tots els atacs d'inclusió de fitxers remots contra llocs de WordPress implicaven TimThumb. Gillbanks no ha mantingut TimThumb des del 2011 (per arreglar un dia zero), ja que la plataforma principal de WordPress ara admet les miniatures de la publicació.
"No he utilitzat TimThumb en un tema de WordPress des de l'anterior explotació de seguretat de TimThumb el 2011", va dir Gillbanks.
3. Tot en One SEO Pack v2.1.6 disponible
A principis de juny, els investigadors de Sucuri van revelar una vulnerabilitat en l’escala de privilegis a All in ONE SEO Pack. El complement optimitza els llocs de WordPress per al motor de cerca i la vulnerabilitat permetria als usuaris modificar títols, descripcions i metatags, fins i tot sense privilegis d'administrador. Aquest error es podria encadenar amb un segon defecte d’escalació de privilegis (també corregit) per injectar codi JavaScript maliciós a les pàgines del lloc i "fer coses com canviar la contrasenya del compte d’administrador per deixar una part de darrere en els fitxers de la webiste", va dir Sucuri.
Segons algunes estimacions, al voltant de 15 milions de llocs de WordPress utilitzen el paquet SEO en tot. Sempre Fi, la companyia que gestiona el connector, va aplicar una solució el 2.1.6 el mes passat.
4. Disponible a Login Rebuilder v1.2.3
El Butlletí de Cyber Security US-CERT de la setmana passada va incloure dues vulnerabilitats que afectaven els complements de WordPress. El primer va ser un defecte de falsificació de sol·licituds de diversos llocs al connector de plugins de reconstrucció que permetria als atacants segrestar l’autenticació d’usuaris arbitraris. Essencialment, si un usuari veia una pàgina maliciosa mentre es connectava al lloc de WordPress, els atacants podrien segrestar la sessió. L'atac, que no requeria autenticació, podria donar lloc a la divulgació no autoritzada d'informació, modificació i interrupció del lloc, segons la base de dades nacional de vulnerabilitat.
Les versions 1.2.0 i anteriors són vulnerables. El desenvolupador 12net va publicar una nova versió 1.2.3 la setmana passada.
5. Disponible JW Player v2.1.4
El segon número inclòs al butlletí US-CERT va ser una vulnerabilitat de falsificació de sol·licituds de llocs web al connector JW Player. El complement permet als usuaris inserir clips d’àudio i vídeo Flash i HTML5, així com sessions de YouTube, al lloc de WordPress. Els atacants podrien segrestar de forma remota l’autenticació d’administradors enganyats a visitar un lloc maliciós i eliminar els reproductors de vídeo del lloc.
Les versions 2.1.3 i anteriors són vulnerables. El desenvolupador va solucionar el defecte a la versió 2.1.4 de la setmana passada.
Les actualitzacions periòdiques són importants
L’any passat, Checkmarx va analitzar els 50 complements més descarregats i els 10 primers complements de comerç electrònic per a WordPress i va trobar problemes de seguretat comuns com ara la injecció SQL, scripts de llocs i la falsificació de sol·licituds entre llocs en un 20 per cent dels complements.
La setmana passada, Sucuri va advertir que s'havien piratejat "milers" de llocs de WordPress i que es van afegir pàgines de correu brossa al directori principal del wp-include al servidor. "Les pàgines SPAM s'amaguen dins d'un directori aleatori dins de wp-include", ha advertit Cid. Per exemple, es poden trobar les pàgines a / wp-include / finance / paydayloan.
Tot i que Sucuri no tenia "proves definitives" sobre com es van comprometre aquests llocs, "en gairebé totes les instàncies, els llocs web estan executant instal·lacions de WordPress obsoletes o cPanel", va escriure Cid.
WordPress té un procés d’actualització bastant indolor per als seus plugins, així com els fitxers bàsics. Els propietaris del lloc han de comprovar i instal·lar regularment les actualitzacions de totes les actualitzacions. També paga la pena consultar tots els directoris, com ara wp-include, per assegurar-se que els fitxers desconeguts no han rebut la residència.
"L'últim que vol qualsevol propietari del lloc web és esbrinar més endavant que la seva marca i recursos del sistema s'han utilitzat per a actes nefastos", va dir Cid.
