Έκτακτα WP plugin updates για το κενό ασφαλείας XSS

22 Απριλίου 2015, από

Ενημερώση Wordpress Plugins για το XSS κενό ασφαλείας

Αν διατηρείς ένα WordPress site, είναι πολύ σημαντικό να ακολουθείς τις εξελίξεις, ειδικά σε θέματα που αφορούν την ασφάλεια. Στο blog μας μπορείς να βρεις ανακοινώσεις για ζητήματα που προκύπτουν σε σχέση με το security και το παρόν post αφορά σε ένα τέτοιο περιστατικό, το οποίο ανακοινώθηκε πρόσφατα και απαιτεί την προσοχή μας.

Η ανακοίνωση για το XSS vulnerability

Την περασμένη εβδομάδα εντοπίστηκαν κάποια κενά ασφαλείας σε αρκετά plugins του WordPress, που φαίνεται να προήλθαν από τη λανθασμένη χρήση των συναρτήσεων add_query_arg() και remove_query_arg(), κάνοντας τα sites που τα χρησιμοποιούν ευάλωτα σε μια XSS επίθεση. Όπως αποδείχτηκε, το codex του WordPress δεν ήταν πολύ ξεκάθαρο στα συγκεκριμένα σημεία, με αποτέλεσμα οι developers να μην τα χρησιμοποιούν πάντα με τον πιο ασφαλή τρόπο.

Τα plugins που φαίνεται μέχρι τώρα να επηρεάζονται είναι τα εξής:

Jetpack
WordPress SEO
Google Analytics by Yoast
All In one SEO
Gravity Forms
Διάφορα plugins από το Easy Digital Downloads
UpdraftPlus
WP eCommerce
WPTouch
Download Monitor
Related Posts for WordPress
My Calendar
P3 Profiler
Give
Πολλά προϊόντα του iThemes, μεταξύ τον οποίων το Builder και το Exchange
Broken-Link-Checker
Ninja Forms

Έχω WordPress. Τι πρέπει να κάνω;

Είναι απαραίτητο να μεταβείς άμεσα στο dashboard του WordPress site σου και να ενημερώσεις όλα τα plugins που έχουν διαθέσιμα updates, ακόμα κι αν δεν αναφέρονται στην παραπάνω λίστα. Με αυτόν τον τρόπο θα μεγιστοποιήσεις την ασφάλειά του, με μερικά μόνο clicks!

tophost Plugin updates

Αν δεν το έχεις κάνει ήδη, σου προτείνουμε να εγκαταστήσεις το Automatic Plugin Updates, έτσι ώστε να γίνονται όλα αυτόματα και να μην ανησυχείς, αλλά και να μην χάνεις χρόνο σε χειροκίνητες διαδικασίες εγκατάστασης ενημερώσεων.

Προς το παρόν έχουν ελεγχθεί περίπου 400 από τα δημοφιλέστερα plugins και ήδη από χθες είναι διαθέσιμα αντίστοιχα updates που διορθώνουν το πρόβλημα. Ο έλεγχος των plugins θα συνεχιστεί και θα ανακοινώνονται τα νέα ευρήματα, οπότε καλό θα ήταν να ελέγχεις συχνά το site σου για νέες ενημερώσεις των plugins που χρησιμοποιείς. Παράλληλα, έχουν δοθεί και διευκρινίσεις για τη χρήση των συναρτήσεων που προκάλεσαν το συγκεκριμένο κενό.

Σου άρεσε αυτό το blog post;

Τότε σίγουρα θα λατρέψεις τα επόμενα! Συμπλήρωσε το email σου για να μη χάσεις ούτε ένα.;

Κάνε δωρεάν την εγγραφή σου και στο εξής θα λαμβάνεις ενημερώσεις για τα νέα post του Τοp.Host Blog. Οποιαδήποτε στιγμή θελήσεις μπορείς να αφαιρέσεις το email σου από τη λίστα παραληπτών. Μάθε περισσότερα στην Πολιτική Απορρήτου.

Μπες στη συζήτηση

Πες μας τη γνώμη σου!