Опасные плагины WordPress

Девять опасных плагинов WordPress  установленных на 1,3 миллионов сайтов

В девяти плагинах WordPress нашли уязвимость. Среди них имеются популярные плагины управления рекламой и брандмауэр. Кроме того, вредоносные программы задели популярного менеджера баз данных. При этом, девять опасных плагинов WordPress установлены на более чем 1,3 миллионе сайтов.

Уязвимости в девяти плагинах WordPress

Хотя уязвимыми были признаны многие другие плагины, девять самых популярных плагинов затронули более 1,3 миллиона веб-сайтов. Уязвимости были обнаружены на популярных плагинах WordPress, которые используются по всему миру.

Следующие находятся в списке девяти уязвимых плагинов:

  1. Header Footer Code Manager. Более 300 000 установок.
  2. Ad Inserter – Менеджер рекламы и AdSense Ads. Более 200 000 установок.
  3. Плагин Popup Builder для WordPress. Более 200 000 установок.
  4. Защита от вредоносных программ и брандмауэр. Более 200 000 установок.
  5. WP Content Copy Protection & No Right Click. Более 100 000 установок.
  6. Резервное копирование базы данных. Более 100 000 установок WordPress.
  7. GiveWP — плагин для пожертвований и платформа для сбора средств. Более 100 000 установок.
  8. Диспетчер загрузок. Более 100 000 установок.
  9. Плагин Advanced Database Cleaner для WordPress. Более 80 000 установок.

Для того, чтобы защититься от уязвимости, необходимо обновить установленный плагин до последней версии (через консоль CMS).

Опасные плагины WordPress
Существует много опасных плагинов для WordPress

Уязвимость в Header Footer Code Manager

Исследователи безопасности Wordfence обнаружили, что подключаемый модуль WordPress Header Footer Code Manager содержит уязвимость Reflected Cross-Site Scripting.

Уязвимость позволяет взломщику обманом заставил администратора щелкнуть ссылку или выполнить другое действие, чтобы сделать его уязвимым для полного захвата сайта.

Исследователи отметили, что, поскольку этот плагин влияет на чувствительную область сайтов WordPress, поскольку он предназначен для добавления кода на веб-сайты, различные вредоносные действия могут распространяться на добавление бэкдоров и атаки на посетителей сайта.

Wordfence рекомендует издателям обновить свои установки как минимум до версии 1.1.17.

Как защититься от опасных плагинов
Прежде чем загрузить плагин, необходимо прочитать отзывы про него.

Ad Inserter – Менеджер рекламы и реклама AdSense (бесплатная и профессиональная версии)

WPScan сообщил, что Ad Inserter — Ad Manager & AdSense Ads также имеет уязвимость, которая может привести к взлому Reflected Cross-Site Scripting.

Издателям рекомендуется обновиться как минимум до версии 2.7.10.

Плагин Popup Builder

Этот плагин содержит уязвимость, которая может привести к использованию SQL-инъекций.

Согласно Национальной базе данных уязвимостей:

«Плагин Popup Builder для WordPress до версии 4.0.7 не проверяет и не экранирует параметры порядка и порядка перед их использованием в операторе SQL на панели администратора, что может позволить пользователям с высоким уровнем привилегий выполнять внедрение SQL».

Издателям рекомендуется обновить плагин WordPress как минимум до версии 4.0.7.

Защита от вредоносных программ и брандмауэр

Этот плагин WordPress также содержит уязвимость Reflected Cross-Site scripting. Злоумышленник должен иметь учетные данные уровня администратора, чтобы выполнить атаку.

Издателям рекомендуется обновиться как минимум до версии 4.20.94.

хороший плагин
Необходимо вовремя обновлять плагины, чтобы они не давали уязвимость.

WP Content Copy Protection & No Right Click

Защита от копирования контента WP и отсутствие щелчка правой кнопкой мыши

Этот плагин WordPress был обнаружен исследователями безопасности из Patchstack, которые сообщили, что плагин имеет уязвимость, связанную с подделкой межсайтовых запросов (CSRF).

Издателям рекомендуется обновиться как минимум до версии 3.4.5.

Резервное копирование базы данных для WordPress

Исследователи безопасности из WPScan сообщили об уязвимости SQL Injection, затрагивающей плагин Database Backup for WordPress, который обрабатывает наиболее важную часть любой установки WordPress — базу данных.

WPScan отмечает:

«Плагин неправильно очищает и экранирует параметр фрагмента перед его использованием в операторе SQL на панели администратора, что приводит к проблеме внедрения SQL».

Database Backup for WordPress

Национальная база данных уязвимостей рекомендует издателям обновить плагин Database Backup for WordPress как минимум до версии 2.5.1.

GiveWP

GiveWP — плагин для пожертвований и платформа для сбора средств

Было обнаружено, что плагин для пожертвований GiveWP содержит уязвимость отраженного межсайтового скриптинга. Издателям рекомендуется обновить плагин как минимум до версии 2.17.3.

Плагин менеджера загрузок для WordPress

Этот плагин содержит эксплойт SQL Injection, который может привести к атаке Reflected Cross-Site Scripting. Издателям рекомендуется обновиться как минимум до версии 3.2.34.

Расширенный плагин очистки базы данных WordPress

Advanced Database Cleaner Исследователи безопасности обнаружили, что этот плагин содержит проблему, которая может привести к атаке Reflected Cross-Site Scripting. Издателям рекомендуется обновить плагин как минимум до версии 3.0.4.

Выводы

Мы перечислили девять опасных плагинов WordPress. И хотя опасных плагинов гораздо больше, в нашей статье представлены самые популярные из них.

Все плагины получили патч, который закрывает уязвимость, но пользователи сайтов должны убедиться, что они используют последние версии. Именно это обеспечить безопасность сайтов и посетителей.

Кстати, ранее я писал, как защитить сайт на WordPress. Если Вы хотите обезопасить сайт, обязательно прочтите статью.

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *

Этот сайт использует Akismet для борьбы со спамом. Узнайте, как обрабатываются ваши данные комментариев.