Te „złe” wtyczki WordPress (kwiecień 2020)

Obrazek dla Te „złe” wtyczki WordPress (kwiecień 2020)

Wykaz podatności wtyczek WordPress

Marzec – Kwiecień 2020

Przedstawiamy listę ostatnich wykrytych podatności we wtyczkach WordPress marzec – kwiecień 2020. Zachęcamy do zapoznania się z listą i aktualizacją wtyczek.

Wybraliśmy tylko te bardziej popularne wtyczki zawierające groźniejsze podatności.

 

GDPR Cookie Consent < 1.8.3 – Niewłaściwa kontrola dostępu

Problem z niewłaściwą kontrolą dostępu w wywołaniu AJAX cli_policy_generator, który może umożliwić uwierzytelnionemu użytkownikowi o niskich uprawnieniach (takim jak subskrybent):

  • Zmianę statusu każdego posta / strony z opublikowanej na wersję roboczą, usuwając je z frontonu blogu.
  • Umieszczenie kodu w treści jednego z nich, co prowadzi do problemów z przechowywanymi skryptami krzyżowymi (XSS).

Żródło informacji

Zalecamy aktualizację do najnowszej wersji dostępnej w repozytorium.

 

 

Duplicator < 1.3.24 & 1.3.26 – pobieranie dowolnego pliku

Problem jest aktywnie wykorzystywany i umożliwia atakującym pobieranie dowolnych plików, takich jak plik wp-config.php.

Według dostawcy luka ta występowała tylko w dwóch wersjach 1.3.24 i 1.3.36, ale nie występowała w wersjach 1.3.22 ani wcześniejszych.

Źródło informacji

Zalecamy aktualizację do najnowszej wersji dostępnej w repozytorium.

 

 

Strong Testimonials < 2.40.1 – Stored Cross Site Scripting (XSS)

Wiele przechowywanych luk w zabezpieczeniach XSS znalezionych w popularnej wtyczce testowej WordPress, Strong Testimonials.

https://github.com/MachoThemes/strong-testimonials/blob/master/changelog.txt

Naprawiono w wersji 2.40.1

Źródło informacji

Zalecamy aktualizację do najnowszej wersji dostępnej w repozytorium.

 

 

Htaccess by BestWebSoft < 1.8.2 – CSRF edycja htaccess

Wtyczka Htaccess to proste i przydatne narzędzie, które pomaga kontrolować dostęp do strony internetowej WordPress.

CWE-352

Autor o nicku V1n1v131r4 udowadnia że możną edytować htaccess za pomocą tej podatności.

Źródło informacji

Zalecamy aktualizację do najnowszej wersji dostępnej w repozytorium.

 

 

Ochrona przed lukami we wtyczkach WordPress?

Ochrona przed malware, atakami i podatnościami!

Wykorzystujemy ochronę bazującej na wykorzystaniu technologii stada, wspomaganą przez algorytmy sztucznej inteligencji (AI), które ustrzeże Twój serwer przed najnowszymi atakami, również atakami 0-Day!

Na Hostingu WWW oraz na Hostingu Elastycznym SSD w HitMe.pl analizujemy to, co skrypty robią, a nie to, co faktycznie znajduje się w kodzie.

Sprawdź nasz Elastyczny Hosting SSD!

O zabezpieczeniach… | Elastyczny Hosting SSD w HitMe

Przegląd prywatności
hitme logo

Ta strona korzysta z ciasteczek, aby zapewnić Ci najlepszą możliwą obsługę. Informacje o ciasteczkach są przechowywane w przeglądarce i wykonują funkcje takie jak rozpoznawanie Cię po powrocie na naszą stronę internetową i pomaganie naszemu zespołowi w zrozumieniu, które sekcje witryny są dla Ciebie najbardziej interesujące i przydatne.

Ściśle niezbędne ciasteczka

Niezbędne ciasteczka powinny być zawsze włączone, abyśmy mogli zapisać twoje preferencje dotyczące ustawień ciasteczek.

Facebook Pixel

Używamy narzędzia Facebook Pixel, aby śledzić działania użytkowników na naszej stronie internetowej. Facebook Pixel umożliwia nam analizowanie skuteczności reklam oraz tworzenie spersonalizowanych treści marketingowych. Dzięki temu możemy lepiej dostosować naszą ofertę do Twoich potrzeb. Zbierane dane mogą obejmować m.in. informacje o odwiedzonych stronach, kliknięciach oraz konwersjach.

Bezpieczna analityka

W celu lepszej analizy ruchu na naszej stronie internetowej korzystamy z narzędzia Matomo Analytics. Matomo jest hostowane w naszej infrastrukturze, a zbierane dane nie są udostępniane żadnym podmiotom zewnętrznym. Informacje o Twojej aktywności na stronie służą jedynie do analizy statystycznej oraz poprawy jakości naszych usług, zgodnie z przepisami RODO/GDPR.

Dane są w pełni anonimowe i nie są przekazywane poza naszą firmę.