Уязвимость в плагине Elementor Pro для CMS WordPress

Здравствуйте!



В одном из популярнейших плагинов Elementor Pro для CMS WordPress обнаружена активно эксплуатируемая хакерами уязвимость. Плагин используется на 12 миллионах сайтов, а проблеме был дан статус критической.

Elementor Pro используется для упрощённой разработки различных элементов сайта и управления ими. Также он включает средства взаимодействия с плагином WooCommerce, который предназначен для создания интернет-магазинов. На сайтах, где были одновременно установлены Elementor Pro и WooCommerce, уязвимость и проявила себя. Любой новый зарегистрированный пользователь мог создать учётную запись и получить администраторские привилегии.

В конце марта разработчик Elementor Pro выпустил обновление версии 3.11.7, в которой уязвимость была полностью закрыта. Для устранения проблемы теперь достаточно обновить версию CMS WordPress.

В нашей базе знаний есть статья, как это сделать самостоятельно — my.hostiman.ru/knowledge/38/520-kak-obnovit-wordpress-i-yego-plaginy

С уважением, Ваш хостинг-провайдер HostiMan.

Прекращение выпуска обновлений для версии WordPress 3.7–4.0

Здравствуйте.



Команда безопасности CMS WordPress прекратила предоставлять обновления для версий WordPress 3.7–4.0, начиная с 1 декабря 2022 года.

До сих пор исправления включали все версии WordPress, поддерживающие автоматические обновления. Версии WordPress 3.7–4.0 составляют менее 1% от общего числа установок, поэтому польза от предоставления этих обновлений перевешивается затраченными усилиями в работе.

Последние обновления для веток 3.7-4.0 вышли 30 ноября 2022. В них вошло анонсирование прекращения поддержки безопасности и предложение перейти на более свежую версию WordPress.

В нашей базе знаний Вы сможете найти статью, как это сделать самостоятельно — my.hostiman.ru/knowledge/38/520-kak-obnovit-wordpress-i-yego-plaginy

Если у вас возникнут проблемы при переходе к новой версии WordPress, Вы можете обратиться в нашу круглосуточную техподдержку. И напоминаем, что всегда делайте резервное копирование перед внесением изменений на своих сайтах.

С уважением, Ваш хостинг-провайдер HostiMan.

Уязвимости в WordPress 6.0.2

Здравствуйте, уважаемые пользователи.



В новой версии популярной CMS WordPress (6.0.2) обнаружены три бага, включая опасную уязвимость, допускающую инъекцию SQL.

Проблема затрагивает функциональность WordPress Link и актуальна только для старых установок. На новых установках эти опции отключены по умолчанию. Уязвимость получила 8 баллов по шкале CVSS и требует прав администратора.

Оставшиеся два бага получили среднюю степень риска: это проблемы межсайтового скриптинга (XSS), затрагивающие функцию “the_meta” и вызванные ошибками при деактивации и удалении плагинов. Успешная эксплуатация этих уязвимостей приводит к запуску и выполнению JavaScript-кодов.

В обновлении версии 6.0.2 все баги были устранены.

Если вы ещё не установили новую версию WordPress, то рекомендуем это сделать: самостоятельно либо обратившись в нашу техподдержку через систему тикетов. Инструкции по работе с системой управления контентом WordPress вы можете найти в нашей базе знаний — my.hostiman.ru/knowledge/38-wordpress

С уважением, ваш хостинг-провайдер HostiMan.

Работа с комментариями в WordPress

Здравствуйте, уважаемые пользователи.



Наша база знаний постоянно обновляется новыми статьями, и сегодня для Вас мы подготовили статью по работе с комментариями WordPress — my.hostiman.ru/knowledge/38/507-kak-otklyuchit-kommentarii-v-wordpress

Комментирование записей — одна из важнейших деталей, помогающая оживить сайт. Но часто этим пользуются конкуренты, распространяя спам, который может навредить Вашему сайту. В статье Вы узнаете, как решается такая проблема.

Если у Вас останутся вопросы — Вы всегда сможете обратиться в нашу круглосуточную техническую поддержку через систему тикетов и получить необходимую помощь либо консультацию.

С уважением, Ваш хостинг-провайдер HostiMan.

Создавайте мощные веб-сайты на WordPress без проблем с управлением базами данных



WordPress — одно из самых популярных решений для систем управления контентом (CMS), которое используется более чем 40% из 10 миллионов лучших веб-сайтов в мире.

Пользователи DigitalOcean ничем не отличаются, обычно они используют WordPress для создания своих веб-сайтов. Чтобы пользователям было проще приступить к работе, мы предлагаем приложение WordPress 1-Click в DigitalOcean Marketplace. Приложение WordPress 1-Click использует базу данных MySQL для хранения всех данных веб-сайта, таких как учетные данные пользователя, сообщения, комментарии и т. Д. До сих пор ответственность за поддержку базы данных MySQL ложилась на вас. Но теперь управление MySQL в приложении 1-Click стало намного проще.
marketplace.digitalocean.com/apps/wordpress

Мы рады сообщить, что приложение WordPress 1-Click в DigitalOcean Marketplace теперь интегрируется с управляемыми базами данных для MySQL. Управляемые базы данных избавляют от забот, связанных с обслуживанием вашей базы данных MySQL. Мы занимаемся подготовкой, управлением, масштабированием, обновлениями, резервным копированием и безопасностью ваших кластеров баз данных. Это позволяет вам переложить на нас сложные задачи по администрированию баз данных и дает вам возможность сосредоточиться на создании своих веб-сайтов.

Вы можете подключить WordPress к Managed MySQL при создании нового приложения в 1 клик. В настоящее время мы не поддерживаем подключение существующих экземпляров WordPress к управляемому MySQL.

Стоимость Managed MySQL начинается с 15 долларов в месяц. Мы надеемся, что вы опробуете эту новую интеграцию между WordPress и управляемым MySQL и поделитесь с нами своим мнением.
www.digitalocean.com/pricing#managed-databases

Уязвимость в WordPress-дополнении Contact Form 7

Здравствуйте, уважаемые пользователи.



В WordPress-дополнении Contact Form 7 5.3.2, имеющем более 5 млн активных установок, устранена уязвимость (CVE-2020-35489), позволяющая организовать выполнение PHP-кода на сервере.

Дополнение Contact Form 7 предназначено для добавления на сайты произвольных форм обратной связи с посетителями. Уязвимость проявляется при включении функции отправки файлов в формах (например, при прикреплении изображения) и позволяет помимо явно разрешённых типов файлов загрузить на сервер файлы с любыми расширениями.

Для обхода проверки на допустимость загружаемого файла достаточно указать символ-разделитель в имени файла, отделив им допустимое расширение. Например, при передаче файла с именем «test.php\t.png» дополнение посчитает, что передана картинка в формате PNG но на диск будет сохранён файл test.php, который затем может быть вызван через прямое обращение к сайту, если в настройках web-сервера явно не запрещено выполнение скриптов в каталоге с загружаемыми данными.

Если Вы используете такой плагин на Вашем Wordpress сайте, рекомендуем незамедлительно его обновить или удалить вообще. Если Вы стали жертвой взлома через этот плагин, то обратитесь в нашу техническую поддержку для оказания помощи в восстановлении сайта и удалении проблемного плагина.

Напоминаем, что безопасность сайтов Ваших зависит исключительно от Вас. Всегда и своевременно обновляйте CMS и все плагины, которые используете. Именно эти действия защитят Вас от взломов и проблем, которые они сопровождают.

Как сохранить WordPress в безопасности: дополнительные шаги



WordPress очень серьезно относится к своей команде разработчиков. Патчи безопасности и обновления часто выпускаются, чтобы помочь WordPress идти в ногу со все более сложной онлайновой средой. В рамках этих усилий WordPress запускает ответственную программу раскрытия уязвимостей, поэтому эти проблемы не остаются без внимания.

Помимо усилий команды разработчиков WordPress, отдельные пользователи должны также предпринять шаги, чтобы минимизировать свои риски безопасности — часто называемые «усилением WordPress». Несколько быстрых побед могут защитить ваш веб-сайт WordPress, и мы рассмотрели эти простые в реализации шаги в недавнем посте «Как сохранить WordPress в безопасности: основы».

Помимо основных шагов, существуют также более продвинутые методы обеспечения безопасности, которые можно использовать для дополнительной защиты вашего сайта WordPress, а также важные меры безопасности при управлении веб-сайтом WordPress.

Давайте погрузимся и посмотрим на некоторые из них.

SFTP — подключение к вашему серверу
Во-первых, важно убедиться, что при подключении к вашему веб-серверу вы делаете это с использованием SFTP, который похож на FTP, за исключением того, что ваш пароль и другие данные шифруются при передаче между вами и вашим сервером. FileZilla — отличное приложение для передачи файлов, которое поддерживает несколько протоколов передачи файлов, включая SFTP. Вы можете узнать, как установить и перенести файлы на ваш Linode с помощью FileZilla здесь.
www.linode.com/docs/tools-reference/file-transfer/filezilla/

Предотвращение атак грубой силы
Атаки грубой силой происходят, когда злоумышленник многократно и систематически представляет разные имена пользователей и пароли, чтобы попытаться получить доступ к веб-сайту. Важно отметить, что атаки методом «грубой силы» не свойственны WordPress. Каждое веб-приложение восприимчиво.

Первой защитой от подобных атак является обеспечение безопасности вашего пароля. Конечная цель атаки методом перебора — получить доступ на ваш сайт. Выбор трудно взломанного пароля обсуждался в нашей предыдущей статье по защите WordPress, поэтому мы не будем вдаваться в подробности. Достаточно сказать, убедитесь, что ваш пароль правильный. Также стоит включить двухэтапную аутентификацию в вашем экземпляре WordPress.
wordpress.org/plugins/tags/brute-force/

Затем используйте плагин, чтобы ограничить количество последовательных попыток входа на ваш сайт. Популярный плагин Limit Login Attempts Reloaded, который имеет более 1 миллиона загрузок. Он ограничивает количество попыток входа в систему, которые возможны через обычный вход в систему, а также через страницы XMLRPC, WooCommerce и пользовательские страницы входа.
en-gb.wordpress.org/plugins/limit-login-attempts-reloaded/

Другой вариант — изменить местоположение входа в систему wp-admin. По умолчанию все веб-сайты WordPress имеют свои страницы входа в систему, расположенные по адресу / wp-admin (например, www.examplesite.com/wp-admin.) Боты, которые проводят атаки методом «грубой силы», часто сразу нацеливаются на эту страницу. Используйте WPS Hide Login, чтобы помочь.
wordpress.org/plugins/wps-hide-login/

Как всегда, перед установкой новых и непроверенных плагинов всегда стоит сделать резервную копию вашего сайта. Хотя большинство популярных плагинов не повредят вашему веб-сайту, всегда есть вероятность несовместимости. Резервное копирование дает вам уверенность в том, что любой ущерб, нанесенный ошибочным плагином, может быть быстро и легко устранен.

Проверка подлинности WordPress Admin HTTP
Вы можете дополнительно заблокировать WP Admin, добавив базовую аутентификацию HTTP. Этот процесс потребует от пользователя ввода имени пользователя и пароля еще до того, как они попадут на страницу входа в WP, что может помочь остановить ботов-ботов на их треках.

Для этого вам нужно создать файл .htpasswd. Попробуйте использовать отличный бесплатный ресурс от Hosting Canada, чтобы сделать это. Вам нужно будет ввести имя пользователя, которое вы хотите использовать, а также пароль, выбрать метод шифрования в раскрывающемся списке и нажать «Создать пароль». Длинная текстовая строка генерируется. Скопируйте и вставьте это в новый текстовый файл. Сохраните этот файл просто как «.htpasswd».

Затем войдите на свой сервер и перейдите в папку WordPress wp-admin. Откройте это и в wp-admin создайте новую папку с именем «htpasswd». Затем загрузите ваш файл .htpasswd, который мы создали ранее, в эту папку. Вы должны передавать свои файлы только в режиме «ASCII», а не в режиме «BINARY».
hostingcanada.org/htpasswd-generator/

Завершающим этапом является создание нового файла, который содержит следующее:
AuthName "Admins Only"
AuthUserFile /home/public_html/wp-admin/htpasswd/.htpasswd
AuthType basic
Require user yourusername

<Files admin-ajax.php>
    Order allow,deny
    Allow from all
    Satisfy any
</Files>

Вам нужно будет обновить местоположение AuthUserFile, указав полный URL-адрес каталога вашего файла .htpasswd, а также имя пользователя rurusername, указав имя пользователя, которое вы использовали для файла .htpasswd. Сохраните этот файл как .htaccess и загрузите этот файл .htaccess в свою папку wp-admin на своем сервере, и на этом все. В следующий раз, когда вы войдете на свой сайт по адресу www.examplesite.com/wp-admin, вам будет предложено ввести имя пользователя и пароль, прежде чем появится экран входа в WordPress Admin.

Полезный совет: если вы не знаете полный URL-адрес каталога вашего файла .htpasswd, то удобная хитрость — использовать небольшой PHP-скрипт:
<?php
    echo "Absolute path: ", getcwd();
?>

Создайте файл, содержащий этот скрипт с именем testpath.php, и загрузите его в файл htpasswd, а затем посетите этот URL (например, www.example.com/wp-admin/htpasswd/testpath.php), чтобы получить полный путь к файлу. файл passwd.

Защита wp-включает
В вашу установку WordPress включены специальные сценарии, к которым не требуется доступ. Тем не менее, они предлагают хакерам возможный путь на ваш сайт. Из-за этого может быть стоит заблокировать их. Вы можете заблокировать доступ к этим файлам с помощью mod_rewrite в файле .htaccess. Для этого добавьте следующий код в ваш файл .htaccess (обычно расположенный в корне документа на вашем сайте WordPress) за пределами тегов # BEGIN WordPress и # END WordPress; в противном случае WordPress может перезаписать его:
# Block the include-only files.
<IfModule mod_rewrite.c>
    RewriteEngine On
    RewriteBase /
    RewriteRule ^wp-admin/includes/ - [F,L]
    RewriteRule !^wp-includes/ - [S=3]
    RewriteRule ^wp-includes/[^/]+\.php$ - [F,L]
    RewriteRule ^wp-includes/js/tinymce/langs/.+\.php - [F,L]
    RewriteRule ^wp-includes/theme-compat/ - [F,L]
</IfModule>
 
# BEGIN WordPress


Отключить редактирование файлов
Множество аспектов защиты веб-сайта WordPress вращаются вокруг усложнения жизни потенциального хакера. Точно так же грабитель будет искать дом на неосвещенной улице без сигнальной или охранной подсветки, хакер предпочитает ориентироваться на веб-сайт, на котором отсутствуют базовые функции безопасности, а не на тот, где метафорические окна и двери надежно закрыты.

По умолчанию WordPress позволяет администраторам редактировать файлы PHP, такие как темы и плагины, из панели инструментов. Поскольку эта функция позволяет выполнять код, она является очевидной целью для хакера. Для большинства веб-разработчиков изменения в коде выполняются с помощью текстового редактора, такого как Sublime, а не из Dashboard. Имеет смысл «прикрутить» это конкретное окно WordPress и тем самым удалить другую потенциальную точку доступа для хакера.
www.sublimetext.com/

Для этого поместите эту строку кода в файл wp-config.php. Эта строка удаляет возможности 'edit_themes', 'edit_plugins' и 'edit_files' всех пользователей:
define(‘DISALLOW_FILE_EDIT’, true);

Хотя это не помешает хакеру загружать вредоносные файлы на ваш сайт, это поможет остановить некоторые атаки на их пути.

Используйте брандмауэр
Брандмауэр — это отличный способ предотвратить проникновение злоумышленника на ваш сайт WordPress. Есть несколько вариантов:

Плагин брандмауэра
Несколько хороших плагинов брандмауэра работают, ограничивая доступ на уровне сервера Apache до того, как WordPress его обработает. Хорошим примером является All In One WP Security & Firewall или WordFence. Оба будут фильтровать входящие запросы, чтобы гарантировать, что никакой вредоносный трафик не сможет повлиять на вашу установку WordPress.
wordpress.org/plugins/all-in-one-wp-security-and-firewall/
www.wordfence.com/

Посреднические брандмауэры
Плагины, такие как WordFence, фильтруют трафик на уровне сервера. Альтернативный подход заключается в перехвате трафика на пути к вашему серверу перед его проверкой и последующей отправке запроса на ваш сервер с использованием продукта, такого как Cloudflare. Этот подход популярен, потому что все, что вам нужно сделать, это изменить свои записи DNS для отправки трафика через посредника без каких-либо изменений на вашем сервере.
www.cloudflare.com/en-gb/

Следующие шаги
Безопасность WordPress остается популярной темой. Если все это кажется тяжелой работой, то подумайте об использовании управляемого хоста WordPress, такого как Pressidium, который может сделать для вас большую работу. И, наконец, регулярно делайте резервные копии своего сайта, чтобы вы могли спокойно спать по ночам, зная, что вы всегда сможете восстановить свой сайт.
pressidium.com/

С хостингом FREEhost.UA создать сайт на WordPress может каждый



FREEhost.UA представил хостинг оптимизированный для самой популярной в мире CMS – WordPress.

WordPress — это система управления контентом при помощи, которой одинаково легко можно создать персональный сайт, электронный магазин, корпоративный сайт и даже видео блог. По статистике 35% всех сайтов в сети Интернет созданы на этой CMS.

Панель управления хостингом FREEhost.UA позволяет автоматически установить самую свежую версию WordPress, всего несколькими нажатиями мышки, и так же легко управлять работой сайта. А кроме этого Вы получаете:
  • дополнительную защиту сайта от взлома и атак;
  • доступ к тысячам шаблонов дизайна и дополнительных модулей;
  • возможность создать неограниченное количество почтовых ящиков с защитой от спама и вирусов;
  • бесплатною регистрацию доменного имени;
  • автоматическое ежедневное создание резервных копий;
  • и множество других возможностей.

Быстрая загрузка сайта гарантируется! На хостинге используются скоростные SSD диски и предоставляется бесплатный доступ к серверам CDN. Сервера доставки статического контента позволяют ускорить загрузку сайта в несколько раз.

Попробуйте наш качественный WordPress хостинг 7 дней бесплатно https://freehost.com.ua/cms/wordpress-hosting/

Готовый сайт на самой популярной CMS



Откройте для себя новые возможности
WordPress — наиболее популярная система управления контентом в мире. В качестве платформы её используют на 30% сайтов в Интернете и на 49% — в Рунете. Но чтобы начать собственный интернет-проект, одного только домена и дистрибутива CMS недостаточно. Важно также подобрать подходящий тариф хостинга, тему оформления и установить необходимые плагины. С помощью услуги «Готовые решения на WordPress» от REG.RU вы можете существенно сэкономить время и заказать уже готовый сайт со всем необходимым.

Преимущества Готовых решений на WordPress от REG.RU
  • плата только за хостинг, а красивый и современный шаблон вы получите в подарок;
  • огромное и дружелюбное сообщество пользователей WordPress, которые всегда помогут советом;
  • множество полезных плагинов для e-commerce и других сфер;
  • лёгкое добавление новых страниц и постов через удобный редактор;
  • инструменты для SEO.

Сайт за 5 простых шагов
  1. Перейдите на страницу услуги.
  2. Выберите подходящую категорию сайта.
  3. Выберите шаблон.
  4. Укажите срок заказа услуги и домен. Если у вас нет домена, вы всегда можете зарегистрировать его у нас на сайте.
  5. 5. Оплатите заказ.

www.reg.ru/web-sites/cms/wordpress

10 WordPress-плагинов, которые прокачают ваш сайт



WordPress, без сомнения, великолепная система, сделавшая управление сайтом гораздо понятнее простому пользователю. Сейчас любой может бесплатно скачать дистрибутив системы, установить подходящую тему и получить современный сайт. Всё просто и легко — без кода, макетов и прочих сложностей.

Тем не менее стандартная функциональность этой CMS не всегда может удовлетворить пользователей. Для одних это могут быть мелочи, а для других — необходимые для работы или ведения бизнеса элементы.

К счастью, WordPress позволяет очень легко расширить стандартные возможности дополнительными модулями. В этом материале мы собрали 10 самых полезных, по нашему мнению, плагинов.

Обратите внимание, что это подборка, а не топ: если модуль находится на первой строчке, это не значит, что он лучший из представленных.

Подробнее
www.reg.ru/blog/top-worpress-plaginov/