Начало > ICN.Bg Блог > Friendly Geeks съвети > XSS уязвимост засяга множество WordPress плъгини

XSS уязвимост засяга множество WordPress плъгини

XSS уязвимост засяга множество WordPress плъгини

Friendly Geeks съвети

ICN.bg ви уведомява за множество WordPress плъгини, които са уязвими към Cross-site Scripting (XSS), поради неправилно използване на *addqueryarg() и **removequeryarg()*** функции. Това са популярни функции, използвани от разработчици за модифициране и изпращане на заявки към базата данни през URL адреси в WordPress.

Официалната документация на WordPress (Codex) не даде достатъчно яснота по този въпрос и някои разработчици останаха подведени, че всичко е наред. Те допуснаха, че тези функции филтрират потребителските входни данни, а всъщност това не се случва. Вижте повече за уязвимостта и как да се предпазите.

Списък на засегнатите плъгини:

  • Jetpack
  • WordPress SEO
  • Google Analytics by Yoast
  • All In one SEO
  • Gravity Forms
  • Multiple Plugins from Easy Digital Downloads
  • UpdraftPlus
  • WP-E-Commerce
  • WPTouch
  • Download Monitor
  • Related Posts for WordPress
  • My Calendar
  • P3 Profiler
  • Give
  • Multiple iThemes products including Builder and Exchange
  • Broken-Link-Checker
  • Ninja Forms

Вероятно съществуват и много други освен изброените по-горе. Ако използвате WordPress, ние силно ви препоръчваме да отидете в своя wp-admin dashboard и още сега да ъпдейтнете всички по-стари плъгини.

Ако сте разработчик, проверете своя код, за да видите как използвате тези две функции:

*addqueryarg*

*removequeryarg*

Препоръчваме ви да използвате *escurl() (or escurl_raw()) *функции за тях.

Време за ъпдейтване!

Ако използвате някои от тези плъгини уверете се, че сте ги ъпдейтнали. Ето и няколко трика, които ще намалят риска от заплахи и ще помогнат за подобряването на вашата сигурност:

1. Подобрявайте. Ъпдейтвайте своя сайт.

2. Ограничавайте. Ограничавайте контрола за достъп. Ограничете своята wp-admin директория само до бял списък с IP адреси. Давайте администраторски достъп само на потребители, които наистина се нуждаят от него. Не влизайте като администратор, ако няма да извършвате администраторска дейност.

3.Мониторинг. Преглеждайте вашите влизания. Това ще ви помогне да разберете какво се случва с вашия сайт.

4.Намалете своя обхват. Използвайте само тези плъгини или теми, от които вашият сайт наистина има нужда.

5.Следете. Съветваме ви да сканирате своя сайт за компрометирани или изтекли софтуери.

6.Защита. Ако имате IPS (Intrusion Prevention System) или WAF (Web Application Firewall), те могат да ви помогнат да избегнете най-често срещаните форми на XSS exploit. Може да изпробвате и нашия CloudProxy. Други начини за предотвратяване на този проблем е open source route, OSSEC, Snort и ModSecurity.

Вижте и какви проблеми се идентифицират от Joost oт Yoast в един от неговите плъгини.

Етикети: #sigurnost #kod #funktsii #uyazvimost #icn #plagin #update #wordpress

Абонирай се за бюлетина ни!

Получавай първи най-актуалната и полезна информация за твоя онлайн бизнес!

Изпращане... Грешка по време на изпращането! Моля опитайте отново!

С въвеждане на вашия мейл, вие се съгласявате с условията за ползване на ICN.Bg. Този сайт е защитен от reCAPTCHA и се прилагат правилата за поверителност и общите условия на Google

Благодарим Ви.

Заявката ви е изпратена успешно!

Обратно най-горе