Laporan Kerentanan WordPress: Januari 2022, Bagian 2
Diterbitkan: 2022-01-12Plugin dan tema yang rentan adalah alasan #1 mengapa situs web WordPress diretas. Laporan Kerentanan WordPress mingguan yang didukung oleh WPScan mencakup plugin, tema, dan kerentanan inti WordPress terbaru, dan apa yang harus dilakukan jika Anda menjalankan salah satu plugin atau tema yang rentan di situs web Anda.
Setiap kerentanan akan memiliki tingkat keparahan Rendah , Sedang , Tinggi , atau Kritis . Pengungkapan dan pelaporan kerentanan yang bertanggung jawab merupakan bagian integral dari menjaga keamanan komunitas WordPress. Baru dalam laporan ini: kerentanan sekarang diurutkan berdasarkan jumlah penginstalan aktif, bukan tanggal pengungkapan.
Silakan bagikan posting ini dengan teman-teman Anda untuk membantu menyebarkan berita dan membuat WordPress lebih aman untuk semua orang !
Kerentanan Inti WordPress
Versi terbaru dari inti WordPress dirilis pada 6 Januari 2022 sebagai rilis keamanan siklus pendek. Karena WordPress 5.8.3 adalah rilis keamanan, kami menyarankan Anda untuk segera memperbarui semua situs Anda.
Anda dapat memperbarui ke WordPress 5.8.3 dengan mengunduh dari WordPress.org atau mengunjungi dasbor admin WordPress > Pembaruan dan mengeklik Perbarui Sekarang .
Jika Anda memiliki situs yang telah mengaktifkan pembaruan latar belakang otomatis, situs tersebut seharusnya sudah berhasil diperbarui.
Inti WordPress
Kerentanan : Injeksi SQL melalui WP_Query
Ditambal dalam Versi : 5.8.3
Penjelasan: Karena kurangnya sanitasi yang tepat di WP_Meta_Query, ada potensi Injeksi SQL buta.
Kerentanan : Penulis+ Menyimpan XSS melalui Post Slug
Ditambal dalam Versi : 5.8.3
Penjelasan: Pengguna yang diautentikasi dengan hak istimewa rendah (seperti penulis) di inti WordPress dapat menjalankan JavaScript/melakukan serangan XSS yang tersimpan melalui siput pos, yang dapat memengaruhi pengguna dengan hak istimewa tinggi.
Kerentanan : Injeksi Objek Admin Super di Multisitus
Ditambal dalam Versi : 5.8.3
Penjelasan: Di multisite, pengguna dengan peran Admin Super dapat melewati pengerasan eksplisit/tambahan dalam kondisi tertentu melalui injeksi objek.
Kerentanan : Injeksi SQL melalui WP_Meta_Query
Ditambal dalam Versi : 5.8.3
Penjelasan: Karena kurangnya sanitasi yang tepat di WP_Meta_Query, ada potensi Injeksi SQL buta.
Kerentanan Plugin WordPress
Di bagian ini, kerentanan plugin WordPress terbaru telah diungkapkan. Setiap daftar plugin mencakup jenis kerentanan, instalasi aktif, nomor versi jika ditambal, dan peringkat keparahan.
1. Dukungan SVG
Plugin: Dukungan SVG
Kerentanan : Admin+ Skrip Lintas Situs Tersimpan
Instalasi Aktif : 800,000+
Ditambal dalam Versi : 2.3.20
Skor Keparahan : Rendah
2. Pembersihan Aset
Plugin: Pembersihan Aset
Kerentanan : Skrip Lintas Situs Tercermin melalui AJAX Action
Instalasi Aktif : 100.000+
Ditambal dalam Versi : 1.3.8.5
Skor Keparahan : Tinggi
Plugin: Pembersihan Aset
Kerentanan : Skrip Lintas Situs Tercermin
Instalasi Aktif : 100.000+
Ditambal dalam Versi : 1.3.8.5
Skor Keparahan : Sedang
3. Keanggotaan Berbayar Pro
Plugin: Keanggotaan Berbayar Pro
Kerentanan : Injeksi SQL Buta Tidak Diautentikasi
Instalasi Aktif : 100.000+
Ditambal dalam Versi : 2.6.7
Skor Keparahan : Kritis
4. Naskah Berikutnya: Poster Otomatis Jejaring Sosial
Plugin: NextScripts: Poster Otomatis Jejaring Sosial
Kerentanan : Penghapusan Postingan Sewenang-wenang melalui CSRF
Instalasi Aktif : 90.000+
Ditambal dalam Versi : 4.3.25
Skor Keparahan : Sedang
Plugin: NextScripts: Poster Otomatis Jejaring Sosial
Kerentanan : XSS Tersimpan Tidak Diautentikasi
Instalasi Aktif : 90.000+
Ditambal dalam Versi : 4.3.25
Skor Keparahan : Tinggi
5. Pencarian Gading
Plugin: Pencarian Gading
Kerentanan : Kontributor+ Skrip Lintas Situs Tersimpan
Instalasi Aktif : 80.000+
Ditambal dalam Versi : 5.4.1
Skor Keparahan : Tinggi
6. Umpan Sosial Mudah
Plugin: Umpan Sosial Mudah
Kerentanan : Skrip Lintas Situs Tercermin (XSS)
Instalasi Aktif : 70.000+
Ditambal dalam Versi : 6.2.7
Skor Keparahan : Tinggi
7. Editor Gaya CSS Visual
Plugin: Editor Gaya CSS Visual
Kerentanan : Skrip Lintas Situs Tercermin
Instalasi Aktif : 50,000+
Ditambal dalam Versi : 7.5.4
Skor Keparahan : Tinggi
8. Entri Formulir Kontak
Plugin: Entri Formulir Kontak
Kerentanan : Skrip Lintas Situs Tersimpan Tidak Diautentikasi
Instalasi Aktif : 40.000+
Ditambal dalam Versi : 1.1.7
Skor Keparahan : Tinggi
9. Manajer Cron Tingkat Lanjut
Plugin: Manajer Cron Tingkat Lanjut
Kerentanan : Pelanggan+ Acara Sewenang-wenang/Pembuatan/Penghapusan Jadwal
Instalasi Aktif : 30,000+
Ditambal dalam Versi : 2.4.2
Skor Keparahan : Sedang
10. WPLegalPages
Plugin: WPLegalPages
Kerentanan : Pembaruan Pengaturan Pelanggan+ Sewenang-wenang ke XSS yang Disimpan
Instalasi Aktif : 20.000+
Ditambal dalam Versi : 2.7.1
Skor Keparahan : Sedang
11. Statistik Pengunjung WP (Lalu Lintas Waktu Nyata)
Plugin: Statistik Pengunjung WP (Lalu Lintas Waktu Nyata)
Kerentanan : Pelanggan+ Injeksi SQL
Instalasi Aktif : 20.000+
Ditambal dalam Versi : 4.8
Skor Keparahan : Tinggi
12. Folder Jahat
Plugin: Folder Jahat
Kerentanan : Pelanggan+ Injeksi SQL
Instalasi Aktif : 10.000+
Ditambal dalam Versi : 2.8.10
Skor Keparahan : Tinggi
13. SupportCandy
Plugin: SupportCandy
Kerentanan : Kontributor+ Skrip Lintas Situs Tersimpan
Instalasi Aktif : 10.000+
Ditambal dalam Versi : 2.2.7
Skor Keparahan : Sedang
Plugin: SupportCandy
Kerentanan : CSRF ke Cross-Site Scripting
Instalasi Aktif : 10.000+
Ditambal dalam Versi : 2.2.7
Skor Keparahan : Sedang
Plugin: SupportCandy
Kerentanan : Penghapusan Tiket Sewenang-wenang melalui CSRF
Instalasi Aktif : 10.000+
Ditambal dalam Versi : 2.2.7
Skor Keparahan : Tinggi
Plugin: SupportCandy
Kerentanan : Penghapusan Tiket Sewenang-wenang yang Tidak Diautentikasi
Instalasi Aktif : 10.000+
Ditambal dalam Versi : 2.2.7
Skor Keparahan : Tinggi
Plugin: SupportCandy
Kerentanan : Skrip Lintas Situs Tercermin
Instalasi Aktif : 10.000+
Ditambal dalam Versi : 2.2.7
Skor Keparahan : Sedang
14. Atur Ulang Produk Woocommerce
Plugin: Atur Ulang Produk Woocommerce
Kerentanan : Pelanggan+ Injeksi SQL
Instalasi Aktif : 10.000+
Ditambal dalam Versi : 3.0.8
Skor Keparahan : Tinggi
15. Pemblokir Negara Lokasi IP2
Plugin: Pemblokir Negara IP2Location
Kerentanan : Larangan Negara Sewenang-wenang melalui CSRF
Instalasi Aktif : 10.000+
Ditambal dalam Versi : 2.26.6
Skor Keparahan : Sedang
Plugin: Pemblokir Negara IP2Location
Kerentanan : Pelanggan+ Larangan Negara Sewenang-wenang
Instalasi Aktif : 10.000+
Ditambal dalam Versi : 2.26.6
Skor Keparahan : Sedang
Plugin: Pemblokir Negara IP2Location
Kerentanan : Larangan Bypass
Instalasi Aktif : 10.000+
Ditambal dalam Versi : 2.26.6
Skor Keparahan : Sedang
16. Dukungan Luar Biasa – Plugin HelpDesk & Dukungan WordPress
Plugin: Dukungan Luar Biasa – Kerangka Titan
Kerentanan : Skrip Lintas Situs Tercermin (XSS)
Instalasi Aktif : 10.000+
Ditambal dalam Versi : 6.0.11
Skor Keparahan : Tinggi
17. Katalog Produk Utama
Plugin: Katalog Produk Utama
Kerentanan : Pelanggan+ Pembaruan Pengaturan & Pembuatan Produk Sewenang-wenang
Instalasi Aktif : 10.000
Ditambal dalam Versi : 5.0.26
Skor Keparahan : Sedang
18. Penyemat Dokumen
Plugin: Penyemat Dokumen
Kerentanan : Pengungkapan Judul Postingan Pribadi/Draft Pelanggan+ Sewenang-wenang
Instalasi Aktif : 9,000+
Ditambal dalam Versi : 1.7.9
Skor Keparahan : Sedang
Plugin: Penyemat Dokumen
Kerentanan : Pengungkapan Judul Postingan Pribadi/Draft Sewenang-wenang yang Tidak Diautentikasi
Instalasi Aktif : 9,000+
Ditambal dalam Versi : 1.7.9
Skor Keparahan : Sedang
19. RVM – Peta Vektor Responsif
Plugin: RVM – Peta Vektor Responsif
Kerentanan : Pelanggan + Pembacaan File Sewenang-wenang
Instalasi Aktif : 6.000+
Ditambal dalam Versi : 6.4.2
Skor Keparahan : Tinggi
20. Mediamatik
Plugin: Mediamatic
Kerentanan : Pelanggan+ Injeksi SQL
Instalasi Aktif : 3,000+
Ditambal dalam Versi : 2.8.1
Skor Keparahan : Tinggi
21. Woopra
Plugin: Woopra
Kerentanan : Unggah File Sewenang-wenang yang Tidak Diautentikasi
Instalasi Aktif : 2.000+
Ditambal dalam Versi : 1.4.3.2
Skor Keparahan : Kritis
22. Manajer Akses Hak Pengguna
Plugin: Manajer Akses Hak Pengguna
Kerentanan : Bypass Pembatasan Akses
Instalasi Aktif : 900+
Ditambal dalam Versi : 1.0.8
Skor Keparahan : Sedang
23. Tombol YuMoney
Plugin: tombol YuMoney – Kerangka Titan
Kerentanan : Skrip Lintas Situs Tercermin (XSS)
Instalasi Aktif : 900+
Ditambal dalam Versi : 2.4.0
Skor Keparahan : Tinggi
24. Integrasi TrustMate.io untuk WooCommerce
Plugin: Integrasi TrustMate.io untuk WooCommerce
Kerentanan : Pembaruan Pengaturan Plugin Sewenang-wenang + Pelanggan
Instalasi Aktif : 300+
Ditambal dalam Versi : 1.8.12
Skor Keparahan : Tinggi
Plugin: Integrasi TrustMate.io untuk WooCommerce
Kerentanan : Pembaruan Opsi Blog Sewenang-wenang + Pelanggan
Instalasi Aktif : 300+
Ditambal dalam Versi : 1.7.1
Skor Keparahan : Tinggi
25. Ranker Sejati
Plugin: Ranker Sejati
Kerentanan : Akses File Sewenang-wenang yang Tidak Diautentikasi melalui Path Traversal
Instalasi Aktif : 300+
Ditambal dalam Versi : 2.2.4
Skor Keparahan : Tinggi
26. WebHotelier untuk WordPress
Plugin: WebHotelier untuk WordPress – Kerangka Titan
Kerentanan : Skrip Lintas Situs Tercermin (XSS)
Instalasi Aktif : 200+
Ditambal dalam Versi : 1.6.1
Skor Keparahan : Tinggi
Kerentanan Plugin Premium
Di bagian ini, kerentanan plugin premium WordPress terbaru telah diungkapkan. Setiap daftar plugin menyertakan jenis kerentanan, nomor versi jika ditambal, dan peringkat keparahan.
27. Manajer Cron Lanjutan Pro
Plugin: Manajer Cron Lanjutan Pro
Kerentanan : Pelanggan+ Acara Sewenang-wenang/Pembuatan/Penghapusan Jadwal
Ditambal dalam Versi : 2.5.3
Skor Keparahan : Sedang
Kerentanan Plugin WordPress: Tidak Ada Perbaikan yang Diketahui
Di bagian ini, kerentanan plugin WordPress terbaru telah diungkapkan di plugin tertutup. Setiap daftar plugin mencakup jenis kerentanan, peringkat keparahan, dan tanggal penutupan.
28. Formulir Kontak 7 Skin
Plugin: Formulir Kontak 7 Skins
Kerentanan : Skrip Lintas Situs Tercermin (XSS)
Instalasi Aktif : 30,000+
Ditambal dalam Versi : Tidak ada perbaikan yang diketahui
Skor Keparahan : Sedang
29. WooRockets Nitro
Plugin: WooRockets Nitro
Kerentanan : Instalasi Plugin Sewenang-wenang yang Tidak Diautentikasi
Ditambal dalam Versi : Tidak ada perbaikan yang diketahui
Skor Keparahan : Kritis
30. Afiliasi Amazon
Plugin: Afiliasi Amazon
Kerentanan : Skrip Lintas Situs Tercermin
Ditambal dalam Versi : Tidak ada perbaikan yang diketahui
Skor Keparahan : Sedang
Cara Melindungi Situs WordPress Anda Dari Plugin dan Tema yang Rentan
Seperti yang Anda lihat dari laporan ini, banyak plugin WordPress baru dan kerentanan tema diungkapkan setiap minggu. Kami tahu mungkin sulit untuk tetap mengetahui setiap pengungkapan kerentanan yang dilaporkan, jadi plugin iThemes Security Pro memudahkan untuk memastikan situs Anda tidak menjalankan tema, plugin, atau versi inti WordPress dengan kerentanan yang diketahui.
1. Instal Plugin iThemes Security Pro
Plugin iThemes Security Pro memperkuat situs WordPress Anda dari cara paling umum yang digunakan untuk meretas situs web. Dengan 30+ cara untuk mengamankan situs Anda dalam satu plugin yang mudah digunakan.
2. Aktifkan Pemindaian Situs untuk Memeriksa Kerentanan yang Diketahui
Fitur Manajemen Versi di iThemes Security Pro terintegrasi dengan Pemindaian Situs untuk melindungi situs Anda. Tema, plugin, dan versi inti WordPress yang rentan akan diperbarui secara otomatis untuk Anda.
3. Aktifkan Deteksi Perubahan File
Kunci untuk mendeteksi pelanggaran keamanan dengan cepat adalah dengan memantau perubahan file di situs web Anda. Fitur Deteksi Perubahan File di iThemes Security Pro akan memindai file situs web Anda dan memberi tahu Anda bila terjadi perubahan pada situs web Anda.
Dapatkan iThemes Security Pro dengan Pemantauan Keamanan Situs Web 24/7
iThemes Security Pro, plugin keamanan WordPress kami, menawarkan 50+ cara untuk mengamankan dan melindungi situs web Anda dari kerentanan keamanan WordPress yang umum. Dengan WordPress, otentikasi dua faktor, perlindungan brute force, penegakan kata sandi yang kuat, dan banyak lagi, Anda dapat menambahkan lapisan keamanan ekstra ke situs web Anda.
