Blog WordPress webmástra

  • Hlavní stránka
  • Rubriky
    • WordPress
    • Problémy
    • Služby
    • Hosting
    • Server
    • Nezařazené
  • Znalostní báze
    • O znalostní bázi
    • Tabulky v databázi
  • Hlavní stránka
  • Rubriky
    • WordPress
    • Problémy
    • Služby
    • Hosting
    • Server
    • Nezařazené
  • Znalostní báze
    • O znalostní bázi
    • Tabulky v databázi
You are here: Home » WordPress » 5 WordPress pluginů, které musíte urychleně aktualizovat

5 WordPress pluginů, které musíte urychleně aktualizovat

Updated on 05.07.2014 By Shima Leave a comment

Tento týden se objevil další WordPress plugin, který obsahuje bezpečnostní díru. Naštěstí už jí autoři opravili a pokud pravidelně aktualizujete svůj WordPres a všechny pluginy, tak se nemusíte bát.

Pojďme se podívat jaké nejrozšířenější pluginy, u kterých byla nedávno objevena bezpečnostní hrozba.

MailPoet

Právě MailPoet alias wysija-newsletters je momentálně nejohroženější.Přitom MailPoet patří mezi nejoblíbenější pluginy pro sběr a rozesílání emailů. Podle oficiálních statistik byl stažen z oficiálních stránek WordPress.org přes 1,7 milion krát.

Záplatovaná verze v2.6.7 je už na světě, ale spousta uživatelů WordPress si jí ještě nestáhlo.

Případný útočník může využít bezpečnostní díru a nahrát do vašeho WordPressu libovolný soubor. Například skript, který po spuštění v databázi změní heslo administrátora.

Pokud je mi známo, tento problém se týká pouze WordPressů, které umožňují registraci cizím lidem. Chyba spočívá v tom, že nedojde k ověření zdali má účet administrátorská práva.

TimThumb

Pluginy které pracují s obrázky jsou často největší slabinou nejen u WordPress ale i u ostatních redakčních systémů a eshopů. Proto byste měli používat pouze známé a prověřené. U nich je výhoda, že na případné bezpečnostní hrozby reaguje autor velice rychle, podobně jak tomu bylo i u TimThumb. Bezpečná verze má číslo 2.8.14.

Přeštěte si   Podpora pro WordPress

Chyba v TimThumb, konkrétně ve fungkci WebShot umožňovala útočníkovi vkládat do kteréhokoliv souborů vlastní kusy kódu. Naštěstí tuto rozšířenou funkci si musí uživatel sám aktivovat.

S TimThumb byly problémy už dříve, protože nebyl aktualizován od roku 2011. Podle společnosti Incapsula až za 58 % útoků, u kterých došlo k změnám souborů, stál právě plugin TimThumb.

Pichaya Morimoto, který chybu objevil odhaduje, že by se podobná mohla nacházet i v pluginech WordThumb 1.07, WordPress Gallery Plugin a IGIT Posts Slider Widget.

All in One SEO Pack

O zranitelnosti tohoto pluginu jsem psal začátkem minulého měsíce v článku Zranitelný plugin All in One SEO Pack. Ačkoliv se tato bezpečnostní hrozba týkala pouze WordPressů s otevřenou registrací byla horší v tom, že se jedná o jeden z nejpoužívanějších pluginů na světě. Podle některých statistik jej totiž používá až 20 % všech WordPressů.

Autoři opravily bezpečnostní problém ve verzi 2.1.6.

Login Rebuilder

US-CERT Cyber Security Bulletin upozornil na chybu v tomto pluginu. Konkrétně se jednalo o náchylnost na cross-site request forgery. U tohoto druhu útoku se využije, že jste k administraci přihlášení a momentě kdy navštívíte stránku se škodlivým kódem dojde ke spuštění určitého příkazu prostřednictvím vašeho prohlížeče. Vzhledem k tomu, že jste přihlášení, tak tento příkaz je autorizován pod právy administrátora.

Přeštěte si   WordPress komunitu rozhořčilo velmi rychlé schválení šablony od GoDaddy

Chyba byla odstraněna ve verzi 1.2.3 minulý týden.

JW Player

Tuto chybu také objevil US-CERT Cyber Security Bulletin. Opět se jedná o zranitelnost na cross-site request forgery, který jsme si popsali v předchozím odstavci.
Dopad této chyby však není tak kritický. Případný útočník vás maximálně donutí smazat přehrávač ze stránek.

Bezpečnostní chyba byla odstraněna ve verzi 2.1.4, která vyšla minulý týden.

Doporučení

Samozřejmě základní doporučení je pravidelně všechno aktualizovat jak to jen jde. Ovšem ani to vám nepomůže pokud někdo chybu objeví a doposud nebyla vytvořena záplata. Například problém u MailPoet byl údajně více jak měsíc. Tedy přes zero day exploit (chyba objevena právě ten den) vás nic neochrání.

Nebezpečí jde částečně snížit pokud budete například svůj WordPress obsluhovat jen z jednoho samotného prohlížeče, který nebudete používat na nic jiného, než práci s WordPress. Vyhnete se tak útokům tipu cross-site request forgery.

Přeštěte si   WordPress komunita a pravidelné srazy

Pomůže i vhodné nastavení práv k adresářům a souborům. Následující doporučení jsou podle Tips and Tricks HQ, kteří vytvořili bezpečnostní plugin All In One WP Security.

  • root directory – 755
  • wp-includes/ – 755
  • .htaccess – 644
  • wp-admin/index.php – 644
  • wp-admin/js/ – 755
  • wp-content/themes/ – 755
  • wp-content/plugins/ – 755
  • wp-admin/ – 755
  • wp-content/ – 755
  • wp-config.php – 644

Pozor tato práva občas zlobí u některých poskytovatelů sdílených webhostingů.

Mezi další doporučení patří samozřejmě pravidelné zálohování.

  • Na databázi stačí automatický Backup Scheduler, který vám může posílat zálohu třeba na email.
  • S multimédii to je složitější. Tady je vhodné to prostě jednou za čas zazálohovat přes FTP.
  • Šablonu zálohujte jen když něco upravíte.
  • Pluginy pokud neupravujete, tak stačí znát jméno. Pokud máte zálohu databáze máte i zálohu jejich nastavení.

 

Zdroj: Five WordPress Plugins You Should Update Right Now

Share Button

Tags: All in One SEO Pack bezpečnost JW Player Login Rebuilder MailPoet Plugin TimThumb WordPress

By Shima

Programuju v PHP už několik let spíše pro zábavu. Baví mě WordPress, protože tak lenivým lidem jako jsem já ušetří spoustu času. A rád sbírám reklamní flash disky. Tento blog používám pro utřídění myšlenek.

http://n-host.cz

You May Also Like

WordCamp Praha 2018
Ransomware který cíli na WordPress

Napsat komentář Zrušit odpověď na komentář

Vaše e-mailová adresa nebude zveřejněna. Vyžadované informace jsou označeny *

Nejčtenejší články

  • Konstanty ve wp-config.php
  • Chyba ve WordPress - Dočasný adresář neexistuje
  • Jak vypnout WordPress
  • Jaké jsou alternativy za Total Commander pro nahrávání souborů přes FTP
  • WordPress automatické zálohování
  • WordPress - Nepodařilo se navázat spojení s databází
  • Jak vylepšit základní šablony WordPress jednoduše
  • Extrémně pomalé načítání webu
  • Jakou verzi PHP bych měl používat pro WordPress?
  • Největší nevýhody WordPress zvláště pro důležité weby
  • Problém s načítáním webových stránek
  • Zaseknutá aktualizace WordPress
  • Jak na Sitemap u WordPress
  • Jak vyřešit chybu - Fatal error: Allowed memory size of ...
  • Kdo je Wapuu?

Vyhledávání

Rubriky

  • Hosting (9)
  • Nezařazené (7)
  • Problémy (8)
  • Server (1)
  • Služby (2)
  • WordPress (123)

Štítky

.htaccess 503 aktualizace Automattic bezpečnost blog chyby CSS design DNS domény Google hosting JavaScript komentáře komunita Konference Matt Mullenweg obrázky ochrana odkazy optimalizace PHP PHP7 PING Plugin pluginy Problémy Rest API rychlost SEO Spam top Twitter webhosting WordCamp Wordfence WordPress WordPress 4.2 WordPress 4.3 WordPress 4.5 WordPress 4.6 wp-config.php XSS šablony
Prohlášení o ochraně osobních údajů

© 2021 Blog WordPress webmástra. All Rights Reserved. Wiles Theme. Powered by WordPress.

Scroll To Top