Παραβιασμένα, επικίνδυνα και ευάλωτα πρόσθετα WordPress

Με περισσότερα από 47 χιλιάδες πρόσθετα στο επίσημο αποθετήριο του WordPress και χιλιάδες άλλα διαθέσιμα σε διάφορες άλλες αγορές και ιστότοπους, η εύρεση αυτών που λειτουργούν καλά είναι μια αποθαρρυντική εργασία. Η εύρεση προσθηκών WordPress που είναι ασφαλείς και δεν θέτουν σε κίνδυνο τον ιστότοπό σας είναι μια ακόμη πιο δύσκολη εργασία λόγω της περίπλοκης φύσης της ασφάλειας του WordPress και συχνά τεράστιων προσθηκών με χιλιάδες γραμμές κώδικα.

Παρόλο που δεν μπορούμε να σας βοηθήσουμε να αποφύγετε κάθε κακόβουλη προσθήκη, μπορούμε να εντοπίσουμε όσους γνωρίζουν, επιβεβαιώνουν ευπάθειες και ζητήματα ασφάλειας. Αν δεν γνωρίζετε τι κάνετε, δοκιμάζετε κάτι σε μια τοπική εγκατάσταση ή ασχολείστε με την ασφάλεια του WordPress, δεν θα πρέπει να χρησιμοποιείτε τα επικίνδυνα πρόσθετα που αναφέρονται παρακάτω σε ιστότοπους παραγωγής. Τα προβλήματα που εξηγούνται στον παρακάτω πίνακα είναι γνωστά και τεκμηριωμένα, γεγονός που καθιστά εύκολο για οποιονδήποτε έχει κακές προθέσεις να εκμεταλλευτεί αυτές τις τρύπες ασφαλείας και να επιτεθεί στον ιστότοπό σας.

Πώς να χρησιμοποιήσετε αυτήν τη σελίδα και τη λίστα των ευάλωτων προσθηκών;

Εάν χρησιμοποιείτε κάποια από τις προσθήκες που αναφέρονται, ελέγξτε ξανά τον αριθμό έκδοσης και επιβεβαιώστε ότι είναι αυτή με γνωστά προβλήματα. Εάν ναι - αφαιρέστε αμέσως το πρόσθετο! Αυτό περιλαμβάνει την απενεργοποίηση και τη διαγραφή του. Όχι μόνο απενεργοποίηση. Μπορείτε επίσης να επικοινωνήσετε με τον συγγραφέα και να τον ρωτήσετε εάν επιδιορθώθηκαν τα προβλήματα και αν όχι να τον παροτρύνετε να το κάνει.

Τύποι ευπάθειας

Μια γρήγορη υπενθύμιση των πιο συνηθισμένων τρυπών ασφαλείας και προβλημάτων που αντιμετωπίζουν οι προσθήκες WordPress. Λάβετε υπόψη ότι τα περισσότερα προβλήματα είναι ένας συνδυασμός δύο ή περισσότερων τύπων που αναφέρονται παρακάτω.

Αυθαίρετη προβολή αρχείων
Αντί να επιτρέπεται η προβολή μόνο ορισμένων πηγών αρχείων (για παράδειγμα πρότυπα προσθηκών), η έλλειψη ελέγχων στον κώδικα επιτρέπει στον εισβολέα να δει την πηγή οποιουδήποτε αρχείου, συμπεριλαμβανομένων εκείνων με ευαίσθητες πληροφορίες, όπως το wp-config.php

Αυθαίρετη μεταφόρτωση αρχείου
Η έλλειψη τύπου αρχείου και φιλτραρίσματος περιεχομένου επιτρέπει τη μεταφόρτωση αυθαίρετων αρχείων που μπορεί να περιέχουν εκτελέσιμο κώδικα ο οποίος, μόλις εκτελεστεί, μπορεί να κάνει σχεδόν τα πάντα σε έναν ιστότοπο

Κλιμάκωση προνομίων
Μόλις ο εισβολέας έχει έναν λογαριασμό στον ιστότοπο, ακόμα κι αν είναι μόνο του τύπου συνδρομητή, μπορεί να κλιμακώσει τα προνόμιά του σε υψηλότερο επίπεδο, συμπεριλαμβανομένων των διαχειριστικών.

SQL injection
Με τη μη διαφυγή και το φιλτράρισμα δεδομένων που πηγαίνουν σε ερωτήματα SQL, ο κακόβουλος κώδικας μπορεί να εισαχθεί σε ερωτήματα και τα δεδομένα να διαγραφούν, να ενημερωθούν ή να εισαχθούν στη βάση δεδομένων. Αυτό είναι ένα από τα πιο κοινά τρωτά σημεία.

Απομακρυσμένη εκτέλεση κώδικα (RCE)
Αντί να ανεβάζει και να εκτελεί κακόβουλο κώδικα, ο εισβολέας μπορεί να τον εκτελέσει από μια απομακρυσμένη τοποθεσία. Ο κώδικας μπορεί να κάνει οτιδήποτε, από την πειρατεία του ιστότοπου μέχρι την πλήρη διαγραφή του.

Λίστα χακαρισμένων, επικίνδυνων και ευάλωτων προσθηκών WordPress

Έχει χακαριστεί ο ιστότοπός σας στο WordPress;

Μην απελπίζεστε. συμβαίνει στους καλύτερους από εμάς. Είναι δύσκολο να δώσετε γενικές συμβουλές χωρίς να ρίξετε μια ματιά στον ιστότοπό σας, αλλά εάν εξακολουθείτε να μπορείτε να συνδεθείτε στον διαχειριστή του WP, προτείνουμε να εγκαταστήσετε το δωρεάν πρόσθετο Security Ninja. Θα εκτελέσει δοκιμές +40 στον ιστότοπό σας και με το πρόσθετο Core, μπορείτε να επικυρώσετε την ακεραιότητα των βασικών αρχείων σας συγκρίνοντάς τα με τα ασφαλή, κύρια αντίγραφα που είναι αποθηκευμένα στο WordPress.org. Είναι ένα ανεκτίμητο εργαλείο για κάθε ιστότοπο WordPress!

Πηγές

Η λίστα των τελευταίων επικίνδυνων και ευάλωτων προσθηκών WordPress συντάσσεται από διάφορες πηγές, όπως:

• Βάση δεδομένων ευπάθειας WPScan
• Αρχείο Βάσης Δεδομένων Exploit της Offensive Security
• Λεπτομέρειες CVE