Laporan Kerentanan WordPress: Desember 2021, Bagian 4

Diterbitkan: 2022-01-06

Plugin dan tema yang rentan adalah alasan #1 mengapa situs web WordPress diretas. Laporan Kerentanan WordPress mingguan yang didukung oleh WPScan mencakup plugin, tema, dan kerentanan inti WordPress terbaru, dan apa yang harus dilakukan jika Anda menjalankan salah satu plugin atau tema yang rentan di situs web Anda.

Setiap kerentanan akan memiliki tingkat keparahan Rendah , Sedang , Tinggi , atau Kritis . Pengungkapan dan pelaporan kerentanan yang bertanggung jawab merupakan bagian integral dari menjaga keamanan komunitas WordPress. Baru dalam laporan ini: kerentanan sekarang diurutkan berdasarkan jumlah penginstalan aktif, bukan tanggal pengungkapan.

Silakan bagikan posting ini dengan teman-teman Anda untuk membantu menyebarkan berita dan membuat WordPress lebih aman untuk semua orang.

Ingin laporan ini dikirim ke kotak masuk Anda setiap minggu?
Berlangganan email mingguan

Kerentanan Inti WordPress

Versi terbaru dari inti WordPress adalah 5.8.2. Sebagai praktik terbaik, selalu pastikan untuk menjalankan inti WordPress versi terbaru!

Kerentanan Plugin WordPress

Di bagian ini, kerentanan plugin WordPress terbaru telah diungkapkan. Setiap daftar plugin mencakup jenis kerentanan, instalasi aktif, nomor versi jika ditambal, dan peringkat keparahan.

1. Semua Dalam Satu SEO

Plugin: Semua Dalam Satu SEO
Kerentanan : Injeksi SQL Terotentikasi
Instalasi Aktif : 3+ juta
Ditambal dalam Versi : 4.1.5.3
Skor Keparahan : Tinggi

Kerentanan telah ditambal, jadi Anda harus memperbarui ke versi 4.1.5.3.

Plugin: Semua Dalam Satu SEO
Kerentanan : Eskalasi Hak Istimewa yang Diautentikasi
Instalasi Aktif : 3+ juta
Ditambal dalam Versi : 4.1.5.3
Skor Keparahan : Kritis

Kerentanan telah ditambal, jadi Anda harus memperbarui ke versi 4.1.5.3.

2. Umpan Pos Sosial Smash Balloon

Plugin: Smash Balloon Social Post Feed
Kerentanan : Skrip Lintas Situs Tercermin yang Diautentikasi (XSS)
Instalasi Aktif : 200.000+
Ditambal dalam Versi : 4.1.1
Skor Keparahan : Sedang

Kerentanan telah ditambal, jadi Anda harus memperbarui ke versi 4.1.1.

3. Kalender Acara Modern Lite

Plugin: Kalender Acara Modern Lite
Kerentanan : Penambahan Kategori Pelanggan+ yang Mengarah ke XSS Tersimpan
Instalasi Aktif : 100.000+
Ditambal dalam Versi : 6.2.0
Skor Keparahan : Sedang

Kerentanan telah ditambal, jadi Anda harus memperbarui ke versi 6.2.0.

4. WOOCS

Plugin: WOOCS
Kerentanan : Skrip Lintas Situs Tercermin
Instalasi Aktif : 60.000+
Ditambal dalam Versi : 1.3.7.3
Skor Keparahan : Tinggi

Kerentanan telah ditambal, jadi Anda harus memperbarui ke versi 1.3.7.3.

5. Obrolan Langsung yang Tajam

Plugin: Obrolan Langsung Renyah
Kerentanan : CSRF ke Skrip Lintas Situs Tersimpan
Instalasi Aktif : 60.000+
Ditambal dalam Versi : 0.32
Skor Keparahan : Tinggi

Kerentanan telah ditambal, jadi Anda harus memperbarui ke versi 0.32.

6. Efek Gambar Hover Ultimate

Plugin: Image Hover Effects Ultimate
Kerentanan : Pembaruan Opsi Sewenang-wenang yang Tidak Diautentikasi
Instalasi Aktif : 20.000+
Ditambal dalam Versi : 9.7.0
Skor Keparahan : Kritis

Kerentanan telah ditambal, jadi Anda harus memperbarui ke versi 9.7.0.

7. Sistem Pemesanan WP – Kalender Pemesanan

Plugin: Sistem Pemesanan WP – Kalender Pemesanan
Kerentanan : Skrip Lintas Situs Tercermin yang Diautentikasi (XSS)
Instalasi Aktif : 10.000+
Ditambal dalam Versi : 2.0.15
Skor Keparahan : Sedang

Kerentanan telah ditambal, jadi Anda harus memperbarui ke versi 2.0.15.

8. Pembuat Halaman Arahan

Plugin: Pembuat Halaman Arahan
Kerentanan : Skrip Lintas Situs Tercermin yang Diautentikasi (XSS)
Instalasi Aktif : 10.000+
Ditambal dalam Versi : 1.4.9.6
Skor Keparahan : Sedang

Kerentanan telah ditambal, jadi Anda harus memperbarui ke versi 1.4.9.6.

9. Memahami Analisis

Plugin: Memahami Analisis
Kerentanan : Admin+ Skrip Lintas Situs Tersimpan
Instalasi Aktif : 2000+
Ditambal dalam Versi : 3.0.5
Skor Keparahan : Rendah

Kerentanan telah ditambal, jadi Anda harus memperbarui ke versi 3.0.5.

10. Ranker Sejati

Plugin: Ranker Sejati
Kerentanan : Akses File Sewenang-wenang yang Tidak Diautentikasi melalui Path Traversal
Instalasi Aktif : 200+
Ditambal dalam Versi : 2.2.4
Skor Keparahan : Rendah

Kerentanan telah ditambal, jadi Anda harus memperbarui ke versi 2.2.4.

Kerentanan Plugin WordPress: Plugin Ditutup

Di bagian ini, kerentanan plugin WordPress terbaru telah diungkapkan di plugin tertutup. Setiap daftar plugin mencakup jenis kerentanan, peringkat keparahan, dan tanggal penutupan.

11. Mesin Komentar Pro

Plugin: Mesin Komentar Pro
Kerentanan : Editor+ Skrip Lintas Situs Tersimpan
Ditambal dalam Versi : Tidak ada perbaikan yang diketahui – plugin ditutup
Skor Keparahan : Rendah

Kerentanan ini BELUM ditambal. Plugin ini telah ditutup pada 7 Oktober 2021. Copot pemasangan dan hapus.

12. Pengalihan .htaccess

Plugin: .htaccess Redirect
Kerentanan : Skrip Lintas Situs Tercermin
Ditambal dalam Versi : Tidak ada perbaikan yang diketahui – plugin ditutup
Skor Keparahan : Tinggi

Kerentanan ini BELUM ditambal. Plugin ini telah ditutup pada 3 Desember 2021. Copot pemasangan dan hapus.

13. Gerbang Bank Parsian untuk Woocommerce

Plugin: Parsian Bank Gateway untuk Woocommerce
Kerentanan : Skrip Lintas Situs Tercermin
Ditambal dalam Versi : Tidak ada perbaikan yang diketahui – plugin ditutup
Skor Keparahan : Tinggi

Kerentanan ini BELUM ditambal. Plugin ini telah ditutup pada 3 Desember 2021. Copot pemasangan dan hapus.

14. WYSIWYG asli

Plugin: WYSIWYG Asli
Kerentanan : Skrip Lintas Situs Tercermin
Ditambal dalam Versi : Tidak ada perbaikan yang diketahui – plugin ditutup
Skor Keparahan : Tinggi

Kerentanan ini BELUM ditambal. Plugin ini telah ditutup pada 3 Desember 2021. Copot pemasangan dan hapus.

15. Manajer Daftar Tautan

Plugin: Manajer Daftar Tautan
Kerentanan : Skrip Lintas Situs Tercermin
Ditambal dalam Versi : Tidak ada perbaikan yang diketahui – plugin ditutup
Skor Keparahan : Tinggi

Kerentanan ini BELUM ditambal. Plugin ini telah ditutup pada 3 Desember 2021. Copot pemasangan dan hapus.

16. Galeri Gambar Sederhana

Plugin: Galeri Gambar Sederhana
Kerentanan : Skrip Lintas Situs Tercermin
Ditambal dalam Versi : Tidak ada perbaikan yang diketahui – plugin ditutup
Skor Keparahan : Tinggi

Kerentanan ini BELUM ditambal. Plugin ini telah ditutup pada 3 Desember 2021. Copot pemasangan dan hapus.

17. WooCommerce EnvioPack

Plugin: WooCommerce EnvioPack
Kerentanan : Skrip Lintas Situs Tercermin
Ditambal dalam Versi : Tidak ada perbaikan yang diketahui – plugin ditutup
Skor Keparahan : Tinggi

Kerentanan ini BELUM ditambal. Plugin ini telah ditutup pada 15 November 2021. Copot pemasangan dan hapus.

18. Suara Pos Ajaib

Plugin: Suara Pos Ajaib
Kerentanan : Skrip Lintas Situs Tercermin
Ditambal dalam Versi : Tidak ada perbaikan yang diketahui – plugin ditutup
Skor Keparahan : Tinggi

Kerentanan ini BELUM ditambal. Plugin ini telah ditutup pada 3 Desember 2021. Copot pemasangan dan hapus.

19. Editor CSS H5P

Plugin: Editor CSS H5P
Kerentanan : Skrip Lintas Situs Tercermin
Ditambal dalam Versi : Tidak ada perbaikan yang diketahui – plugin ditutup
Skor Keparahan : Tinggi

Kerentanan ini BELUM ditambal. Plugin ini telah ditutup pada 3 Desember 2021. Copot pemasangan dan hapus.

20. duoFAQ

Plugin: duoFAQ
Kerentanan : Skrip Lintas Situs Tercermin
Ditambal dalam Versi : Tidak ada perbaikan yang diketahui – plugin ditutup
Skor Keparahan : Tinggi

Kerentanan ini BELUM ditambal. Plugin ini telah ditutup pada 3 Desember 2021. Copot pemasangan dan hapus.

21. Suara Pos Ajaib

Plugin: Suara Pos Ajaib
Kerentanan : Skrip Lintas Situs Tercermin
Ditambal dalam Versi : Tidak ada perbaikan yang diketahui – plugin ditutup
Skor Keparahan : Tinggi

Kerentanan ini BELUM ditambal. Plugin ini telah ditutup pada 3 Desember 2021. Copot pemasangan dan hapus.

22. Gerbang Pembayaran myghpay WooCommerce

Plugin: Gerbang Pembayaran myghpay WooCommerce
Kerentanan : Skrip Lintas Situs Tercermin
Ditambal dalam Versi : Tidak ada perbaikan yang diketahui – plugin ditutup
Skor Keparahan : Tinggi

Kerentanan ini BELUM ditambal. Plugin ini telah ditutup per 13 Desember 2021. Copot pemasangan dan hapus.

Kerentanan Plugin Premium

Di bagian ini, kerentanan plugin premium WordPress terbaru telah diungkapkan. Setiap daftar plugin menyertakan jenis kerentanan, nomor versi jika ditambal, dan peringkat keparahan.

23. Add-on Plus untuk Elementor Pro

Plugin: Addons Plus untuk Elementor – Pro
Kerentanan : Pengungkapan Data Sensitif
Ditambal dalam Versi : 5.0.7
Skor Keparahan : Sedang

Kerentanan telah ditambal, jadi Anda harus memperbarui ke versi 5.0.7.

Plugin: Addons Plus untuk Elementor – Pro
Kerentanan : Injeksi SQL Tidak Diautentikasi
Ditambal dalam Versi : 5.0.7
Skor Keparahan : Sedang

Kerentanan telah ditambal, jadi Anda harus memperbarui ke versi 5.0.7.

24. Ayo Kotak

Plugin: Lets Box
Kerentanan : Skrip Lintas Situs Tercermin
Ditambal dalam Versi : 1.13.3
Skor Keparahan : Sedang

Kerentanan telah ditambal, jadi Anda harus memperbarui ke versi 1.13.3.

25. Bagikan Satu Drive

Plugin: Bagikan Satu Drive
Kerentanan : Skrip Lintas Situs Tercermin
Ditambal dalam Versi : 1.15.3
Skor Keparahan : Sedang

Kerentanan telah ditambal, jadi Anda harus memperbarui ke versi 1.15.3.

26. Keluar dari Kotak

Plugin: Keluar dari Kotak
Kerentanan : Skrip Lintas Situs Tercermin
Ditambal dalam Versi : 1.20.3
Skor Keparahan : Sedang

Kerentanan telah ditambal, jadi Anda harus memperbarui ke versi 1.20.3.

27. Gunakan Drive Anda

Plugin: Gunakan Drive Anda
Kerentanan : Skrip Lintas Situs Tercermin
Ditambal dalam Versi : 1.18.3
Skor Keparahan : Sedang

Kerentanan telah ditambal, jadi Anda harus memperbarui ke versi 1.18.3.

Cara Melindungi Situs WordPress Anda Dari Plugin dan Tema yang Rentan

Seperti yang Anda lihat dari laporan ini, banyak plugin WordPress baru dan kerentanan tema diungkapkan setiap minggu. Kami tahu mungkin sulit untuk tetap mengetahui setiap pengungkapan kerentanan yang dilaporkan, jadi plugin iThemes Security Pro memudahkan untuk memastikan situs Anda tidak menjalankan tema, plugin, atau versi inti WordPress dengan kerentanan yang diketahui.

1. Instal Plugin iThemes Security Pro

Plugin iThemes Security Pro memperkuat situs WordPress Anda dari cara paling umum yang digunakan untuk meretas situs web. Dengan 30+ cara untuk mengamankan situs Anda dalam satu plugin yang mudah digunakan.

2. Aktifkan Pemindaian Situs untuk Memeriksa Kerentanan yang Diketahui

Fitur Manajemen Versi di iThemes Security Pro terintegrasi dengan Pemindaian Situs untuk melindungi situs Anda. Tema, plugin, dan versi inti WordPress yang rentan akan diperbarui secara otomatis untuk Anda.

3. Aktifkan Deteksi Perubahan File

Kunci untuk mendeteksi pelanggaran keamanan dengan cepat adalah dengan memantau perubahan file di situs web Anda. Fitur Deteksi Perubahan File di iThemes Security Pro akan memindai file situs web Anda dan memberi tahu Anda bila terjadi perubahan pada situs web Anda.

Dapatkan iThemes Security Pro dengan Pemantauan Keamanan Situs Web 24/7

iThemes Security Pro, plugin keamanan WordPress kami, menawarkan 50+ cara untuk mengamankan dan melindungi situs web Anda dari kerentanan keamanan WordPress yang umum. Dengan WordPress, otentikasi dua faktor, perlindungan brute force, penegakan kata sandi yang kuat, dan banyak lagi, Anda dapat menambahkan lapisan keamanan ekstra ke situs web Anda.

  • Pemindai situs untuk kerentanan plugin dan tema
  • Deteksi perubahan file
  • Dasbor keamanan situs web waktu nyata
  • Log keamanan WordPress
  • Perangkat tepercaya
  • reCAPTCHA
  • Perlindungan kekerasan
  • Peningkatan hak istimewa
  • Pemeriksaan & penolakan kata sandi yang disusupi

Hemat 35% iThemes Security Pro Hingga 31 Desember