Kontrolli üle - eelmisel kuul leiti Wordpressist 49 turvaprobleemi

Kui kasutad Wordpressi lehte, siis on oluline seda värskena hoida ning lisaks viimasele Wordpressi tuumale kasutada ka uusimaid lisandmooduleid. Eelmisel kuul leiti 49 lisamoodulit ehk plugin´i ja teemat, mis sisaldasid turvaohte.

Kui mõni moodul kodulehe paigalduses kontrollib ka turva-auke ja turvaprobleeme (näiteks kirjutasime me neist siin), siis ilmselt on juba kasutajat hoiatatud. Kordame siiski üle, mis ohud septembris Wordpressi lehti varitsesid.

LMS Plugin for WordPress - kui kasutasid seda moodulit (üle 20 tuhande kodulehe omaniku kasutas), siis kontrolli, kas on paigaldatud versioon 2.0.29 või uuem. Varasem versioon võis lekitada andmeid WP Courses´ist, millega sai korraldada Wordpressis online kursusi, mis on viimasel ajal saanud väga populaarseks tegevuseks.

Foorumimoodul Simple:Press sisaldas turvaauku, mis lubas faile üles laadida ja nende kaudu midagi serverisse sokutada, mida hiljem käivitada. Alates versioonist 6.6.1 on probleem kõrvaldatud. Sellel moodulil on üle 600 kasutaja.

Varundusmoodul ehk plugin XCloner sisaldas kerget turvaprobleemi ja see on nüüd kõrvaldatud alates versioonist 4.2.13. Sellel plugin´il on üsna palju kasutajaid - üle 30 tuhande, seega mõju võis olla suur. Turvaauk lubas faile muuta, sealhulgas PHP-d, millega oli võimalik kahjulikku koodi kodulehele istutada.

JobMonster pakub värbamisteenuseid ja septembris pakkus ka kataloogisisu piilumise võimalust pahalastele. Versioonist 4.6.6.1 enam piiluda ei saa.

Drag and Drop Multiple File Uploader pakub kontaktivorme, turvaauk lubas kontaktivormi kaudu käivitada kaugelt koodi. Versioonist 1.3.5.5 alates on see võimalus kõrvaldatud.

Discount Rules for WooCommerce lasi teatud juhtudel autoriseerimisest mööduda. Kui sinu e-pood jookseb WooCommerce´il ja kasutab Discount Rules plugin´i, siis kontrolli, kas selle versioon on 2.2.1 või uuem. See on väga populaarne moodul, mida kasutab üle 40 tuhande saidi.

Selle pildi alt-atribuut on tühi

Veel 25 Wordpressi moodulit, mis jagasid sama turva-auku

Ülejäänud Wordpressi plugin´id, mis olid mõjutatud turvaprobleemidest, sisaldasid kõik ühte ja sama turva-auku. 25 moodulit sisaldasid nn cross-site request forgery (CSRF) rünnakunõrkust.

Probleemid olid järgmiste plugin´idega, nüüdseks on uutes versioonides oht kõrvaldatud:

Mida nüüd teha?

Mõistagi võiks vaadata oma plugin´ide ehk moodulite viimaseid versioone ja kontrollida uuendusi. Kui uuendused tehtud, siis ei tohiks enam probleeme olla.

Jaga
Nõuandja