Την τελευταία εβδομάδα πραγματοποιήθηκε εκτεταμένη αναβάθμιση του Web Application Firewall (WAF) σε όλους τους production servers της υποδομής μας, με στόχο την άμεση προστασία απέναντι σε νέες και ενεργά εκμεταλλευόμενες ευπάθειες.
Οι ενημερώσεις εφαρμόστηκαν προληπτικά σε όλο το δίκτυο και αφορούν κρίσιμα WordPress plugins, Joomla και PrestaShop modules που χρησιμοποιούνται ευρέως σε production περιβάλλοντα.
Κατά την τελευταία αναβάθμιση προστέθηκαν νέοι κανόνες προστασίας για τις παρακάτω ευπάθειες:
WordPress & Plugins
- SQL Injection στο Themify WooCommerce Product Filter (CVE-2024-6027)
- SQL Injection στο Booking Calendar plugin (CVE-2025-14383)
- SQL Injection στο PrestaShop blockwishlist module (CVE-2022-31181)
- SQL Injection μέσω smartsearch στο PrestaShop (CVE-2022-36408)
File Upload & File Handling vulnerabilities
- Authenticated file upload στο Advanced File Manager (CVE-2024-8126)
- Arbitrary file upload στο Modern Events Calendar (CVE-2024-5441)
- File upload vulnerability στο Royal Elementor Addons (CVE-2024-1567)
- Arbitrary file upload στο E2Pdf plugin (CVE-2023-6826)
Remote Code Execution & Critical exploits
- Remote Code Execution στο Total Upkeep plugin (CVE-2024-9461)
- PHP Object Injection που οδηγεί σε RCE στο Joomla CMS (CVE-2015-8562)
- Privilege escalation στο LA-Studio Element Kit για Elementor (CVE-2026-0920)
Οι νέοι κανόνες WAF:
Μπλοκάρουν γνωστά exploitation patterns σε πραγματικό χρόνο
Προστατεύουν sites ακόμη και αν κάποιο plugin δεν έχει ενημερωθεί
Αποτρέπουν file upload exploits, SQL injection και RCE attempts
Εφαρμόστηκαν σε όλους τους servers χωρίς downtime
Η προστασία λειτουργεί προληπτικά και server-side, χωρίς να απαιτείται καμία ενέργεια από τους πελάτες.
Οι επιθέσεις που στοχεύουν CMS και plugins αυξάνονται καθημερινά και πολλές ευπάθειες αρχίζουν να εκμεταλλεύονται μέσα σε λίγες ώρες από τη δημοσίευσή τους.
Για τον λόγο αυτό, παρακολουθούμε καθημερινά νέα CVE και exploitation trends, ενσωματώνουμε νέους κανόνες άμεσα και αναβαθμίζουμε το WAF εβδομαδιαία σε όλη την υποδομή.
Στόχος είναι η προληπτική προστασία όλων των sites πριν εμφανιστούν μαζικά attacks.
Παρότι το WAF παρέχει ισχυρό επίπεδο προστασίας, συνιστάται τακτική ενημέρωση WordPress / Joomla / PrestaShop.
Ενημέρωση themes / plugins και αφαίρεση μη χρησιμοποιούμενων επεκτάσεων.
Χρήση ισχυρών κωδικών και 2FA
Η ασφάλεια επιτυγχάνεται πάντα σε πολλαπλά επίπεδα και οι τακτικές αναβαθμίσεις αποτελούν βασικό μέρος της συνολικής προστασίας της υποδομής.