Laporan Kerentanan WordPress: Desember 2021, Bagian 3
Diterbitkan: 2021-12-16Plugin dan tema yang rentan adalah alasan #1 mengapa situs web WordPress diretas. Laporan Kerentanan WordPress mingguan yang didukung oleh WPScan mencakup plugin, tema, dan kerentanan inti WordPress terbaru, dan apa yang harus dilakukan jika Anda menjalankan salah satu plugin atau tema yang rentan di situs web Anda.
Setiap kerentanan akan memiliki tingkat keparahan Rendah , Sedang , Tinggi , atau Kritis . Pengungkapan dan pelaporan kerentanan yang bertanggung jawab merupakan bagian integral dari menjaga keamanan komunitas WordPress. Baru dalam laporan ini: kerentanan sekarang diurutkan berdasarkan jumlah penginstalan aktif, bukan tanggal pengungkapan.
Silakan bagikan posting ini dengan teman-teman Anda untuk membantu menyebarkan berita dan membuat WordPress lebih aman untuk semua orang.
Berita WordPress
Karena waktu belanja online tersibuk tahun ini sedang berjalan, penjahat dunia maya sibuk dengan upaya untuk "meretas planet ini." Wordfence baru-baru ini melaporkan gelombang serangan besar-besaran yang menargetkan 1,6 juta situs WordPress hanya dalam waktu 36 jam!
Terakhir, BleepingComputer baru-baru ini melaporkan bahwa peretas telah memasang kode skimmer ke dalam plugin acak. Untuk memperketat keamanan untuk situs e-niaga, kami merekomendasikan untuk mewajibkan otentikasi dua faktor untuk semua pengguna admin, mengaktifkan perangkat tepercaya, deteksi perubahan file, dan agar log keamanan WordPress dibaca dan ditinjau secara teratur.
Kerentanan Inti WordPress
Versi terbaru dari inti WordPress adalah 5.8.2. Sebagai praktik terbaik, selalu pastikan untuk menjalankan inti WordPress versi terbaru!
Kerentanan Plugin WordPress
Di bagian ini, kerentanan plugin WordPress terbaru telah diungkapkan. Setiap daftar plugin menyertakan jenis kerentanan, nomor versi jika ditambal, dan peringkat keparahan.
1. Elemen
Plugin: Elementor
Kerentanan : DOM Cross-Site-Scripting
Instalasi Aktif : 5+ juta
Ditambal dalam Versi : 3.4.8
Skor Keparahan : Tinggi
2. UpdraftPlus
Plugin: UpdraftPlus
Kerentanan : Skrip Lintas Situs Tercermin
Instalasi Aktif : 3+ juta
Ditambal dalam Versi : 1.16.66
Skor Keparahan : Tinggi
3. Faktur PDF WooCommerce & Slip Pengepakan
Plugin: Faktur PDF WooCommerce & Slip Pengepakan
Kerentanan : Skrip Lintas Situs Tercermin
Instalasi Aktif : 300.000+
Ditambal dalam Versi : 2.10.5
Skor Keparahan : Tinggi
4. Kemampuan PublishPress
Plugin: Kemampuan PublishPress
Kerentanan : Pembaruan Opsi Sewenang-wenang yang Tidak Diautentikasi ke Kompromi Blog
Instalasi Aktif : 100.000+
Ditambal dalam Versi : 2.3.1
Skor Keparahan : Kritis
Plugin: PublishPress Capabilities Pro
Kerentanan : Pembaruan Opsi Sewenang-wenang yang Tidak Diautentikasi ke Kompromi Blog
Ditambal dalam Versi : 2.3.1
Skor Keparahan : Kritis
5. Bebas Cerewet
Plugin: Chaty Gratis
Kerentanan : Skrip Lintas Situs Tercermin
Instalasi Aktif : 100.000+
Ditambal dalam Versi : 2.8.3
Skor Keparahan : Tinggi
Plugin: Chaty Pro
Kerentanan : Skrip Lintas Situs Tercermin
Ditambal dalam Versi : 2.8.2
Skor Keparahan : Tinggi
6. Addons PowerPack untuk Elementor
Plugin: PowerPack Addons untuk Elementor
Kerentanan : Skrip Lintas Situs Tercermin
Instalasi Aktif : 60.000+
Ditambal dalam Versi : 2.6.2
Skor Keparahan : Tinggi
7. Kalender Pemesanan
Plugin: Kalender Pemesanan
Kerentanan : Skrip Lintas Situs Tercermin
Instalasi Aktif : 60.000+
Ditambal dalam Versi : 8.9.2
Skor Keparahan : Tinggi
8. Umpan Foto Sosial 10Web
Plugin: Umpan Foto Sosial 10Web
Kerentanan : Skrip Lintas Situs Tercermin (XSS)
Instalasi Aktif : 60.000+
Ditambal dalam Versi : 1.4.29
Skor Keparahan : Tinggi
9. Ulasan Situs
Plugin: Ulasan Situs
Kerentanan : Skrip Lintas Situs Tersimpan Tidak Diautentikasi
Instalasi Aktif : 40.000+
Ditambal dalam Versi : 5.17.3
Skor Keparahan : Tinggi
10. Paket Penguat Kecepatan
Plugin: Paket Penguat Kecepatan
Kerentanan : Admin+ SQL Injection
Instalasi Aktif : 30,000+
Ditambal dalam Versi : 4.3.3.1
Skor Keparahan : Sedang
11. Solusi Pasar Multivendor untuk WooCommerce
Plugin: Solusi Pasar Multivendor untuk WooCommerce
Kerentanan : Panggilan AJAX Tidak Diautentikasi
Instalasi Aktif : 10.000+
Ditambal dalam Versi : 3.8.4
Skor Keparahan : Tinggi
12. Jendela Modal
Plugin: Jendela Modal
Kerentanan : RFI yang mengarah ke RCE melalui CSRF
Instalasi Aktif : 10.000+
Ditambal dalam Versi : 5.2.2
Skor Keparahan : Tinggi
13. Pembuat Kode WP
Plugin: WP Coder
Kerentanan : RFI yang mengarah ke RCE melalui CSRF
Instalasi Aktif : 10.000+
Ditambal dalam Versi : 2.5.2
Skor Keparahan : Tinggi
14. Sihir Registrasi
Plugin: RegistrationMagic
Kerentanan : Admin+ SQL Injection
Instalasi Aktif : 10.000+
Ditambal dalam Versi : 5.0.1.6
Skor Keparahan : Sedang
Plugin: RegistrationMagic
Kerentanan : Bypass Otentikasi
Instalasi Aktif : 10.000+
Ditambal dalam Versi : 5.0.1.8
Skor Keparahan : Kritis
15. Acara Menjadi Mudah
Plugin: Acara Menjadi Mudah
Kerentanan : Pelanggan+ Injeksi SQL
Instalasi Aktif : 6.000+
Ditambal dalam Versi : 2.2.36
Skor Keparahan : Tinggi
16. Pembuat Tombol
Plugin: Generator Tombol
Kerentanan : RFI yang mengarah ke RCE melalui CSRF
Instalasi Aktif : 5.000+
Ditambal dalam Versi : 2.3.3
Skor Keparahan : Tinggi
17. Tab – Akordeon, FAQ
Plugin: Tab – Akordeon, FAQ
Kerentanan : Panggilan AJAX Tidak Diautentikasi
Instalasi Aktif : 2000+
Ditambal dalam Versi : 1.3.2
Skor Keparahan : Kritis
18. Peringkat Bintang
Plugin: Peringkat Bintang
Kerentanan : Komentar Penolakan Layanan
Instalasi Aktif : 800+
Ditambal dalam Versi : 3.5.1
Skor Keparahan : Sedang
19. WPcalc
Plugin: WPcalc
Kerentanan : Injeksi SQL Terotentikasi
Ditambal dalam Versi : Tidak ada perbaikan yang diketahui – plugin ditutup
Skor Keparahan : Sedang
Cara Melindungi Situs WordPress Anda Dari Plugin dan Tema yang Rentan
Seperti yang Anda lihat dari laporan ini, banyak plugin WordPress baru dan kerentanan tema diungkapkan setiap minggu. Kami tahu mungkin sulit untuk tetap mengetahui setiap pengungkapan kerentanan yang dilaporkan, jadi plugin iThemes Security Pro memudahkan untuk memastikan situs Anda tidak menjalankan tema, plugin, atau versi inti WordPress dengan kerentanan yang diketahui.
1. Instal Plugin iThemes Security Pro
Plugin iThemes Security Pro memperkuat situs WordPress Anda dari cara paling umum yang digunakan untuk meretas situs web. Dengan 30+ cara untuk mengamankan situs Anda dalam satu plugin yang mudah digunakan.
2. Aktifkan Pemindaian Situs untuk Memeriksa Kerentanan yang Diketahui
Fitur Manajemen Versi di iThemes Security Pro terintegrasi dengan Pemindaian Situs untuk melindungi situs Anda. Tema, plugin, dan versi inti WordPress yang rentan akan diperbarui secara otomatis untuk Anda.
3. Aktifkan Deteksi Perubahan File
Kunci untuk mendeteksi pelanggaran keamanan dengan cepat adalah dengan memantau perubahan file di situs web Anda. Fitur Deteksi Perubahan File di iThemes Security Pro akan memindai file situs web Anda dan memberi tahu Anda bila terjadi perubahan pada situs web Anda.
Dapatkan iThemes Security Pro dengan Pemantauan Keamanan Situs Web 24/7
iThemes Security Pro, plugin keamanan WordPress kami, menawarkan 50+ cara untuk mengamankan dan melindungi situs web Anda dari kerentanan keamanan WordPress yang umum. Dengan WordPress, otentikasi dua faktor, perlindungan brute force, penegakan kata sandi yang kuat, dan banyak lagi, Anda dapat menambahkan lapisan keamanan ekstra ke situs web Anda.
