Laporan Kerentanan WordPress: November 2021, Bagian 1

Diterbitkan: 2021-11-03

Plugin dan tema yang rentan adalah alasan #1 mengapa situs web WordPress diretas. Laporan Kerentanan WordPress mingguan yang didukung oleh WPScan mencakup plugin, tema, dan kerentanan inti WordPress terbaru, dan apa yang harus dilakukan jika Anda menjalankan salah satu plugin atau tema yang rentan di situs web Anda.

Setiap kerentanan akan memiliki tingkat keparahan Rendah , Sedang , Tinggi , atau Kritis . Pengungkapan dan pelaporan kerentanan yang bertanggung jawab merupakan bagian integral dari menjaga keamanan komunitas WordPress.

Silakan bagikan posting ini dengan teman-teman Anda untuk membantu menyebarkan berita dan membuat WordPress lebih aman untuk semua orang.

Ingin laporan ini dikirim ke kotak masuk Anda setiap minggu?
Berlangganan email mingguan

Kerentanan Inti WordPress

Versi terbaru dari inti WordPress adalah 5.8.1. Sebagai praktik terbaik, selalu pastikan untuk menjalankan inti WordPress versi terbaru!

Kerentanan Plugin WordPress

Di bagian ini, kerentanan plugin WordPress terbaru telah diungkapkan. Setiap daftar plugin menyertakan jenis kerentanan, nomor versi jika ditambal, dan peringkat keparahan.

1. Ulasan Plus

Plugin: Ulasan Plus
Kerentanan : Pelanggan+ Ulasan DoS
Ditambal dalam Versi : 1.2.14
Skor Keparahan : Rendah

Kerentanan telah ditambal, jadi Anda harus memperbarui ke versi 1.2.14.

2. Galeri Tampilan Slide

Plugin: Galeri Slideshow
Kerentanan : Admin+ Skrip Lintas Situs Tersimpan
Ditambal dalam Versi : 1.7.4
Skor Keparahan : Rendah

Kerentanan telah ditambal, jadi Anda harus memperbarui ke versi 1.7.4.

3. MainWP Anak

Plugin: MainWP Anak
Kerentanan : Admin+ SQL Injection
Ditambal dalam Versi : 4.1.8
Skor Keparahan : Sedang

Kerentanan telah ditambal, jadi Anda harus memperbarui ke versi 4.1.8.

4. Katalog Produk eCommerce untuk WordPress

Plugin: Katalog Produk eCommerce untuk WordPress
Kerentanan : Skrip Lintas Situs Tercermin
Ditambal dalam Versi : 3.0.39
Skor Keparahan : Tinggi

Kerentanan telah ditambal, jadi Anda harus memperbarui ke versi 3.0.39.

5. Falang multibahasa untuk WordPress

Plugin: Falang multibahasa untuk WordPress
Kerentanan : Skrip Lintas Situs Tercermin
Ditambal dalam Versi : 1.3.18
Skor Keparahan : Tinggi

Kerentanan telah ditambal, jadi Anda harus memperbarui ke versi 1.3.18.

6. Pengelola Pelajaran Video

Plugin: Pengelola Pelajaran Video
Kerentanan : Admin+ Skrip Lintas Situs Tersimpan
Ditambal dalam Versi : 1.7.2
Skor Keparahan : Rendah

Kerentanan telah ditambal, jadi Anda harus memperbarui ke versi 1.7.2.

7. Pemeriksaan Ejaan WP

Plugin: WP Pemeriksaan Ejaan
Kerentanan : Skrip Lintas Situs Tercermin
Ditambal dalam Versi : 9.3
Skor Keparahan : Tinggi

Kerentanan telah ditambal, jadi Anda harus memperbarui ke versi 9.3.

8. E-niaga – Otentikasi Dua Faktor

Plugin: E-niaga – Otentikasi Dua Faktor
Kerentanan : Skrip Lintas Situs Tercermin
Ditambal dalam Versi : 1.0.5
Skor Keparahan : Tinggi

Kerentanan telah ditambal, jadi Anda harus memperbarui ke versi 1.0.5.

9. Pemuat MAZ

Plugin: Pemuat MAZ
Kerentanan : Penghapusan Pemuat Sewenang-wenang melalui CSRF
Ditambal dalam Versi : Tidak ada perbaikan yang diketahui
Skor Keparahan : Tinggi

Kerentanan ini BELUM ditambal. Copot pemasangan dan hapus plugin hingga patch dirilis.

10. Gerbang Usia

Plugin: Gerbang Usia
Kerentanan : Pengaturan Impor Tidak Diautentikasi
Ditambal dalam Versi : 2.17.1
Skor Keparahan : Kritis

Kerentanan telah ditambal, jadi Anda harus memperbarui ke versi 2.17.1.

11. Duplikat Posting

Plugin: Duplikat Posting
Kerentanan : Injeksi SQL Terotentikasi
Ditambal dalam Versi : 1.2.0
Skor Keparahan : Sedang

Kerentanan telah ditambal, jadi Anda harus memperbarui ke versi 1.2.0.

12. Pemberitahuan

Plugin: Pemberitahuan
Kerentanan : Admin+ Skrip Lintas Situs Tersimpan
Ditambal dalam Versi : 8.0.0
Skor Keparahan : Rendah

Kerentanan telah ditambal, jadi Anda harus memperbarui ke versi 8.0.0.

13. Direktori Bisnis Koneksi

Plugin: Direktori Bisnis Koneksi
Kerentanan : Admin+ Injeksi CSV
Ditambal dalam Versi : 9.7
Skor Keparahan : Sedang

Kerentanan telah ditambal, jadi Anda harus memperbarui ke versi 9.7.

14. Media-Tag

Plugin: Media-Tag
Kerentanan : Admin+ Skrip Lintas Situs Tersimpan
Ditambal dalam Versi : Tidak ada perbaikan yang diketahui – plugin ditutup
Skor Keparahan : Rendah

Kerentanan ini BELUM ditambal. Plugin ini telah ditutup pada 28 September 2021. Copot pemasangan dan hapus.

15. Tentang Kotak Penulis

Plugin: Tentang Kotak Penulis
Kerentanan : Kontributor+ Skrip Lintas Situs Tersimpan
Ditambal dalam Versi : 1.0.2
Skor Keparahan : Sedang

Kerentanan telah ditambal, jadi Anda harus memperbarui ke versi 1.0.2.

16. Langganan & Keanggotaan untuk PayPal

Plugin: Langganan & Keanggotaan untuk PayPal
Kerentanan : Skrip Lintas Situs Tercermin melalui Parameter halaman
Ditambal dalam Versi : 1.1.3
Skor Keparahan : Tinggi

Kerentanan telah ditambal, jadi Anda harus memperbarui ke versi 1.1.3.

17. Terima Donasi dengan PayPal

Plugin: Terima Donasi dengan PayPal
Kerentanan : Skrip Lintas Situs Tercermin melalui Parameter halaman
Ditambal dalam Versi : 1.3.1
Skor Keparahan : Tinggi

Kerentanan telah ditambal, jadi Anda harus memperbarui ke versi 1.3.1.

18. Acara PayPal Mudah

Plugin: Acara PayPal Mudah
Kerentanan : Skrip Lintas Situs Tercermin melalui Parameter halaman
Ditambal dalam Versi : 1.1.2
Skor Keparahan : Tinggi

Kerentanan telah ditambal, jadi Anda harus memperbarui ke versi 1.1.2.

19. Munculkan Apa Pun

Plugin: Munculkan Apa Pun
Kerentanan : Kontributor+ Skrip Lintas Situs Tersimpan
Ditambal dalam Versi : 2.0.4
Skor Keparahan : Tinggi

Kerentanan telah ditambal, jadi Anda harus memperbarui ke versi 2.0.4.

20. Manajer Pekerjaan JS

Plugin: Manajer Pekerjaan JS
Kerentanan : Instalasi/Aktivasi Plugin Sewenang-wenang yang Tidak Diautentikasi
Ditambal dalam Versi : 1.1.9
Skor Keparahan : Kritis

Kerentanan telah ditambal, jadi Anda harus memperbarui ke versi 1.1.9.

21. Perubahan Datetime Massal

Plugin: Perubahan Datetime Massal
Kerentanan : Otorisasi Tidak Ada
Ditambal dalam Versi : 1.12
Skor Keparahan : Sedang

Kerentanan telah ditambal, jadi Anda harus memperbarui ke versi 1.12.

22. Bentuk Ninja

Plugin: Bentuk Ninja
Kerentanan : Admin+ SQL Injection
Ditambal dalam Versi : 3.6.4
Skor Keparahan : Sedang

Kerentanan telah ditambal, jadi Anda harus memperbarui ke versi 3.6.4.

23. Ekspor Lampiran WP

Plugin: Ekspor Lampiran WP
Kerentanan : Unduhan Postingan yang Tidak Diautentikasi
Ditambal dalam Versi : 0.2.4
Skor Keparahan : Tinggi

Kerentanan telah ditambal, jadi Anda harus memperbarui ke versi 0.2.4.

24. Penggeser teks konten di pos

Plugin: Penggeser teks konten di pos
Kerentanan : Skrip Lintas Situs Tersimpan Terautentikasi (XSS)
Ditambal dalam Versi : 6.9
Skor Keparahan : Sedang

Kerentanan telah ditambal, jadi Anda harus memperbarui ke versi 6.9.

25. Importir Demo HashThemes

Plugin: Importir Demo HashThemes
Kerentanan : Kontrol Akses yang Tidak Tepat ke Reset Blog
Ditambal dalam Versi : 1.1.2
Skor Keparahan : Kritis

Kerentanan telah ditambal, jadi Anda harus memperbarui ke versi 1.1.2.

26. Pendaftaran untuk Kalender Acara

Plugin: Pendaftaran untuk Kalender Acara
Kerentanan : Skrip Lintas Situs Tercermin
Ditambal dalam Versi : 2.7.5
Skor Keparahan : Tinggi

Kerentanan telah ditambal, jadi Anda harus memperbarui ke versi 2.7.5.

27. Papan Mang WP

Plugin: Mang Board WP
Kerentanan : Injeksi SQL
Ditambal dalam Versi : 1.6.9
Skor Keparahan : Tinggi

Kerentanan telah ditambal, jadi Anda harus memperbarui ke versi 1.6.9.

28. OptinMonster

Plugin: OptinMonster
Kerentanan : Titik Akhir REST-API Tidak Terlindungi
Ditambal dalam Versi : 2.6.5
Skor Keparahan : Tinggi

Kerentanan telah ditambal, jadi Anda harus memperbarui ke versi 2.6.5.

29. Skrip Berikutnya: Poster Otomatis Jejaring Sosial

Plugin: NextScripts: Poster Otomatis Jejaring Sosial
Kerentanan : Skrip Lintas Situs Tercermin
Ditambal dalam Versi : 4.3.21
Skor Keparahan : Tinggi

Kerentanan telah ditambal, jadi Anda harus memperbarui ke versi 4.3.21.

30. Umpan Pos Sosial Smash Balloon

Plugin: Smash Balloon Social Post Feed
Kerentanan : Pembaruan Pengaturan Plugin Sewenang-wenang + Pelanggan ke XSS yang Disimpan
Ditambal dalam Versi : 4.0.1
Skor Keparahan : Tinggi

Kerentanan telah ditambal, jadi Anda harus memperbarui ke versi 4.0.1.

31. WP-Pro-Kuis

Plugin: WP-Pro-Kuis
Kerentanan : Penghapusan Kuis Sewenang-wenang melalui CSRF
Ditambal dalam Versi : Tidak ada perbaikan yang diketahui – plugin ditutup
Skor Keparahan : Sedang

Kerentanan ini BELUM ditambal. Plugin ini telah ditutup pada 17 Juli 2020. Copot pemasangan dan hapus.

32. Formulir Kontak oleh Supsystic

Plugin: Formulir Kontak oleh Supsystic
Kerentanan : Admin+ Skrip Lintas Situs Tersimpan
Ditambal dalam Versi : tidak ada perbaikan yang diketahui
Skor Keparahan : Rendah

Kerentanan ini BELUM ditambal. Copot pemasangan dan hapus plugin hingga patch dirilis.

33. WP-Statistik

Plugin: WP-Stats
Kerentanan : CSRF ke Stored Cross-Site Scripting (XSS)
Ditambal dalam Versi : 2.52
Skor Keparahan : Tinggi

Plugin ini belum diuji dengan 3 rilis utama WordPress terbaru. Ini mungkin tidak lagi dipertahankan atau didukung dan mungkin memiliki masalah kompatibilitas saat digunakan dengan versi WordPress yang lebih baru.
Kerentanan ini BELUM ditambal. Copot pemasangan dan hapus plugin hingga patch dirilis.

Cara Melindungi Situs WordPress Anda Dari Plugin dan Tema yang Rentan

Seperti yang Anda lihat dari laporan ini, banyak plugin WordPress baru dan kerentanan tema diungkapkan setiap minggu. Kami tahu mungkin sulit untuk tetap mengetahui setiap pengungkapan kerentanan yang dilaporkan, jadi plugin iThemes Security Pro memudahkan untuk memastikan situs Anda tidak menjalankan tema, plugin, atau versi inti WordPress dengan kerentanan yang diketahui.

1. Instal Plugin iThemes Security Pro

Plugin iThemes Security Pro memperkuat situs WordPress Anda dari cara paling umum yang digunakan untuk meretas situs web. Dengan 30+ cara untuk mengamankan situs Anda dalam satu plugin yang mudah digunakan.

2. Aktifkan Pemindaian Situs untuk Memeriksa Kerentanan yang Diketahui

Fitur Manajemen Versi di iThemes Security Pro terintegrasi dengan Pemindaian Situs untuk melindungi situs Anda. Tema, plugin, dan versi inti WordPress yang rentan akan diperbarui secara otomatis untuk Anda.

3. Pantau Perubahan File

Kunci untuk mendeteksi pelanggaran keamanan dengan cepat adalah dengan memantau perubahan file di situs web Anda. Fitur Deteksi Perubahan File di iThemes Security Pro akan memindai file situs web Anda dan memberi tahu Anda bila terjadi perubahan pada situs web Anda.

Dapatkan iThemes Security Pro dengan Pemantauan Situs Web 24/7

iThemes Security Pro, plugin keamanan WordPress kami, menawarkan 50+ cara untuk mengamankan dan melindungi situs web Anda dari kerentanan keamanan WordPress yang umum. Dengan WordPress, otentikasi dua faktor, perlindungan brute force, penegakan kata sandi yang kuat, dan banyak lagi, Anda dapat menambahkan lapisan keamanan ekstra ke situs web Anda.

  • Pemindai situs untuk kerentanan plugin dan tema
  • Deteksi perubahan file
  • Dasbor keamanan situs web waktu nyata
  • Log keamanan WordPress
  • Perangkat tepercaya
  • reCAPTCHA
  • Perlindungan kekerasan
  • Otentikasi dua faktor
  • Tautan masuk ajaib
  • Peningkatan hak istimewa
  • Pemeriksaan & penolakan kata sandi yang disusupi

Dapatkan iThemes Keamanan Pro