Hakkeroidut, vaaralliset ja haavoittuvat WordPress-laajennukset
Tämä sivu on tällä hetkellä rakenteilla. Pyrimme parantamaan sitä!
Virallisessa WordPress-varastossa on yli 47 tuhatta laajennusta ja tuhansia muita saatavilla useilla muilla markkinapaikoilla ja sivustoilla, joten hyvin toimivien lisäosien löytäminen on pelottavaa. Turvallisten ja sivustoasi vaarantamattomien WordPress-laajennusten löytäminen on vielä vaikeampaa WordPress-suojauksen monimutkaisuuden ja usein massiivisten tuhansien koodirivien sisältävien laajennusten vuoksi.
Vaikka emme voi auttaa sinua välttämään jokaista huonoa laajennusta, voimme paikantaa ne, jotka ovat tunteneet, vahvistaneet haavoittuvuuksia ja tietoturvaongelmia. Ellet tiedä mitä olet tekemässä, testaat jotain paikallisessa asennuksessa tai olet kiinnostunut WordPressin tietoturvasta, älä käytä alla lueteltuja vaarallisia laajennuksia tuotantosivustoilla. Alla olevassa taulukossa kuvatut ongelmat ovat hyvin tunnettuja ja dokumentoituja, joten kenen tahansa, jolla on pahat aikeet, on helppo hyödyntää näitä tietoturva-aukkoja ja hyökätä sivustoosi.
Listaamalla laajennukset tälle sivulle emme tarkoita epäkunnioitusta niitä tai niiden tekijöitä kohtaan! Haluamme vain varoittaa käyttäjiä olemaan asentamatta tiettyjä versioita, joissa on tunnettuja tietoturvaongelmia. Jos uskot, että liitännäsi on tullut luetteloon vian vuoksi tai tarvitset apua sen päivittämisessä, ota meihin yhteyttä.
Kuinka käyttää tätä sivua ja luetteloa haavoittuvista laajennuksista?
Jos käytät jotakin luetelluista laajennuksista, tarkista versionumero ja varmista, että siinä on tunnettuja ongelmia. Jos näin on, poista laajennus välittömästi! Tämä sisältää sen deaktivoinnin ja poistamisen. Ei vain deaktivointia. Voit myös ottaa yhteyttä kirjoittajaan ja kysyä häneltä, onko ongelmat korjattu, ja jos ei, kehottaa häntä tekemään niin.
Haavoittuvuustyypit
Nopea muistutus yleisimmistä tietoturva-aukoista ja ongelmista, joita WordPress-laajennukset kohtaavat. Huomaa, että useimmat ongelmat ovat kahden tai useamman alla lueteltujen tyyppien yhdistelmä.
Mielivaltainen tiedostojen katselu
Sen sijaan, että vain tiettyjä tiedostolähteitä (esimerkiksi laajennusmalleja) sallittaisiin tarkastella, koodin tarkistusten puuttuminen antaa hyökkääjälle mahdollisuuden tarkastella minkä tahansa tiedoston lähdettä, mukaan lukien tiedostot, joissa on arkaluonteisia tietoja, kuten wp-config.php.
Mielivaltainen tiedoston lataus
Tiedostotyypin ja sisällön suodatuksen puute mahdollistaa mielivaltaisten tiedostojen lataamisen, jotka voivat sisältää suoritettavaa koodia, joka voi suoritettuaan tehdä melkein mitä tahansa sivustolla
Etuoikeuksien lisääntyminen
Kun hyökkääjällä on sivustolla tili, vaikka se olisikin vain tilaajatyyppinen, hän voi laajentaa oikeuksiaan korkeammalle tasolle, mukaan lukien järjestelmänvalvojan oikeudet.
SQL-injektio
Jos SQL-kyselyihin meneviä tietoja ei pakene ja suodata, kyselyihin voidaan lisätä haitallista koodia ja tietoja voidaan poistaa, päivittää tai lisätä tietokantaan. Tämä on yksi yleisimmistä haavoittuvuuksista.
Koodin etäsuoritus (RCE)
Haitallisen koodin lataamisen ja suorittamisen sijaan hyökkääjä voi suorittaa sen etäpaikasta. Koodi voi tehdä mitä tahansa, sivuston kaappaamisesta sen poistamiseen kokonaan.
Luettelo hakkeroiduista, vaarallisista ja haavoittuvista WordPress-laajennuksista
Onko WordPress-sivustosi hakkeroitu?
Älä ole epätoivoinen; se tapahtuu parhaille meistä. On vaikea antaa yleisiä neuvoja katsomatta sivustoasi, mutta jos voit silti kirjautua WP-järjestelmänvalvojaasi, suosittelemme asentamaan ilmainen Security Ninja -laajennus. Se suorittaa +40-testejä sivustollasi, ja Core-lisäosan avulla voit vahvistaa ydintiedostojesi eheyden vertaamalla niitä WordPress.org-sivustolle tallennettuihin suojattuihin peruskopioihin. Se on korvaamaton työkalu mille tahansa WordPress-sivustolle!
Lähteet
Luettelo uusimmista vaarallisista ja haavoittuvista WordPress-laajennuksista on koottu useista lähteistä, mukaan lukien:
