В девяти плагинах WordPress нашли уязвимость. Среди них имеются популярные плагины управления рекламой и брандмауэр. Кроме того, вредоносные программы задели популярного менеджера баз данных. При этом, девять опасных плагинов WordPress установлены на более чем 1,3 миллионе сайтов.

Уязвимости в девяти плагинах WordPress

Хотя уязвимыми были признаны многие другие плагины, девять самых популярных плагинов затронули более 1,3 миллиона веб-сайтов. Уязвимости были обнаружены на популярных плагинах WordPress, которые используются по всему миру.

Следующие находятся в списке девяти уязвимых плагинов:

  1. Header Footer Code Manager. Более 300 000 установок.
  2. Ad Inserter – Менеджер рекламы и AdSense Ads. Более 200 000 установок.
  3. Плагин Popup Builder для WordPress. Более 200 000 установок.
  4. Защита от вредоносных программ и брандмауэр. Более 200 000 установок.
  5. WP Content Copy Protection AdSense Ads также имеет уязвимость, которая может привести к взлому Reflected Cross-Site Scripting.

    ПЛАГИНЫ Которые УЛУЧШАТ Твой СЕРВЕР Майнкрафт ❗ Плагины Minecraft ✅

    Издателям рекомендуется обновиться как минимум до версии 2.7.10.

    Плагин Popup Builder

    Этот плагин содержит уязвимость, которая может привести к использованию SQL-инъекций.

    Согласно Национальной базе данных уязвимостей:

    «Плагин Popup Builder для WordPress до версии 4.0.7 не проверяет и не экранирует параметры порядка и порядка перед их использованием в операторе SQL на панели администратора, что может позволить пользователям с высоким уровнем привилегий выполнять внедрение SQL».

    Издателям рекомендуется обновить плагин WordPress как минимум до версии 4.0.7.

    Защита от вредоносных программ и брандмауэр

    Этот плагин WordPress также содержит уязвимость Reflected Cross-Site scripting. Злоумышленник должен иметь учетные данные уровня администратора, чтобы выполнить атаку.

    Издателям рекомендуется обновиться как минимум до версии 4.20.94.

    хороший плагин

    WP Content Copy Protection & No Right Click

    Защита от копирования контента WP и отсутствие щелчка правой кнопкой мыши

    Этот плагин WordPress был обнаружен исследователями безопасности из Patchstack, которые сообщили, что плагин имеет уязвимость, связанную с подделкой межсайтовых запросов (CSRF).

    Издателям рекомендуется обновиться как минимум до версии 3.4.5.

    Резервное копирование базы данных для WordPress

    Исследователи безопасности из WPScan сообщили об уязвимости SQL Injection, затрагивающей плагин Database Backup for WordPress, который обрабатывает наиболее важную часть любой установки WordPress — базу данных.

    «Плагин неправильно очищает и экранирует параметр фрагмента перед его использованием в операторе SQL на панели администратора, что приводит к проблеме внедрения SQL».

    Database Backup for WordPress

    Национальная база данных уязвимостей рекомендует издателям обновить плагин Database Backup for WordPress как минимум до версии 2.5.1.

    ПЛАГИН ДЛЯ СОЗДАНИЯ КОМАНД И СОБЫТИЙ | Conditional Events — ОБЗОРЫ ПЛАГИНОВ #36

    GiveWP

    GiveWP — плагин для пожертвований и платформа для сбора средств

    Было обнаружено, что плагин для пожертвований GiveWP содержит уязвимость отраженного межсайтового скриптинга. Издателям рекомендуется обновить плагин как минимум до версии 2.17.3.

    Плагин менеджера загрузок для WordPress

    Этот плагин содержит эксплойт SQL Injection, который может привести к атаке Reflected Cross-Site Scripting. Издателям рекомендуется обновиться как минимум до версии 3.2.34.

    Расширенный плагин очистки базы данных WordPress

    Advanced Database Cleaner Исследователи безопасности обнаружили, что этот плагин содержит проблему, которая может привести к атаке Reflected Cross-Site Scripting. Издателям рекомендуется обновить плагин как минимум до версии 3.0.4.

    Выводы

    Мы перечислили девять опасных плагинов WordPress. И хотя опасных плагинов гораздо больше, в нашей статье представлены самые популярные из них.

    Все плагины получили патч, который закрывает уязвимость, но пользователи сайтов должны убедиться, что они используют последние версии. Именно это обеспечить безопасность сайтов и посетителей.

    Кстати, ранее я писал, как защитить сайт на WordPress. Если Вы хотите обезопасить сайт, обязательно прочтите статью.

    Источник: bloogit.ru

    Minecraft — взлом через xAuth

    Leonides никому не известный тип

    Доброго времени суток, дорогие жуковцы!
    Нашёл интересный баг который позволяет стать OP’ом на серверах minecraft с плагином xAuth на сервере. Для этого потребуется 3 окна. Принцип действия прост :
    1. Узнаём ник админа на сервере,обычно они написаны на табличках возле спавна
    2. Запускаем 2 и 3 окно с ником таким же как у админа,у вас теперь открыто 3 окна,1 окно с вашем персонажем,2 с ником админа,3 тоже с ником админа.
    3. Заходим на сервер под ником админа. Стоим на месте, /login вводить не нужно.
    4. Заходим на сервер ещё под одним окном,с ником админа
    5. Вам пишет что-то типо Player allready online
    6. Переключаем обратно
    7. Пишем /op ваш ник
    8. PROFIT

    Работает только на серверах где стоит плагин xAuth .

    Баг до сих пор работает.

    P.S От спасибок,или плюсов в репу не откажусь

    Источник: zhyk.org

    Потенциальные проблемы из-за сторонних веб-плагинов

    Используете на сайте плагины от сторонних разработчиков? Убедитесь, что они регулярно обновляются.

    Плагины сторонних разработчиков могут обернуться головной болью.

    Sergey Golubev

  6. 3 апреля 2019

    7. Часто интернет-магазины, информационные порталы и другие ресурсы базируются на специальных платформах, предоставляющих разработчикам набор готовых инструментов. Наш блог, к примеру, построен именно так. Часто инструменты предоставляются в виде плагинов, позволяющих добавить на сайт те функции, которые нужны именно вам. С одной стороны, это удобно и позволяет не «изобретать велосипед» каждый раз, когда нужно использовать какой-то инструмент. С другой — чем больше на сайте сторонних разработок, тем выше риск, что что-то может пойти не так.

    Плагины и их проблемы

    Плагин — это небольшой программный модуль, добавляющий на сайт функциональность, которой в нем нет по умолчанию или которая реализована удобнее, чем стандартная. Существуют плагины для отображения виджетов соцсетей, для сбора статистики, для создания опросов и других видов контента, и так далее.

    Если вы подключите к движку своего сайта плагин, то он будет выполняться автоматически и побеспокоит вас, только когда в нем произойдет ошибка (и то лишь в том случае, если эту ошибку кто-то заметит). В этом и кроется опасность таких модулей: если автор молча забросит свой плагин или продаст его другому разработчику, скорее всего, вы ничего не заметите.

    Дырявые плагины

    В плагинах, которые не поддерживаются годами, скорее всего, присутствуют неисправленные уязвимости, через которые можно захватить сайт или загрузить на него вредоносную программу — кейлоггер, майнер криптовалюты или все, что преступной душе угодно.

    При этом владельцы сайтов часто не следят за обновлениями. Как показало исследование Wordfence, уязвимые модули после прекращения поддержки годами продолжают работать.

    Иногда авторы плагинов закрывают уязвимости, но они по той или иной причине не устанавливаются автоматически. Например, авторы некоторых изученных экспертами модулей при обновлении просто забывали изменять номер версии. В результате на ресурсах клиентов, не проверивших наличие обновлений вручную, остались устаревшие плагины.

    Подмена плагина

    Некоторые платформы для управления контентом сайтов закрывают доступ к скачиванию модулей, которые сняли с поддержки. Однако удалить уязвимые плагины с пользовательских сайтов нельзя, поскольку это может привести к сбоям в работе последних.

    Кроме того, заброшенные плагины могут храниться не на самой платформе, а на общедоступных сервисах. Когда автор снимает с поддержки или удаляет такой модуль, ваш сайт продолжает обращаться к контейнеру, в котором он находился. При этом злоумышленники запросто могут захватить этот контейнер или создать его клон и заставить ресурс подгружать вместо плагина вредоносный код.

    Именно это произошло со счетчиком твитов New Share Counts, размещенным в облачном хранилище Amazon S3. Когда его поддержка закончилась, разработчик опубликовал сообщение об этом на своем сайте, однако более 800 клиентов его не прочли.

    Спустя некоторое время автор плагина закрыл контейнер на Amazon S3, чем и воспользовались злоумышленники. Они создали хранилище с точно таким же именем и поместили в него вредоносный скрипт. Использующие плагин сайты стали подгружать вместо счетчика твитов новый код, который перенаправлял пользователей на фишинговый ресурс, обещавший им приз за заполнение анкеты.

    Владелец сменился, пользователи не заметили

    Иногда разработчики не забрасывают, а перепродают плагины. При этом далеко не каждый интересуется личностью покупателя, а значит, приобрести модуль может и злоумышленник. В таком случае велик шанс, что с очередным обновлением на ваш сайт загрузят вредоносный код.

    Обнаружить подобные плагины очень сложно. Например, один вредоносный модуль, установленный на сайты более 300 тыс. раз, попал в поле зрения исследователей по чистой случайности: новый хозяин решил его переименовать. Плагин удалили из публичного доступа из-за незаконного упоминания в новом названии бренда WordPress. В результате модулем заинтересовались специалисты Wordfence, которые проверили его с точки зрения информационной безопасности. Анализ показал, что в коде плагина скрывался бэкдор.

    Присматривайте за плагинами на своем сайте

    Как видите, есть множество способов заразить сайт через установленные на нем плагины, и не от всех его может защитить платформа, на которой он размещен. Поэтому мы рекомендуем вам самостоятельно следить за безопасностью плагинов на сайте.

    • Составьте список плагинов, которые используются на ваших ресурсах, с указанием места их хранения, и регулярно проверяйте и обновляйте его.
    • Читайте информационные сообщения разработчиков стороннего ПО, которое используете, и площадок, через которые оно распространяется.
    • Вовремя обновляйте плагины, а если они более не поддерживаются — как можно скорее ищите им замену.
    • Если же по какой-либо причине один из сайтов вашей компании больше не нужен и вы прекращаете его поддержку, не забудьте удалить его содержимое, включая плагины. Со временем в них могут появиться уязвимости, которыми воспользуются злоумышленники, скомпрометировав при этом и вашу компанию.
    • Сотрудников, работающих с публично доступными веб-сайтами, следует обучать навыкам противостояния современным киберугрозам. Например, при помощи нашей платформы ASAP.

    Источник: www.kaspersky.ru