Laporan Kerentanan WordPress: Januari 2022, Bagian 1

Diterbitkan: 2022-01-06

Plugin dan tema yang rentan adalah alasan #1 mengapa situs web WordPress diretas. Laporan Kerentanan WordPress mingguan yang didukung oleh WPScan mencakup plugin, tema, dan kerentanan inti WordPress terbaru, dan apa yang harus dilakukan jika Anda menjalankan salah satu plugin atau tema yang rentan di situs web Anda.

Setiap kerentanan akan memiliki tingkat keparahan Rendah , Sedang , Tinggi , atau Kritis . Pengungkapan dan pelaporan kerentanan yang bertanggung jawab merupakan bagian integral dari menjaga keamanan komunitas WordPress. Baru dalam laporan ini: kerentanan sekarang diurutkan berdasarkan jumlah penginstalan aktif, bukan tanggal pengungkapan.

Silakan bagikan posting ini dengan teman-teman Anda untuk membantu menyebarkan berita dan membuat WordPress lebih aman untuk semua orang !

Ingin laporan ini dikirim ke kotak masuk Anda setiap minggu?
Berlangganan email mingguan

Rekap Laporan Kerentanan WordPress 2021: 1.263 Kerentanan Diungkapkan; 98% Plugin

  • Pada tahun 2021, total 1.263 plugin dan kerentanan tema diungkapkan. Kerentanan plugin WordPress terdiri dari 98% dari semua kerentanan yang dilaporkan.
  • September 2021 melihat kerentanan paling banyak dilaporkan, dengan total 323 kerentanan diungkapkan di bulan itu saja.
  • Jenis kerentanan plugin yang paling umum diungkapkan pada tahun 2021 adalah skrip lintas situs (XSS) dan injeksi SQL. Sebagian besar pembuat plugin merilis tambalan, sementara beberapa plugin masih ditutup.
  • Karena peningkatan pengungkapan kerentanan, kami mengubah frekuensi laporan kerentanan menjadi seminggu sekali, bukan dua kali sebulan.
  • Berkat umpan balik Anda, kami juga mulai mencantumkan pengungkapan plugin dalam urutan atau pemasangan aktif. Kami juga mulai mengelompokkan plugin secara gratis dan pro, dengan bagian terpisah untuk plugin tertutup dan plugin tanpa perbaikan yang diketahui.

Kerentanan Inti WordPress

Versi terbaru dari inti WordPress adalah 5.8.2. Sebagai praktik terbaik, selalu pastikan untuk menjalankan inti WordPress versi terbaru!

Kerentanan Plugin WordPress

Di bagian ini, kerentanan plugin WordPress terbaru telah diungkapkan. Setiap daftar plugin mencakup jenis kerentanan, instalasi aktif, nomor versi jika ditambal, dan peringkat keparahan.

1. UpdraftPlus

Plugin: UpdraftPlus
Kerentanan : Skrip Lintas Situs Tercermin
Instalasi Aktif : 3+ juta
Ditambal dalam Versi : 1.16.569
Skor Keparahan : Tinggi

Kerentanan telah ditambal, jadi Anda harus memperbarui ke versi 1.16.59.

Plugin: UpdraftPlus
Kerentanan : Admin+ Skrip Lintas Situs Tersimpan
Instalasi Aktif : 3+ juta
Ditambal dalam Versi : 1.6.59
Skor Keparahan : Rendah

Kerentanan telah ditambal, jadi Anda harus memperbarui ke versi 1.6.59.

Plugin: UpdraftPlus
Kerentanan : Admin+ Penyertaan File Lokal
Instalasi Aktif : 3+ juta
Ditambal dalam Versi : 1.16.59
Skor Keparahan : Sedang

Kerentanan telah ditambal, jadi Anda harus memperbarui ke versi 1.16.59.

2. Konverter WebP untuk Media

Plugin: Konverter WebP untuk Media
Kerentanan : Pengalihan terbuka yang tidak diautentikasi
Instalasi Aktif : 100.000+
Ditambal dalam Versi : 4.0.3
Skor Keparahan : Sedang

Kerentanan telah ditambal, jadi Anda harus memperbarui ke versi 4.0.3.

3. WOOF – Filter Produk untuk WooCommerce

Plugin: WOOF – Filter Produk untuk WooCommerce
Kerentanan : Skrip Lintas Situs Tercermin
Instalasi Aktif : 100.000+
Ditambal dalam Versi : 1.2.6.3
Skor Keparahan : Tinggi

Kerentanan telah ditambal, jadi Anda harus memperbarui ke versi 1.2.6.3.

4. LearnPress

Plugin: LearnPress
Kerentanan : Admin+ Skrip Lintas Situs Tersimpan
Instalasi Aktif : 100.000+
Ditambal dalam Versi : 4.1.3.2
Skor Keparahan : Sedang

Kerentanan telah ditambal, jadi Anda harus memperbarui ke versi 4.1.3.2.

5. Klon Halaman Posting WP

Plugin: Klon Halaman Posting WP
Kerentanan : Akses Pos Tidak Sah
Instalasi Aktif : 80.000+
Ditambal dalam Versi : 1.2
Skor Keparahan : Sedang

Kerentanan telah ditambal, jadi Anda harus memperbarui ke versi 1.2.

6. Jenis File Ekstra WP

Plugin: WP Jenis File Ekstra
Kerentanan : CSRF ke Skrip Lintas Situs Tersimpan
Instalasi Aktif : 50,000+
Ditambal dalam Versi : 0.5.1
Skor Keparahan : Tinggi

Kerentanan telah ditambal, jadi Anda harus memperbarui ke versi 0.5.1.

7. Guru LMS

Plugin: Guru LMS
Kerentanan : Pelanggan + Skrip Lintas Situs Tersimpan
Instalasi Aktif : 40.000+
Ditambal dalam Versi : 1.9.12
Skor Keparahan : Tinggi

Kerentanan telah ditambal, jadi Anda harus memperbarui ke versi 1.9.12.

Plugin: Guru LMS
Kerentanan : Skrip Lintas Situs Tercermin
Instalasi Aktif : 40.000+
Ditambal dalam Versi : 1.9.12
Skor Keparahan : Tinggi

Kerentanan telah ditambal, jadi Anda harus memperbarui ke versi 1.9.12.

8. Dasbor Kustom & Halaman Masuk

Plugin: Dasbor Kustom & Halaman Login
Kerentanan : Admin+ Skrip Lintas Situs Tersimpan
Instalasi Aktif : 40.000+
Ditambal dalam Versi : 7.0
Skor Keparahan : Sedang

Kerentanan telah ditambal, jadi Anda harus memperbarui ke versi 7.0.

9. FAQ Utama

Plugin: FAQ Utama
Kerentanan : Pelanggan+ Pembuatan FAQ Sewenang-wenang
Instalasi Aktif : 30,000+
Ditambal dalam Versi : 2.1.2
Skor Keparahan : Sedang

Kerentanan telah ditambal, jadi Anda harus memperbarui ke versi 2.1.2.

10. Tampilan Depan Pengguna WP

Plugin: WP User Frontend
Kerentanan : Injeksi SQL ke Skrip Lintas Situs yang Tercermin
Instalasi Aktif : 30,000+
Ditambal dalam Versi : 3.5.26
Skor Keparahan : Tinggi

Kerentanan telah ditambal, jadi Anda harus memperbarui ke versi 3.5.26.

11. myCred

Plugin: myCred
Kerentanan : Skrip Lintas Situs Tercermin
Instalasi Aktif : 20.000+
Ditambal dalam Versi : 2.4
Skor Keparahan : Tinggi

Kerentanan telah ditambal, jadi Anda harus memperbarui ke versi 2.4.

12. Efek Gambar Hover Ultimate

Plugin: Image Hover Effects Ultimate
Kerentanan : Skrip Lintas Situs Tercermin
Instalasi Aktif : 20.000+
Ditambal dalam Versi : 9.7.1
Skor Keparahan : Tinggi

Kerentanan telah ditambal, jadi Anda harus memperbarui ke versi 9.7.1.

13. Qubelly

Plugin: Qubely
Kerentanan : Pelanggan+ Pembuatan FAQ Sewenang-wenang
Instalasi Aktif : 10.000+
Ditambal dalam Versi : 1.7.8
Skor Keparahan : Sedang

Kerentanan telah ditambal, jadi Anda harus memperbarui ke versi 1.7.8.

14. Sihir Pendaftaran

Plugin: Sihir Registrasi
Kerentanan : Skrip Lintas Situs Tercermin
Instalasi Aktif : 10.000+
Ditambal dalam Versi : 5.0.1.9
Skor Keparahan : Tinggi

Kerentanan telah ditambal, jadi Anda harus memperbarui ke versi 5.0.1.9.

15. Pelacakan Pesanan untuk WooCommerce

Plugin: Pelacakan Pesanan untuk WooCommerce
Kerentanan : Skrip Lintas Situs Tercermin
Instalasi Aktif : 10.000+
Ditambal dalam Versi : 1.1.10
Skor Keparahan : Tinggi

Kerentanan telah ditambal, jadi Anda harus memperbarui ke versi 1.1.10.

16. Tautan Perpustakaan

Plugin: Pustaka Tautan
Kerentanan : Skrip Lintas Situs Tercermin
Instalasi Aktif : 10.000+
Ditambal dalam Versi : 7.2.8
Skor Keparahan : Sedang

Kerentanan telah ditambal, jadi Anda harus memperbarui ke versi 7.2.8.

Plugin: Pustaka Tautan
Kerentanan : Pengaturan Perpustakaan Atur Ulang melalui CSRF
Instalasi Aktif : 10.000+
Ditambal dalam Versi : 7.2.8
Skor Keparahan : Sedang

Kerentanan telah ditambal, jadi Anda harus memperbarui ke versi 7.2.8.

Plugin: Pustaka Tautan
Kerentanan : Penghapusan Tautan Sewenang-wenang yang Tidak Diautentikasi
Instalasi Aktif : 10.000+
Ditambal dalam Versi : 7.2.8
Skor Keparahan : Sedang

Kerentanan telah ditambal, jadi Anda harus memperbarui ke versi 7.2.8.

17. Pendamping AF

Plugin: Pendamping AF
Kerentanan : Instalasi & Aktivasi Plugin Sewenang-wenang melalui CSRF
Instalasi Aktif : 9,000+
Ditambal dalam Versi : 1.2.0
Skor Keparahan : Tinggi

Kerentanan telah ditambal, jadi Anda harus memperbarui ke versi 1.2.0.

18. Widget Daftar Penulis KNR

Plugin: Widget Daftar Penulis KNR
Kerentanan : Injeksi SQL Tidak Diautentikasi
Instalasi Aktif : 200+
Ditambal dalam Versi : 3.0.0
Skor Keparahan : Kritis

Kerentanan telah ditambal, jadi Anda harus memperbarui ke versi 3.0.0.

19. Info Pengguna Cookie WP

Plugin: Info Pengguna Cookie WP
Kerentanan : Admin+ SQL Injection
Instalasi Aktif : 200+
Ditambal dalam Versi : 1.0.9
Skor Keparahan : Sedang

Kerentanan telah ditambal, jadi Anda harus memperbarui ke versi 1.0.9.

Kerentanan Plugin WordPress: Plugin Ditutup

Di bagian ini, kerentanan plugin WordPress terbaru telah diungkapkan di plugin tertutup. Setiap daftar plugin mencakup jenis kerentanan, peringkat keparahan, dan tanggal penutupan.

20. Alat Lab

Plugin: LabTools
Kerentanan : Pelanggan + Penghapusan Publikasi Sewenang-wenang
Ditambal dalam Versi : Tidak ada perbaikan yang diketahui – plugin ditutup
Skor Keparahan : Sedang

Kerentanan ini BELUM ditambal. Plugin ini telah ditutup pada 28 Desember 2021. Copot pemasangan dan hapus.

21. Pemeriksaan Domain

Plugin: Pemeriksaan Domain
Kerentanan : Skrip Lintas Situs Tercermin
Ditambal dalam Versi : Tidak ada perbaikan yang diketahui – plugin ditutup
Skor Keparahan : Tinggi

Kerentanan ini BELUM ditambal. Plugin ini telah ditutup pada 28 Desember 2021. Copot pemasangan dan hapus.

22. Penampil Log Kesalahan

Plugin: Penampil Log Kesalahan
Kerentanan : Penghapusan File Teks Sewenang-wenang melalui CSRF
Ditambal dalam Versi : Tidak ada perbaikan yang diketahui – plugin ditutup
Skor Keparahan : Rendah

Kerentanan ini BELUM ditambal. Plugin ini telah ditutup pada 10 November 2021. Copot pemasangan dan hapus.

23. WP Negara yang Dikunjungi Dimuat Ulang

Plugin: WP Negara yang Dikunjungi Dimuat Ulang
Kerentanan : Skrip Lintas Situs Tercermin
Ditambal dalam Versi : 3.1.1- plugin ditutup
Skor Keparahan : Tinggi

Kerentanan ini telah ditambal. Plugin ini telah ditutup pada 23 September 2021. Copot pemasangan dan hapus.

24. Kursus Pembelajaran

Plugin: Kursus Pembelajaran
Kerentanan : Admin+ Skrip Lintas Situs Tersimpan
Ditambal dalam Versi : 5.0 – plugin ditutup
Skor Keparahan : Rendah

Kerentanan ini telah ditambal. Plugin ini telah ditutup pada 8 Oktober 2021. Copot pemasangan dan hapus.

25. Survei Sempurna

Plugin: Survei Sempurna
Kerentanan : Panggilan AJAX Tidak Sah ke XSS Tersimpan / Pembaruan Pengaturan Survei
Ditambal dalam Versi : 1.5.2 – plugin ditutup
Skor Keparahan : Tinggi

Kerentanan ini telah ditambal. Plugin ini telah ditutup pada 5 Oktober 2021. Copot pemasangan dan hapus.

Plugin: Survei Sempurna
Kerentanan : Panggilan AJAX Tidak Sah ke XSS Tersimpan / Pembaruan Pengaturan Survei
Ditambal dalam Versi : 1.5.2 – plugin ditutup
Skor Keparahan : Tinggi

Kerentanan ini telah ditambal. Plugin ini telah ditutup pada 5 Oktober 2021. Copot pemasangan dan hapus.

Plugin: Survei Sempurna
Kerentanan : Injeksi SQL Tidak Diautentikasi
Ditambal dalam Versi : 1.5.2 – plugin ditutup
Skor Keparahan : Tinggi

Kerentanan ini telah ditambal. Plugin ini telah ditutup pada 5 Oktober 2021. Copot pemasangan dan hapus.

Plugin: Survei Sempurna
Kerentanan : Skrip Lintas Situs Tercermin
Ditambal dalam Versi : 1.5.2 – plugin ditutup
Skor Keparahan : Tinggi

Kerentanan ini telah ditambal. Plugin ini telah ditutup pada 5 Oktober 2021. Copot pemasangan dan hapus.

Plugin: Survei Sempurna
Kerentanan : Skrip Lintas Situs Tersimpan Tidak Diautentikasi
Ditambal dalam Versi : Tidak ada perbaikan yang diketahui – plugin ditutup
Skor Keparahan : Tinggi

Kerentanan ini telah ditambal. Plugin ini telah ditutup pada 5 Oktober 2021. Copot pemasangan dan hapus.

Kerentanan Plugin WordPress: Tidak Ada Perbaikan yang Diketahui

Di bagian ini, kerentanan plugin WordPress terbaru telah diungkapkan di plugin tertutup. Setiap daftar plugin mencakup jenis kerentanan, peringkat keparahan, dan tanggal penutupan.

26. Mediamatik

Plugin: Mediamatic
Kerentanan : Pelanggan+ Injeksi SQL
Instalasi Aktif : 3,000+
Ditambal dalam Versi : Tidak ada perbaikan yang diketahui
Skor Keparahan : Tinggi

Kerentanan ini BELUM ditambal. Copot pemasangan dan hapus plugin hingga patch dirilis.

Cara Melindungi Situs WordPress Anda Dari Plugin dan Tema yang Rentan

Seperti yang Anda lihat dari laporan ini, banyak plugin WordPress baru dan kerentanan tema diungkapkan setiap minggu. Kami tahu mungkin sulit untuk tetap mengetahui setiap pengungkapan kerentanan yang dilaporkan, jadi plugin iThemes Security Pro memudahkan untuk memastikan situs Anda tidak menjalankan tema, plugin, atau versi inti WordPress dengan kerentanan yang diketahui.

1. Instal Plugin iThemes Security Pro

Plugin iThemes Security Pro memperkuat situs WordPress Anda dari cara paling umum yang digunakan untuk meretas situs web. Dengan 30+ cara untuk mengamankan situs Anda dalam satu plugin yang mudah digunakan.

2. Aktifkan Pemindaian Situs untuk Memeriksa Kerentanan yang Diketahui

Fitur Manajemen Versi di iThemes Security Pro terintegrasi dengan Pemindaian Situs untuk melindungi situs Anda. Tema, plugin, dan versi inti WordPress yang rentan akan diperbarui secara otomatis untuk Anda.

3. Aktifkan Deteksi Perubahan File

Kunci untuk mendeteksi pelanggaran keamanan dengan cepat adalah dengan memantau perubahan file di situs web Anda. Fitur Deteksi Perubahan File di iThemes Security Pro akan memindai file situs web Anda dan memberi tahu Anda bila terjadi perubahan pada situs web Anda.

Dapatkan iThemes Security Pro dengan Pemantauan Keamanan Situs Web 24/7

iThemes Security Pro, plugin keamanan WordPress kami, menawarkan 50+ cara untuk mengamankan dan melindungi situs web Anda dari kerentanan keamanan WordPress yang umum. Dengan WordPress, otentikasi dua faktor, perlindungan brute force, penegakan kata sandi yang kuat, dan banyak lagi, Anda dapat menambahkan lapisan keamanan ekstra ke situs web Anda.

  • Pemindai situs untuk kerentanan plugin dan tema
  • Deteksi perubahan file
  • Dasbor keamanan situs web waktu nyata
  • Log keamanan WordPress
  • Perangkat tepercaya
  • reCAPTCHA
  • Perlindungan kekerasan
  • Peningkatan hak istimewa
  • Pemeriksaan & penolakan kata sandi yang disusupi

Dapatkan iThemes Keamanan Pro