XSS sebezhetőség több WordPress pluginben

A most felfedezett XSS sebezhetőség több népszerű bővítményt érint. Az add_query_arg() és a remove_query_arg() funkciók népszerűek a bővítményfejlesztők körében, a sebezhetőség éppen ezt használja ki, adta hírül néhány napja a sucuri.net.

A fejlesztők azonnal nekiláttak a javításnak, mára a legfontosabb bővítményekben a sebezhetőség javítva van, ezért célszerű minden WordPress honlap tulajdonosnak rövid időn belül frissíteni a weboldalt.

A WordPress core és a bővítményfejlesztők össszefogásának eredménye, hogy a top 3-400 bővítményt elemezve van, de ez a lassan 40000 bővítménynek nagyon kis töredéke,  így valószínűleg még maradtak sebezhető bővítmények.

A legnépszerűbb érintett bővítmények:

• Jetpack
• WordPress SEO
• Google Analytics by Yoast
• All In one SEO
• Gravity Forms
• Multiple Plugins from Easy Digital Downloads
• UpdraftPlus
• WP-E-Commerce
• WPTouch
• Download Monitor
• Related Posts for WordPress
• My Calendar
• P3 Profiler
• Give
• iThemes Exchange
• Broken-Link-Checker
• Ninja Forms
• Aesop Story Engine
• My Calendar
• bbPress
• BuddyPress
• Wp to Twitter

Amennyiben valakit érdekel, hogyan lehet ellenőrizni és javítani, egy részletes leírást talál ezen az oldalon.

A WordPress fejlesztőcsapata öt bővítménynek engedélyezte az  automatikus frissítését. Ez azt jelenti, hogy ezeknek a bővítményeknek minden fő verziója automatikusan frissítve lesz.

Ezek:

• Jetpack,
• Easy Digital Downloads,
• P3 Plugin Profiler,
• Download Monitor,
• Related Posts for WordPress

Tehát, ha agyonhackeltük ezen bővítmények valamelyikét, akkor vagy újra meg kell csinálni a hackeket vagy letiltani a frissítését és saját kezűleg javítani a hibát.

Információk első kézből:

• Yoast post
• Jetpack post
• Easy Digital Downloads post
• Gravity Forms post
• Ninja Forms post
• WP eCommerce post
• UpdraftPlus post
• iThemes Exchange post
• Aesop Story Engine post
• Download Monitor changelog
• All In One SEO changelog
• My Calendar post
• Give changelog
• Broken Link Checker changelog
• WPTouch changelog
• P3 Profiler changelog
• Related Posts for WP changelog
• Link Library changelog
• Google Analytics Top Posts Widget changelog
• Bilingual Linker changelog
• Ultimate Member changelog
• Piklist changelog
• Seriously Simple Podcasting changelog
• Cachify changelog
• bbPress post
• BuddyPress post
• BuddyDrive changelog
• Sprout Invoices changelog
• WP Idea Stream changelog
• Church Themes Content changelog
• AppPresser changelog
• WP to Twitter changelog
• WP Print Friendly changelog
• TGM plugin activation changelog
• All In One WP Security changelog
• EventOrganiser post
• The Events Calendar post

Hogyan csökkentsük az ilyen jellegű veszélyt?

A sucuri.net tippeket is ad a védekezéshez.

•  Patch. Mindig frissítsük a weboldalt.
• Korlátozzunk. Korlátozzuk a wp-admin könyvtárat, csak a felsorolt ​​IP címek férhessenek hozzá. Így az admin hozzáférést korlátozzuk azon a felhasználók számára, akiknek valóban szüksége van rá.
• Monitorozzunk. Kísérjük figyelemmel a naplókat. Így látjuk, mi történik a weboldalon.
• Csak a szükséges kiegészítőket tartsuk meg. Csak azok a pluginek (vagy témák), maradjanak az oldalon, amelyekre a webhelynek valóban szüksége van a működéshez.
• Ellenőrizzünk. A megelőzés egyik eszköze a rendszer rendszeres ellenőrzése. Az elavult (több éve nem fejlesztett kiegészítőket cseréljük le rendszeresen karbantartott kiegészítőkre.
• Mélységi védelem. Használjuk behatolás-megelőző rendszert, tűzfalat, az XSS támadások leggyakoribb formáit ezzel kiküszöbölhetjük.  (Ehhez egyébként bátran ajánlom az All In One WP Security bővítményt – annak ellenére, hogy az ebben a cikkben részletezett sebezhetőségnek egyik alanya volt.)