Kui kasutad Wordpressi lehte, siis on oluline seda värskena hoida ning lisaks viimasele Wordpressi tuumale kasutada ka uusimaid lisandmooduleid. Eelmisel kuul leiti 49 lisamoodulit ehk plugin´i ja teemat, mis sisaldasid turvaohte.
Kui mõni moodul kodulehe paigalduses kontrollib ka turva-auke ja turvaprobleeme (näiteks kirjutasime me neist siin), siis ilmselt on juba kasutajat hoiatatud. Kordame siiski üle, mis ohud septembris Wordpressi lehti varitsesid.
LMS Plugin for WordPress - kui kasutasid seda moodulit (üle 20 tuhande kodulehe omaniku kasutas), siis kontrolli, kas on paigaldatud versioon 2.0.29 või uuem. Varasem versioon võis lekitada andmeid WP Courses´ist, millega sai korraldada Wordpressis online kursusi, mis on viimasel ajal saanud väga populaarseks tegevuseks.
Foorumimoodul Simple:Press sisaldas turvaauku, mis lubas faile üles laadida ja nende kaudu midagi serverisse sokutada, mida hiljem käivitada. Alates versioonist 6.6.1 on probleem kõrvaldatud. Sellel moodulil on üle 600 kasutaja.
Varundusmoodul ehk plugin XCloner sisaldas kerget turvaprobleemi ja see on nüüd kõrvaldatud alates versioonist 4.2.13. Sellel plugin´il on üsna palju kasutajaid - üle 30 tuhande, seega mõju võis olla suur. Turvaauk lubas faile muuta, sealhulgas PHP-d, millega oli võimalik kahjulikku koodi kodulehele istutada.
JobMonster pakub värbamisteenuseid ja septembris pakkus ka kataloogisisu piilumise võimalust pahalastele. Versioonist 4.6.6.1 enam piiluda ei saa.
Drag and Drop Multiple File Uploader pakub kontaktivorme, turvaauk lubas kontaktivormi kaudu käivitada kaugelt koodi. Versioonist 1.3.5.5 alates on see võimalus kõrvaldatud.
Discount Rules for WooCommerce lasi teatud juhtudel autoriseerimisest mööduda. Kui sinu e-pood jookseb WooCommerce´il ja kasutab Discount Rules plugin´i, siis kontrolli, kas selle versioon on 2.2.1 või uuem. See on väga populaarne moodul, mida kasutab üle 40 tuhande saidi.
Veel 25 Wordpressi moodulit, mis jagasid sama turva-auku
Ülejäänud Wordpressi plugin´id, mis olid mõjutatud turvaprobleemidest, sisaldasid kõik ühte ja sama turva-auku. 25 moodulit sisaldasid nn cross-site request forgery (CSRF) rünnakunõrkust.
Probleemid olid järgmiste plugin´idega, nüüdseks on uutes versioonides oht kõrvaldatud:
- Funnel Builder by CartFlows alates ver. 1.5.16
- Paid Memberships Pro alates ver. 2.4.3
- Cool Timeline alates ver. 2.0.3
- Custom Field Template alates ver. 2.5.2
- eCommerce Product Catalog Plugin for WordPress alates ver. 2.9.44
- NotificationX alates ver. 1.8.3
- Product Catalog X alates ver. 1.5.13
- Coupon Creator alates ver. 3.1.1
- Radio Buttons for Taxonomies alates ver. 2.0.6
- Menu Swapper alates ver. 1.1.1
- Forminator alates ver. 1.13.5
- Coming Soon & Maintenance Mode Page alates ver. 1.58
- Woody ad snippets alates ver. 2.3.10
- Feed Them Social alates ver. 2.8.7
- Import / Export Customizer Settings alates ver. 1.0.4
- Easy Testimonials alates ver. 3.7
- RSS Aggregator by Feedzy alates ver. 3.4.3
- Top 10 alates ver. 2.9.5
- Dokan alates ver. 3.0.9
- Lightweight Sidebar Manager alates ver. 1.1.4
- WP Hotel Booking alates ver. 1.10.2
- WP ERPalates ver. 1.6.4
- Best WooCommerce Multivendor Marketplace Solution alates ver. 3.5.8
- WP Project Manager alates ver. 2.4.1
- 10WebAnalyticsalates ver. 1.2.9
Mida nüüd teha?
Mõistagi võiks vaadata oma plugin´ide ehk moodulite viimaseid versioone ja kontrollida uuendusi. Kui uuendused tehtud, siis ei tohiks enam probleeme olla.
