Plugin Vulnerabilities: получаем уведомления на почту о найденных уязвимостях безопасности в ваших WordPress-плагинах

Дата публикации:Апрель 10, 2015

Пользователи WordPress за последние месяцы столкнулись с массовым выявлением дыр в безопасности плагинов. Некоторые из этих уязвимостей оказались настолько широко распространены, что в дело вмешались даже FBI: они предупредили пользователей об атаках, созданных с целью эксплуатации WordPress-сайтов.

После того, как WordPress опубликовала свой отчет безопасности, повалились многочисленные проблемы, начиная с SQL-инъекции в WordPress SEO by Yoast и заканчивая уязвимостью в Pods Framework и в других плагинах.

Разработчики WordPress.org пока еще не придумали способа публичной идентификации плагинов, для которых команда безопасности выдает автоматические обновления. Процесс включает в себя координацию между автором плагина и разработчиками ядра, которые проверяют и тестируют уязвимости.

Как только автоматический процесс обновления для смягчения серьезных уязвимостей будет отлажен, мы, возможно, получим отдельную секцию WordPress.org, в которой будут приводиться данные об обновленных плагинах.

А пока пользователи WordPress должны самостоятельно устанавливать все необходимые обновления. Plugin Vulnerabilities – плагин, который позволяет пользователям быть уведомленными по поводу релизов безопасности. После своей установки плагин будет автоматически обнаруживать известные уязвимости безопасности в любом из ваших плагинов. Он будет выдавать уведомления в панели администратора. Также вы можете включить оповещения на почту.

plugin-vulnerabilities

Плагин был создан White Fir Design, компанией из Колорадо, которая специализируется на безопасности WordPress и исправлении взломанных сайтов. Компания также предлагает программу вознаграждения за найденные уязвимости в WordPress и плагинах.

White Fir Design постоянно обновляют плагин, который сообщает о новых уязвимостях. Страница описания плагина приводит статистику по найденным уязвимостям, которая на 6 апреля составляет:

  • 257 найденных уязвимостей
  • 61 уязвимость в последних версиях плагинов (57 из них были удалены из каталога плагинов)
  • 24 уязвимости были частично исправлены благодаря этому плагину
  • 5 уязвимостей в плагинах безопасности

Основные виды уязвимостей:

  • CSRF/XSS: 52 уязвимости
  • Reflected cross-site scripting: 45 уязвимостей
  • Произвольная загрузка файлов: 45 уязвимостей
  • Произвольный просмотр файлов: 23 уязвимости
  • SQL-инъекции: 16 уязвимостей

Плагин имеет администраторскую страницу, перечисляющую все уязвимости, связанные с установленными вами плагинами (а также с разными их версиями). Бывает так, что уязвимость обнаруживается еще до того, как появляется обновление – в таком случае вы можете деактивировать или удалить плагин.

plugin-vulnerabilities-list

Обновление программ вследствие проблем с безопасностью – естественная часть жизни в сети. Учитывая то, что популярность WordPress постоянно растет, это далеко не все открытые уязвимости, и со временем их количество будет увеличиваться. Если вы не готовы постоянно следить за новостями, связанными с уязвимостями в плагинах, вы можете поставить себе плагин Plugin Vulnerabilities, который позволит вам оперативно отреагировать на потенциальные угрозы.

Источник: wptavern.com

Поделиться

Оставить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *

Получать новые комментарии по электронной почте. Вы можете подписаться без комментирования.