今天早些時候,我們發布了 Jetpack 的新版本 13.9.1。此版本包含一個重要的安全性更新。雖然我們還沒有證據表明漏洞已被利用,但請盡快更新您的Jetpack版本,以確保您網站的安全。
為了幫助您完成此過程,我們與 WordPress.org 外掛程式團隊密切合作,發布了自 3.9.9 起每個 Jetpack 版本的修補版本。大多數網站已經或即將自動更新到安全版本。
在內部安全審核期間,我們發現自2016 年發布的3.9.9 版本以來,Jetpack 中的聯絡表單功能存在漏洞。 。
以下是我們今天發布的 101 個不同版本 Jetpack 的完整清單:
如果您的網站運行這些版
本中的任何一個,您的網站就不再容易受到此問題的影響,它已自動更新到安全版本。
我們沒有證據表明此漏洞已被廣泛利用。不過,現在更新已經發布,很可能有人會嘗試利用此漏洞。
對於今天可能帶給您的額外工作量,我們深表歉意。我們將繼續定期審核程式碼庫的各個方面,以確保您的 Jetpack 網站保持安全。
這是當使用者登入 CSRF 攻擊目標的網站或應用程式時。一旦您登入大多數網站,您的瀏覽器將使用 cookie 儲存有關會話的資訊。
首先,攻擊者使用您的憑證建立包含他們想要發送的請求的惡意腳本或連結。該請求將執行特定操作,範圍從更改密碼到刪除帳戶,甚至向其他用戶發送資金。
有效負載準備就緒後,攻擊者需要找到一種方法來傳遞它。這通常是透過社會工程或包含惡意連結的垃圾郵件來完成的。如果您現在檢查垃圾郵件資料夾,您可能會發現幾封帶有可疑連結的電子郵件,其中一些可能是 CSRF 攻擊。
社會工程更傾向於發送假裝來自目標網站的電子郵件。透過這種方法,攻擊者可以使用目標網站的品牌或其他詳細資訊來欺騙人們信任他們。
當使用者點擊該連結或腳本在瀏覽器上運行時,他們將向目標網站發送請求。這種情況是在個人不知情的情況下發生的,並且您不會看到瀏覽器標籤打開或類似的內容。該請求在後台發生。
根據請求的內容,您的訪客可能會遇到資料外洩甚至金錢損失的情況。這使得防止 CSRF 攻擊成為儲存敏感資訊或處理大量訪客的網站的首要任務。
CSRF攻擊對使用者和企業的影響
CSRF 攻擊可能會對企業及其使用者產生重大影響。與 XSS 攻擊類似,CSRF 攻擊可能導致資料外洩、聲譽受損,甚至金錢損失。
對於訪客來說,CSRF 攻擊可能會導致直接的金錢損失。對於您 BC 數據馬來西亞 的企業來說,金錢損失可能來自用戶信任度的下降,如果您違反了保護用戶隱私的規定,甚至面臨巨額罰款。
一些資料隱私法規將責任歸
於網站所有者。這意味著您需要保護您的網站免受 CSRF 攻擊等安全事件的影響。不這樣做可以被視為一種疏忽。
CSRF攻擊的偵測與預防
有多種方法可以保護您的網站免受 CSRF 攻擊。在 重要安全性更新 本節中,我們將介紹每種預防方法並解釋其工作原理:
反 CSRF 令牌。這些是當使用者載入表單或執行類似操作時伺服器產生的令牌。令牌儲存在使用者會話中,當使用者提交請求時,伺服器可以使用令牌來驗證請求。
SameSite cookie。這是 cookie 中提供的安全功能,有助於 喬丹20號 控制 cookie 如何處理跨站點請求。您可以在 cookie 中設定 SameSite 屬性,以將跨網站請求限制為您的偏好。
會話管理最佳實踐。遵循會話管理的最佳實踐涉及為會話過期設定合理的值。您也可以使用提高 cookie 安全性的屬性,例如 SameSite。有些網站還強制使用者重新登入才能執行敏感操作,例如完成購買。
用於偵測 CSRF 漏洞的工具。您可以使用一些工具來掃描您的網站是否有 CSRF 漏洞以及其他安全性問題。
與 XSS 攻擊一樣,如果您使用 WordPress,Jetpack Scan 是偵測漏洞的強大選項。 Jetpack Scan 定期根據最大的已知 WordPress 漏洞資料庫檢查您的網站,該資料庫會經常更新。
XSS 和 CSRF 之間的區別
我們已經了解了 XSS 和 CSRF 攻擊是什麼、它們如何運作以及它們如何影響您的業務。在討論避免這些攻擊的全面安全實踐之前,讓我們花一點時間來比較這些攻擊。
我們守護您的網站。你經營你的生意。
Jetpack Security 提供易於使用、全面的 WordPress 網站安全性,包括即時備份、Web 應用程式防火牆、惡意軟體掃描和垃圾郵件防護。
保護您的網站
技術差異和影響
XSS 和 CSRF 攻擊本質上有很大不同。對於前者,攻擊者利用通常在輸入欄位中發現的漏洞在您的網站上註入惡意腳本。
CSRF 攻擊在設定和執行方面可能涉及更多。透過 CSRF 攻擊,某人可以透過欺騙真實用戶來幫助他們向您的網站發送惡意請求。所有這些都沒有真正的用戶意識到。
針對這兩類漏洞的攻擊方法有很大不同。透過 XSS 攻擊,惡意行為者可以識別您網站上的漏洞,並利用它們讓伺服器執行或分發惡意腳本。清理輸入並驗證它們可以大大有助於消除這種攻擊媒介。