Hackade, farliga och sårbara WordPress-plugins
Denna sida är för närvarande under uppbyggnad. Vi jobbar på att förbättra det!
Med över 47 tusen plugins i det officiella WordPress-förrådet och tusentals fler tillgängliga på olika andra marknadsplatser och webbplatser, är det en skrämmande uppgift att hitta de som fungerar bra. Att hitta WordPress-plugins som är säkra och som inte äventyrar din webbplats är en ännu svårare uppgift på grund av WordPress-säkerhetens komplexa natur och ofta massiva plugins med tusentals rader kod.
Även om vi inte kan hjälpa dig att undvika varenda dålig plugin, kan vi peka ut de som har kända, bekräftade sårbarheter och säkerhetsproblem. Om du inte vet vad du gör, om du testar något på en lokal installation eller om du gillar WordPress-säkerhet, bör du inte använda de farliga plugins som anges nedan på produktionssajter. Problem som förklaras i tabellen nedan är välkända och dokumenterade, vilket gör det enkelt för alla med dåliga avsikter att utnyttja dessa säkerhetshål och attackera din webbplats.
Genom att lista plugins på den här sidan menar vi ingen respekt för dem eller deras författare! Vi vill bara varna användare att inte installera specifika versioner som har kända säkerhetsproblem. Om du känner att ditt plugin har listats av felet eller behöver hjälp med att uppdatera det, vänligen kontakta oss.
Hur använder man den här sidan och listan över sårbara plugins?
Om du använder något av de angivna plugin-programmen, dubbelkolla versionsnumret och bekräfta att det är den med kända problem. Om så är fallet – ta bort pluginet omedelbart! Detta inkluderar att avaktivera den och ta bort. Inte bara avaktivera. Du kan också kontakta författaren och fråga honom om problemen har åtgärdats och om inte uppmana honom att göra det.
Sårbarhetstyper
En snabb påminnelse om de vanligaste säkerhetshålen och problemen med WordPress-plugins. Observera att de flesta problem är en kombination av två eller flera typer nedan.
Godtycklig filvisning
Istället för att endast tillåta vissa filkällor att se (till exempel plugin-mallar) tillåter bristen på kontroller i koden angriparen att se källan till vilken fil som helst, inklusive de med känslig information som wp-config.php
Godtycklig filuppladdning
Brist på filtyp och innehållsfiltrering möjliggör uppladdning av godtyckliga filer som kan innehålla körbar kod som, när den väl körts, kan göra i stort sett vad som helst på en webbplats
Privilegieupptrappning
När angriparen väl har ett konto på sajten, även om det bara är av typen prenumerant, kan han eskalera sina privilegier till en högre nivå, inklusive administrativa.
SQL-injektion
Genom att inte fly och filtrera data som går in i SQL-frågor kan skadlig kod injiceras i frågor och data raderas, uppdateras eller infogas i databasen. Detta är en av de vanligaste sårbarheterna.
Exekvering av fjärrkod (RCE)
Istället för att ladda upp och köra skadlig kod kan angriparen köra den från en avlägsen plats. Koden kan göra allt, från att kapa webbplatsen till att helt radera den.
Lista över hackade, farliga och sårbara WordPress-plugins
Har din WordPress-sida blivit hackad?
Misströsta inte; det händer de bästa av oss. Det är svårt att ge allmänna råd utan att titta på din webbplats, men om du fortfarande kan logga in på din WP-admin föreslår vi att du installerar gratis Security Ninja plugin. Den kommer att utföra +40 tester på din webbplats, och med Core-tillägget kan du validera integriteten för dina kärnfiler genom att jämföra dem med de säkra huvudkopiorna som lagras på WordPress.org. Det är ett ovärderligt verktyg för alla WordPress-webbplatser!
Källor
Listan över senaste farliga och sårbara WordPress-plugins är sammanställd från olika källor inklusive:
