XSS уязвимост засяга множество WordPress плъгини

XSS уязвимост засяга множество WordPress плъгини

ICN.bg ви уведомява за множество WordPress плъгини, които са уязвими към Cross-site Scripting (XSS), поради неправилно използване на add_query_arg() и remove_query_arg() функции. Това са популярни функции, използвани от разработчици за модифициране и изпращане на заявки към базата данни през URL адреси в WordPress.

Официалната документация на WordPress (Codex) не даде достатъчно яснота по този въпрос и някои разработчици останаха подведени, че всичко е наред. Те допуснаха, че тези функции филтрират потребителските входни данни, а всъщност това не се случва. Вижте повече за уязвимостта и как да се предпазите.

Списък на засегнатите плъгини:

  • Jetpack
  • WordPress SEO
  • Google Analytics by Yoast
  • All In one SEO
  • Gravity Forms
  • Multiple Plugins from Easy Digital Downloads
  • UpdraftPlus
  • WP-E-Commerce
  • WPTouch
  • Download Monitor
  • Related Posts for WordPress
  • My Calendar
  • P3 Profiler
  • Give
  • Multiple iThemes products including Builder and Exchange
  • Broken-Link-Checker
  • Ninja Forms

Вероятно съществуват и много други освен изброените по-горе. Ако използвате WordPress, ние силно ви препоръчваме да отидете в своя wp-admin dashboard и още сега да ъпдейтнете всички по-стари плъгини.

Ако сте разработчик, проверете своя код, за да видите как използвате тези две функции:

add_query_arg

remove_query_arg

Препоръчваме ви да използвате esc_url() (or esc_url_raw()) функции за тях.

Време за ъпдейтване!

Ако използвате някои от тези плъгини уверете се, че сте ги ъпдейтнали. Ето и няколко трика, които ще намалят риска от заплахи и ще помогнат за подобряването на вашата сигурност:

 

1. Подобрявайте. Ъпдейтвайте своя сайт.

2. Ограничавайте. Ограничавайте контрола за достъп. Ограничете своята wp-admin директория само до бял списък с IP адреси. Давайте администраторски достъп само на потребители, които наистина се нуждаят от него. Не влизайте като администратор, ако няма да извършвате администраторска дейност.

3.Мониторинг. Преглеждайте вашите влизания. Това ще ви помогне да разберете какво се случва с вашия сайт.

4.Намалете своя обхват. Използвайте само тези плъгини или теми, от които вашият сайт наистина има нужда.

5.Следете. Съветваме ви да сканирате своя сайт за компрометирани или изтекли софтуери.

6.Защита. Ако имате IPS (Intrusion Prevention System) или WAF (Web Application Firewall), те могат да ви помогнат да избегнете най-често срещаните форми на XSS exploit. Може да изпробвате и нашия CloudProxy.  Други начини за предотвратяване на този проблем е open source route, OSSEC, Snort и ModSecurity.

Print Friendly, PDF & Email