Νέα κενά ασφαλείας σε wordpress plugins & themes – Μάϊος 2020

Έχεις ιστοσελίδα κατασκευασμένη με WordPress; Πρέπει να παρακολουθείς τα κενά ασφαλείας που προκύπτουν, προκειμένου να μπορείς να τη διατηρείς ασφαλή.

Πολλοί θεωρούν πως απο τη στιγμή που κατασκευάζεται μια σελίδα, αν δεν “την πειράξουν” ποτέ, θα παραμείνει ασφαλής. Και έτσι δεν συνδεονται ποτέ στο διαχειριστικό της ή στο server που τη φιλοξενεί, δεν ανανεώνουν το περιεχόμενο ή τα πρόσθετα της σελίδας. Αυτό είναι ΜΕΓΑ ΛΑΘΟΣ. Όπως θα δείς πιο κάτω, κενά ασφαλείας προκύπτουν στα πρόσθετα του wordpress χωρίς να έχεις βάλει εσύ το χεράκι σου..

Ποιό γνωστό wordpress theme παρουσίασε κενό ασφαλείας πρόσφατα;

Μεγάλο κενό ασφαλείας παρουσίασε το wordpress theme Avada στις εκδόσεις που είναι μικρότερες της 6.2.3. Οι ευπάθειες του theme όπως αναφέρθηκαν:

  • Content Injection & Stored XSS
  • Arbitrary Post Deletion
  • Arbitrary Post Creation

Ευτυχώς η ευπάθεια κλείνει με την έκδοση 6.2.3. Οπότε, αν χρησιμοποιείς το Avada theme με έκδοση 6.2.2 ή μικρότερη, κάνε άμεσα την αναβάθμιση.

Ποιά απο τα γνωστά wordpress plugins παρουσίασαν κενά ασφαλείας πρόσφατα;

  • Ninja Forms – CSRF to Stored XSS ευπάθεια στις εκδόσεις που είναι μικρότερες της 3.4.24.2
    (Κάλυψε το κενό στην έκδοση 3.4.24.2)
  • Gmedia Photo Gallery – Κενό στις εκδόσεις που είναι μικρότερες της 1.18.5
    (Κάλυψε το κενό στην έκδοση 1.18.5)
  • LearnPress – Κενό στις εκδόσεις που είναι μικρότερες της 3.2.6.9 (Κάλυψε το κενό στην έκδοση 3.2.6.9)
  • WP-Advanced-Search – Authenticated SQL Injection ευπάθεια στις εκδόσεις που είναι μικρότερες της 3.3.7
    (Κάλυψε το κενό στην έκδοση 3.3.7)
  • Page Builder by SiteOrigin – Κενό στις εκδόσεις που είναι μικρότερες της 2.10.16
    (Κάλυψε το κενό στην έκδοση 2.10.16)
  • WTI Like Post – Authenticated Stored Cross-Site Scripting ευπάθεια.
    (Δεν υπάρχει σχετική αναβάθμιση για κάλυψη του κενού ασφαλείας)
  • Advanced Order Export For WooCommerce – Authenticated Cross-Site Scripting ευπάθεια σε εκδόσεις μικρότερες της 3.1.4
    (Κάλυψε το κενό στην έκδοση 3.1.4)
  • WooCommerce – Unescaped Metadata ευπάθεια όταν αντιγράφει προϊόντα σε εκδόσεις μικρότερες της 4.1.0
    (Κάλυψε το κενό στην έκδοση 4.1.0)
  • Chopslider – Unauthenticated Blind SQL Injection ευπάθεια.
    (Δεν υπάρχει σχετική αναβάθμιση για κάλυψη του κενού ασφαλείας)
  • Elementor – Κενό στις εκδόσεις που είναι μικρότερες της 2.9.8
    (Κάλυψε το κενό στην έκδοση 2.9.8)
  • Easy Testimonials – Κενό στις εκδόσεις που είναι μικρότερες της 3.6
    (Κάλυψε το κενό στην έκδοση 3.6)
  • Site Kit by Google – Κενό στις εκδόσεις που είναι μικρότερες της 1.8.0
    (Κάλυψε το κενό στην έκδοση 1.8.0)
  • Wp Product Review – Κενό στις εκδόσεις που είναι μικρότερες της 3.7.6
    (Κάλυψε το κενό στην έκδοση 3.7.6)
  • Photo Gallery by 10 Web – Κενό στις εκδόσεις που είναι μικρότερες της 1.5.55
    (Κάλυψε το κενό στην έκδοση 1.5.55)
  • Login/ Sign up popup – Κενό στις εκδόσεις που είναι μικρότερες της 1.5
    (Κάλυψε το κενό στην έκδοση 1.5)
  • WordPress Infinite Scroll – Κενό στις εκδόσεις που είναι μικρότερες της 5.3.2
    (Κάλυψε το κενό στην έκδοση 5.3.2)
  • Team Members – Κενό στις εκδόσεις που είναι μικρότερες της 5.0.4
    (Κάλυψε το κενό στην έκδοση 5.0.4)
  • WP Frontend Profile – Κενό στις εκδόσεις που είναι μικρότερες της 1.2.2
    (Κάλυψε το κενό στην έκδοση 1.2.2)
  • Visual Composet Website Builder – Κενό στις εκδόσεις που είναι μικρότερες της 27.0
    (Κάλυψε το κενό στην έκδοση 27.0)
  • Paid Membership Pro – Κενό στις εκδόσεις που είναι μικρότερες της 2.3.3
    (Κάλυψε το κενό στην έκδοση 2.3.3)
  • ThirstyAffiliates Affiliate Link Manager– Κενό στις εκδόσεις που είναι μικρότερες της 3.9.3
    (Κάλυψε το κενό στην έκδοση 3.9.3)
  • Official MailerLite Sign Up Forms – Κενό σε όλες τις εκδόσεις
    (Δεν υπάρχει σχετική αναβάθμιση για κάλυψη του κενού ασφαλείας)
  • Form Maker by 10 Web – Κενό σε όλες τις εκδόσεις
    (Δεν υπάρχει σχετική αναβάθμιση για κάλυψη του κενού ασφαλείας)
  • Add-on SweetAlert Contact Form 7 – Κενό στις εκδόσεις που είναι μικρότερες της 1.0.8
    (Κάλυψε το κενό στην έκδοση 1.0.8)

Τι πρέπει να κάνω για να διατηρώ ασφαλή τη wordpress σελίδα μου;

Σε λογισμικά όπως το wordpress και τα πρόσθετα που χρησιμοποιεί, χρειάζεται συνεχής παρακολούθηση για τα κενά ασφαλείας που προκύπτουν. Για ένα κενό ασφαλείας υπάρχουν δύο δρόμοι που ενδέχεται να πρέπει να ακολουθήσεις προκειμένου να προστατεύσεις τη σελίδα σου:

  • Αν έχει ανακοινωθεί ενημέρωση του λογισμικού ή του πρόσθετου που κλείνει το κενό ασφαλείας, πρέπει να κάνεις άμεσα το update.
  • Αν δεν έχει ανακοινωθεί κάποια ενημέρωση του λογισμικού ή του πρόσθετου για το κενό ασφαλείας που προέκυψε, κάνε το συντομότερο δυνατό την διαγραφή του.

Η ρύθμιση να γίνονται αυτόματα οι αναβαθμίσεις όταν προκύψουν, είναι βοηθητική σε αυτή την περίπτωση.

Αν δυσκολεύεσαι να κατανοήσεις το πως λειτουργούν αυτά τα λογισμικά και φοβάσαι πως θα κάνεις κάποιο λάθος και θα “καταστρέψεις” τη σελίδα σου, μην ντρέπεσαι. Πολλοί δεν το καταλαβαίνουν και ούτε χρειάζεται. Γι’ αυτο το λόγο υπάρχουν άνθρωποι εξειδικευμένοι στη φιλοξενία wordpress site, την κατασκευή και την συντήρησή τους.

Κατηγορία:Website SecurityWordpressΧρήσιμα άρθρα για την ιστοσελίδα σας

Ετικέτες:

Αφήστε μια απάντηση

Η ηλ. διεύθυνση σας δεν δημοσιεύεται. Τα υποχρεωτικά πεδία σημειώνονται με *

Aliki K.

Αρθρογράφος: Aliki K.

Digital Marketing Specialist με πολυετή εμπειρία στο χώρο του διαδικτύου και του WebHosting!