Sikkerhetsproblem i Wordpress plugin

[adeneo]

Det er oppdaget et alvorlig sikkerhetsproblem i et par svært populære plugins, og en del theme's som har disse preinstallert.
Det dreier seg om Slider Revolution, en slider som er svært mye brukt, og Showbiz Pro.
Theme's som Avada, det meste solgte themet på CodeCanyon, men også flere andre, for eksempel uDesign, Jupiter og X-Theme, kommer med Slider Revolution.

Sikkerhetshullet ble patchet allerede i Februar, men man har unnlatt å opplyse om problemet slik at mange ikke har oppdatert, og dette sikkerhetshullet utnyttes nå over en lav sko.
De som har kjøpt berørte produkter fra CodeCanyon, ThemeForrest eller andre slike steder vil få en e-post i løpet av dagen.

Dersom du bruker Slider Revolution, MÅ det oppgraderes til minimum versjon 4.2 umiddelbart.
Dersom du bruker Showbiz Pro MÅ det oppgraderes til minimum versjon 1.5.3


Mer info om problemet finnes her -> Slider Revolution Plugin Critical Vulnerability Being Exploited | Sucuri Blog

Det viser seg at disse plugins'ene åpner for nedlasting av hvilken som helst fil, det eneste man trenger å gjøre er

https://www.webforumet.no/wp-admin/admin-ajax.php?action=revslider_show_image&img=../wp-config.php

så kan man altså laste ned hvilken som helst fil gjennom Revolution Slider, også kofigurasjonsfiler som inneholder brukernavn og passord osv.

 

[Tonny Kluften]

Heftig. Takk for den.

 

[Tore Andre Rosander]

Digi.no lenket til en onlinescan som du kan teste sidene dine med.
http://sitecheck.sucuri.net/

 

[xdex]

Dette beviser bare at det er nok en god grunn til å skjule at du bruker wordpress. Da slipper du at folk crawler nettisden din via google for å finne ut som du kan være sårbar!

 

[Turbo Heidi]

Dette beviser bare at det er nok en god grunn til å skjule at du bruker wordpress. Da slipper du at folk crawler nettisden din via google for å finne ut som du kan være sårbar!

Tenkte akkurat på den. Så eg har fjernet alt som kan vise tilbake til det eg bruker

 

[Tonny Kluften]

... alt som kan vise tilbake til det eg bruker

Nesten alt, i bunnen av sida viser du et bilde med link til wp-content mappa (regner med at det er en feil av deg bare), klikk CTRL+U og se på kildekoden.

Hva slags metode bruker du for å skjule at det er WP?

 

[xdex]

Personlig så bruker jeg denne, http://codecanyon.net/item/hide-my-wp-no-one-can-know-you-use-wordpress/4177158 vet at det også finnes ett OK gratis alternativ.

 

[Turbo Heidi]

Eg fjernet Wordpress nederst på siden. Eg er sikkert dom. Men trodde det var nok eg.

Får det forresten ikkje opp med å bruke CTRL + U. Bruker Mac

 

[xdex]

Eg fjernet Wordpress nederst på siden. Eg er sikkert dom. Men trodde det var nok eg.

Langt i fra nok, det er enkelt og sjekke om du bruker wordpress ved å se i kildekoden (html struktur), og må bruke plugins (evt. gjøre endringene selv) for å fjerne spor.

Som nevnt over bruker jeg denne, http://codecanyon.net/item/hide-my-wp-no-one-can-know-you-use-wordpress/4177158 (sjekk ut "utstyr-lista" for å se hva den faktisk gjør)

 

[Turbo Heidi]

Langt i fra nok, det er enkelt og sjekke om du bruker wordpress ved å se i kildekoden (html struktur), og må bruke plugins (evt. gjøre endringene selv) for å fjerne spor.

Som nevnt over bruker jeg denne, http://codecanyon.net/item/hide-my-wp-no-one-can-know-you-use-wordpress/4177158 (sjekk ut "utstyr-lista" for å se hva den faktisk gjør)

Eg såg på denne... Men du snakket om noen gratis alternativer... Hvilket er det?

 

[xdex]

Har null erfaring med disse gratis innstikkene, så da er det bedre at noen andre her som har erfaring med noen av dem lenker. Eller gjør ett Google søk, har ikke hatt behov for ett gratis alternativ da Hide my WP er overlegent bra, og fungerer som det skal!

 

[Travellingman]

http://kovshenin.com/2013/dont-hide-the-fact-that-youre-using-wordpress/

 

[xdex]

http://kovshenin.com/2013/dont-hide-the-fact-that-youre-using-wordpress/

Idiotisk artikkel, som ikke gir mening. Poenget er ikke å skjule at du bruker wordpress fordi du bruker wordpress. Poenget er å gjøre en potensiell trussel, mindre. Det er heller ikke noe problem å blokkere tilgang til f.eks. wp-admin, eller, wp-login.php. Har rundt 30-40 wordpress sider som kjører, og alle disse har dramatisk mindre angrep ved bruk av hide wp f.eks. Selvfølgelig vil en bot prøve å skyte informasjon gjennom post direkte til admin, sysadmin, wp-admin osv... Det er derfor du ikke kaller slike sider admin, login eller lignende. Du kaller det heller medlemside, eller andre funky navn.

Selvfølgelig ville du satt den sårbare bilen din i garasjen, til nøkkelsystemet var fikset. Du setter ikke bilen til utstilling, når den allerede er sårbar, og alle som ønsker, kan kjøre fra stedet uten problem. Folk vet du har en bil, men trenger ikke vite modell og merke.

 

[Travellingman]

Jeg har beskyttet alle mine WP installasjoners login med .htacess og bruker WordFence noe som er gratis og fungerer helt utmerket

 

[Turbo Heidi]

Supert å høre... Da gjør vi akkurat det samme Godt å høre at den fungerer bra - siden eg lastet den ned i går