Laporan Kerentanan WordPress: Desember 2021, Bagian 2

Diterbitkan: 2021-12-15

Plugin dan tema yang rentan adalah alasan #1 mengapa situs web WordPress diretas. Laporan Kerentanan WordPress mingguan yang didukung oleh WPScan mencakup plugin, tema, dan kerentanan inti WordPress terbaru, dan apa yang harus dilakukan jika Anda menjalankan salah satu plugin atau tema yang rentan di situs web Anda.

Setiap kerentanan akan memiliki tingkat keparahan Rendah , Sedang , Tinggi , atau Kritis . Pengungkapan dan pelaporan kerentanan yang bertanggung jawab merupakan bagian integral dari menjaga keamanan komunitas WordPress.

Silakan bagikan posting ini dengan teman-teman Anda untuk membantu menyebarkan berita dan membuat WordPress lebih aman untuk semua orang.

Ingin laporan ini dikirim ke kotak masuk Anda setiap minggu?
Berlangganan email mingguan

Berita WordPress: Kebocoran Data Gravatar

Minggu ini Gravatar, layanan global untuk avatar unik, dilanggar – meskipun Gravatar memastikan tidak ada peretasan.

Data itu tergores, yang bukan merupakan pelanggaran karena kata sandi dan informasi pribadi lainnya tidak diambil. Sebaliknya, informasi yang tersedia untuk umum dikumpulkan dengan cara yang biasanya tidak mudah diperoleh. Secara teoritis, seseorang harus mengetahui nama pengguna pengguna Gravatar untuk mengakses alamat email pengguna tersebut. Pengikisan memungkinkan penyerang mengunduh nama pengguna dan email secara bersamaan.

Kerentanan Inti WordPress

Versi terbaru dari inti WordPress adalah 5.8.2. Sebagai praktik terbaik, selalu pastikan untuk menjalankan inti WordPress versi terbaru!

Kerentanan Plugin WordPress

Di bagian ini, kerentanan plugin WordPress terbaru telah diungkapkan. Setiap daftar plugin menyertakan jenis kerentanan, nomor versi jika ditambal, dan peringkat keparahan.

1. Manajer Acara

Plugin: Manajer Acara
Kerentanan : Admin+ SQL Injection
Ditambal dalam Versi : 5.9.8
Skor Keparahan : Sedang

Kerentanan telah ditambal, jadi Anda harus memperbarui ke versi 5.9.8.

Plugin: Manajer Acara
Kerentanan : Cross-Site Scripting (XSS)
Ditambal dalam Versi : 5.9.8
Skor Keparahan : Rendah

Kerentanan telah ditambal, jadi Anda harus memperbarui ke versi 5.9.8.

2. Ulasan Kaya oleh Starfish

Plugin: Ulasan Kaya oleh Starfish
Kerentanan : Admin+ SQL Injection
Ditambal dalam Versi : 1.9.6
Skor Keparahan : Sedang

Kerentanan telah ditambal, jadi Anda harus memperbarui ke versi 1.9.6.

3. Typebot

Plugin: Typebot
Kerentanan : Admin+ Skrip Lintas Situs Tersimpan
Ditambal dalam Versi : 1.4.3
Skor Keparahan : Rendah

Kerentanan telah ditambal, jadi Anda harus memperbarui ke versi 1.4.3.

4. Formulir Kontak & Pembuat Elementor Formulir Prospek

Plugin: Formulir Kontak & Pembuat Elementor Formulir Prospek
Kerentanan : Skrip Lintas Situs Tersimpan Tidak Diautentikasi
Ditambal dalam Versi : 1.6.4
Skor Keparahan : Tinggi

Kerentanan telah ditambal, jadi Anda harus memperbarui ke versi 1.6.4.

5. Pengelola Unduhan

Plugin: Pengelola Unduhan
Kerentanan : Pelanggan + Skrip Lintas Situs Tersimpan
Ditambal dalam Versi : 3.2.22
Skor Keparahan : Tinggi

Kerentanan telah ditambal, jadi Anda harus memperbarui ke versi 3.2.22.

6. Agregator RSS WP

Plugin: Pelanggan+ Skrip Lintas Situs Tersimpan
Kerentanan : Admin+ SQL Injection
Ditambal dalam Versi : 4.19.3
Skor Keparahan : Tinggi

Kerentanan telah ditambal, jadi Anda harus memperbarui ke versi 4.19.3.

7. Buttonizer – Tombol Aksi Mengambang Cerdas

Plugin: Buttonizer – Tombol Aksi Mengambang Cerdas
Kerentanan : Admin+ Skrip Lintas Situs Tersimpan
Ditambal dalam Versi : 2.5.5
Skor Keparahan : Rendah

Kerentanan telah ditambal, jadi Anda harus memperbarui ke versi 2.5.5.

8. Pencatatan Surat WP

Plugin: WP Mail Logging
Kerentanan : Kerangka Redux yang Kedaluwarsa
Ditambal dalam Versi : 1.10.0
Skor Keparahan : Sedang

Kerentanan telah ditambal, jadi Anda harus memperbarui ke versi 1.10.0.

9. Stetik

Plugin: Stetic
Kerentanan : CSRF ke Skrip Lintas Situs Tersimpan
Ditambal dalam Versi : Tidak ada perbaikan yang diketahui – plugin ditutup
Skor Keparahan : Tinggi

Kerentanan ini BELUM ditambal. Plugin ini telah ditutup pada 20 November 2021. Copot pemasangan dan hapus.

10. Formulir Kontak Dengan Captcha

Plugin: Formulir Kontak Dengan Captcha
Kerentanan : CSRF ke Skrip Lintas Situs Tersimpan
Ditambal dalam Versi : Tidak ada perbaikan yang diketahui – plugin ditutup
Skor Keparahan : Tinggi

Kerentanan ini BELUM ditambal. Plugin ini telah ditutup pada 26 November 2021. Copot pemasangan dan hapus.

11. Dukungan Luar Biasa

Plugin: Dukungan Luar Biasa
Kerentanan : Skrip Lintas Situs Tercermin
Ditambal dalam Versi : 6.0.7
Skor Keparahan : Tinggi

Kerentanan telah ditambal, jadi Anda harus memperbarui ke versi 6.0.7.

12. Forum Asgaros

Plugin: Forum Asgaros
Kerentanan : Admin+ Skrip Lintas Situs Tersimpan
Ditambal dalam Versi : 1.15.14
Skor Keparahan : Rendah

Kerentanan telah ditambal, jadi Anda harus memperbarui ke versi 1.15.14.

13. Cache LiteSpeed

Plugin: Cache LiteSpeed
Kerentanan : IP Cek Bypass ke Unauthenticated Stored XSS
Ditambal dalam Versi : 4.4.4
Skor Keparahan : Tinggi

Kerentanan telah ditambal, jadi Anda harus memperbarui ke versi 4.4.4.

Plugin: Cache LiteSpeed
Kerentanan : Admin+ Skrip Lintas Situs yang Tercermin
Ditambal dalam Versi : 4.4.4
Skor Keparahan : Tinggi

Kerentanan telah ditambal, jadi Anda harus memperbarui ke versi 4.4.4.

14. Konferensi Video dengan Zoom

Plugin: Konferensi Video dengan Zoom
Kerentanan : Skrip Lintas Situs Tercermin
Ditambal dalam Versi : 3.8.16
Skor Keparahan : Tinggi

Kerentanan telah ditambal, jadi Anda harus memperbarui ke versi 3.8.16.

15. Penguat untuk Woocommerce

Plugin: Penguat untuk Woocommerce
Kerentanan : Skrip Lintas Situs yang Tercermin dalam Modul Faktur PDF
Ditambal dalam Versi : 5.4.9
Skor Keparahan : Tinggi

Kerentanan telah ditambal, jadi Anda harus memperbarui ke versi 5.4.9.

Plugin: Penguat untuk Woocommerce
Kerentanan : Skrip Lintas Situs yang Tercermin dalam Modul Umum
Ditambal dalam Versi : 5.4.9
Skor Keparahan : Tinggi

Kerentanan telah ditambal, jadi Anda harus memperbarui ke versi 5.4.9.

Plugin: Penguat untuk Woocommerce
Kerentanan : Skrip Lintas Situs yang Tercermin dalam Modul Umpan XML Produk
Ditambal dalam Versi : 5.4.9
Skor Keparahan : Tinggi

Kerentanan telah ditambal, jadi Anda harus memperbarui ke versi 5.4.9.

16. Paket Penguat Kecepatan

Plugin: Paket Penguat Kecepatan
Kerentanan : Admin+ SQL Injection
Ditambal dalam Versi : 4.3.3.1
Skor Keparahan : Sedang

Kerentanan telah ditambal, jadi Anda harus memperbarui ke versi 4.3.3.1.

17. OMGF

Plugin: OMGF
Kerentanan : Admin+ Penghapusan Folder Sewenang-wenang melalui Path Traversal
Ditambal dalam Versi : 4.5.12
Skor Keparahan : Sedang

Kerentanan telah ditambal, jadi Anda harus memperbarui ke versi 4.5.12.

18. CAOS

Plugin: CAOS
Kerentanan : Admin+ Penghapusan Folder Sewenang-wenang melalui Path Traversal
Ditambal dalam Versi : 4.1.9
Skor Keparahan : Sedang

Kerentanan telah ditambal, jadi Anda harus memperbarui ke versi 4.1.9.

19. Mesin Perjalanan WP

Plugin: WP Travel Engine
Kerentanan : Editor+ Skrip Lintas Situs Tersimpan
Ditambal dalam Versi : 5.3.1
Skor Keparahan : Rendah

Kerentanan telah ditambal, jadi Anda harus memperbarui ke versi 5.3.1.

20. Unduh Monitor

Plugin: Unduh Monitor
Kerentanan : Admin+ SQL Injection
Ditambal dalam Versi : 4.4.5
Skor Keparahan : Sedang

Kerentanan telah ditambal, jadi Anda harus memperbarui ke versi 4.4.5.

21. Kalkulator Hipotek / Kalkulator Pinjaman

Plugin: Kalkulator Hipotek / Kalkulator Pinjaman
Kerentanan : Kontributor+ Skrip Lintas Situs Tersimpan
Ditambal dalam Versi : 1.5.17
Skor Keparahan : Sedang

Kerentanan telah ditambal, jadi Anda harus memperbarui ke versi 1.5.17.

22. Variasi Swatch untuk WooCommerce

Plugin: Variasi Swatch untuk WooCommerce
Kerentanan : Pelanggan + Skrip Lintas Situs Tersimpan
Ditambal dalam Versi : 2.1.2
Skor Keparahan : Tinggi

Kerentanan telah ditambal, jadi Anda harus memperbarui ke versi 2.1.2.

23. Iklan Afiliasi ClickBank

Plugin: Iklan Afiliasi ClickBank
Kerentanan : CSRF ke Skrip Lintas Situs Tersimpan
Ditambal dalam Versi : Tidak ada perbaikan yang diketahui – plugin ditutup
Skor Keparahan : Tinggi

Kerentanan ini BELUM ditambal. Plugin ini telah ditutup per 1 Desember 2021. Copot pemasangan dan hapus.

Plugin: Iklan Afiliasi ClickBank
Kerentanan : Admin+ Skrip Lintas Situs Tersimpan
Ditambal dalam Versi : Tidak ada perbaikan yang diketahui – plugin ditutup
Skor Keparahan : Rendah

Kerentanan ini BELUM ditambal. Plugin ini telah ditutup per 1 Desember 2021. Copot pemasangan dan hapus.

24. Bidang Kustom Tingkat Lanjut

Plugin: Bidang Kustom Tingkat Lanjut
Kerentanan : Pelanggan+ Tampilan Data ACF/Grup Bidang dan Pemindahan Bidang
Ditambal dalam Versi : 5.11
Skor Keparahan : Sedang

Kerentanan telah ditambal, jadi Anda harus memperbarui ke versi 5.11.

25. Canto

Plugin: Canto
Kerentanan : SSRF Buta Tidak Diautentikasi
Ditambal dalam Versi : Tidak ada perbaikan yang diketahui
Skor Keparahan : Sedang

Kerentanan ini BELUM ditambal. Copot pemasangan dan hapus plugin hingga patch dirilis.

26. Galeri Lengkap

Plugin: All-In-One-Gallery
Kerentanan : Admin+ Penyertaan File Lokal
Ditambal dalam Versi : 2.5.0
Skor Keparahan : Rendah

Kerentanan telah ditambal, jadi Anda harus memperbarui ke versi 2.5.0.

Cara Melindungi Situs WordPress Anda Dari Plugin dan Tema yang Rentan

Seperti yang Anda lihat dari laporan ini, banyak plugin WordPress baru dan kerentanan tema diungkapkan setiap minggu. Kami tahu mungkin sulit untuk tetap mengetahui setiap pengungkapan kerentanan yang dilaporkan, jadi plugin iThemes Security Pro memudahkan untuk memastikan situs Anda tidak menjalankan tema, plugin, atau versi inti WordPress dengan kerentanan yang diketahui.

1. Instal Plugin iThemes Security Pro

Plugin iThemes Security Pro memperkuat situs WordPress Anda dari cara paling umum yang digunakan untuk meretas situs web. Dengan 30+ cara untuk mengamankan situs Anda dalam satu plugin yang mudah digunakan.

2. Aktifkan Pemindaian Situs untuk Memeriksa Kerentanan yang Diketahui

Fitur Manajemen Versi di iThemes Security Pro terintegrasi dengan Pemindaian Situs untuk melindungi situs Anda. Tema, plugin, dan versi inti WordPress yang rentan akan diperbarui secara otomatis untuk Anda.

3. Aktifkan Deteksi Perubahan File

Kunci untuk mendeteksi pelanggaran keamanan dengan cepat adalah dengan memantau perubahan file di situs web Anda. Fitur Deteksi Perubahan File di iThemes Security Pro akan memindai file situs web Anda dan memberi tahu Anda bila terjadi perubahan pada situs web Anda.

Dapatkan iThemes Security Pro dengan Pemantauan Keamanan Situs Web 24/7

iThemes Security Pro, plugin keamanan WordPress kami, menawarkan 50+ cara untuk mengamankan dan melindungi situs web Anda dari kerentanan keamanan WordPress yang umum. Dengan WordPress, otentikasi dua faktor, perlindungan brute force, penegakan kata sandi yang kuat, dan banyak lagi, Anda dapat menambahkan lapisan keamanan ekstra ke situs web Anda.

  • Pemindai situs untuk kerentanan plugin dan tema
  • Deteksi perubahan file
  • Dasbor keamanan situs web waktu nyata
  • Log keamanan WordPress
  • Perangkat tepercaya
  • reCAPTCHA
  • Perlindungan kekerasan
  • Otentikasi dua faktor
  • Tautan masuk ajaib
  • Peningkatan hak istimewa
  • Pemeriksaan & penolakan kata sandi yang disusupi

Dapatkan iThemes Keamanan Pro