Laporan Kerentanan WordPress: November 2021, Bagian 4

Diterbitkan: 2021-11-25

Plugin dan tema yang rentan adalah alasan #1 mengapa situs web WordPress diretas. Laporan Kerentanan WordPress mingguan yang didukung oleh WPScan mencakup plugin, tema, dan kerentanan inti WordPress terbaru, dan apa yang harus dilakukan jika Anda menjalankan salah satu plugin atau tema yang rentan di situs web Anda.

Setiap kerentanan akan memiliki tingkat keparahan Rendah , Sedang , Tinggi , atau Kritis . Pengungkapan dan pelaporan kerentanan yang bertanggung jawab merupakan bagian integral dari menjaga keamanan komunitas WordPress.

Silakan bagikan posting ini dengan teman-teman Anda untuk membantu menyebarkan berita dan membuat WordPress lebih aman untuk semua orang.

Ingin laporan ini dikirim ke kotak masuk Anda setiap minggu?
Berlangganan email mingguan

Hosting WordPress: GoDaddy Diretas

Dalam pengungkapan keamanan yang diterbitkan pada 21 November 2021, GoDaddy mengatakan bahwa hingga 1,2 juta pelanggan aktif dan tidak aktif telah terpapar setelah peretas memperoleh akses ke platform hosting WordPress yang dikelolanya.

Kami menulis posting untuk membongkar beberapa detail peretasan GoDaddy baru-baru ini, pengaruhnya terhadap pelanggan, dan rekomendasi kami tentang apa yang harus dilakukan jika Anda adalah pelanggan hosting WordPress di GoDaddy.

Baca postingannya

Kerentanan Inti WordPress

Versi terbaru dari inti WordPress adalah 5.8.2. Sebagai praktik terbaik, selalu pastikan untuk menjalankan inti WordPress versi terbaru!

Kerentanan Plugin WordPress

Di bagian ini, kerentanan plugin WordPress terbaru telah diungkapkan. Setiap daftar plugin menyertakan jenis kerentanan, nomor versi jika ditambal, dan peringkat keparahan.

1. Pixel Cat Lite

Plugin: Pixel Cat Lite
Kerentanan : Admin+ Skrip Lintas Situs Tersimpan
Ditambal dalam Versi : 2.6.3
Skor Keparahan : Rendah

Kerentanan telah ditambal, jadi Anda harus memperbarui ke versi 2.6.3.

Plugin: Pixel Cat Lite
Kerentanan : CSRF ke Skrip Lintas Situs Tersimpan
Ditambal dalam Versi : 2.6.2
Skor Keparahan : Tinggi

Kerentanan telah ditambal, jadi Anda harus memperbarui ke versi 2.6.2.

2. Galeri Lengkap

Plugin: All-In-One-Gallery
Kerentanan : Admin+ Penyertaan File Lokal
Ditambal dalam Versi : 2.5.0
Skor Keparahan : Rendah

Kerentanan telah ditambal, jadi Anda harus memperbarui ke versi 2.5.0.

3. StopBadBots

Plugin: StopBadBots
Kerentanan : Skrip Lintas Situs Tercermin
Ditambal dalam Versi : 6.67
Skor Keparahan : Kritis

Kerentanan telah ditambal, jadi Anda harus memperbarui ke versi 6.67.

4. Login Sementara Tanpa Kata Sandi

Plugin: Login Sementara Tanpa Kata Sandi
Kerentanan : Pembaruan Pengaturan Pelanggan+ Plugin
Ditambal dalam Versi : 1.7.1
Skor Keparahan : Sedang

Kerentanan telah ditambal, jadi Anda harus memperbarui ke versi 1.7.1.

5. ProfilTekan

Plugin: ProfilePress
Kerentanan : Skrip Lintas Situs Tercermin
Ditambal dalam Versi : 3.2.3
Skor Keparahan : Sedang

Kerentanan telah ditambal, jadi Anda harus memperbarui ke versi 3.2.3.

Plugin: ProfilePress
Kerentanan : Skrip Lintas Situs Tercermin
Ditambal dalam Versi : 3.2.3
Skor Keparahan : Tinggi

Kerentanan telah ditambal, jadi Anda harus memperbarui ke versi 3.2.3.

6. Kalender Acara Modern

Plugin: Kalender Acara Modern
Kerentanan : Injeksi SQL Buta Tidak Diautentikasi
Ditambal dalam Versi : 6.1.5
Skor Keparahan : Tinggi

Kerentanan telah ditambal, jadi Anda harus memperbarui ke versi 6.1.5.

Plugin: Kalender Acara Modern
Kerentanan : Skrip Lintas Situs Tercermin
Ditambal dalam Versi : 6.1.5
Skor Keparahan : Tinggi

Kerentanan telah ditambal, jadi Anda harus memperbarui ke versi 6.1.5.

7. Gambar Unggulan Otomatis

Plugin: Gambar Unggulan Otomatis
Kerentanan : Skrip Lintas Situs Tercermin
Ditambal dalam Versi : 3.9.3
Skor Keparahan : Sedang

Kerentanan telah ditambal, jadi Anda harus memperbarui ke versi 3.9.3.

8. Ultimate NoFollow

Plugin: Ultimate NoFollow
Kerentanan : Kontributor+ Skrip Lintas Situs Tersimpan
Ditambal dalam Versi : Tidak ada perbaikan yang diketahui – plugin ditutup
Skor Keparahan : Sedang

Kerentanan ini BELUM ditambal. Plugin ini telah ditutup pada 28 September 2021. Copot pemasangan dan hapus.

9. NEX-Formulir

Plugin: NEX-Formulir
Kerentanan : Beberapa Admin + Skrip Lintas Situs Tersimpan
Ditambal dalam Versi : Tidak ada perbaikan yang diketahui – plugin ditutup
Skor Keparahan : Rendah

Kerentanan ini BELUM ditambal. Plugin ini telah ditutup pada 4 Oktober 2021. Copot pemasangan dan hapus.

10. Penguat SEO

Plugin: Penguat SEO
Kerentanan : Admin+ SQL Injection
Ditambal dalam Versi : Tidak ada perbaikan yang diketahui – plugin ditutup
Skor Keparahan : Sedang

Kerentanan ini BELUM ditambal. Plugin ini telah ditutup pada 5 Oktober 2021. Copot pemasangan dan hapus.

11. Log Sistem WP

Plugin: Log Sistem WP
Kerentanan : Skrip Lintas Situs Tersimpan Tidak Diautentikasi
Ditambal dalam Versi : 1.0.21
Skor Keparahan : Kritis

Kerentanan telah ditambal, jadi Anda harus memperbarui ke versi 1.0.21.

12. Rotator Kutipan Inspirasional

Plugin: Rotator Kutipan Inspirasional
Kerentanan : Admin+ Skrip Lintas Situs Tersimpan
Ditambal dalam Versi : Tidak ada perbaikan yang diketahui – plugin ditutup
Skor Keparahan : Rendah

Kerentanan ini BELUM ditambal. Plugin ini telah ditutup pada 23 September 2021. Copot pemasangan dan hapus.

13. Eksportir Pos Tunggal

Plugin: Eksportir Pos Tunggal
Kerentanan : Pembaruan Pengaturan Plugin melalui CSRF
Ditambal dalam Versi : Tidak ada perbaikan yang diketahui – plugin ditutup
Skor Keparahan : Sedang

Kerentanan ini BELUM ditambal. Plugin ini telah ditutup pada 23 September 2021. Copot pemasangan dan hapus.

14. Font Lokal Fleksibel

Plugin: Font Lokal Flex
Kerentanan : Admin+ Skrip Lintas Situs Tersimpan
Ditambal dalam Versi : Tidak ada perbaikan yang diketahui – plugin ditutup
Skor Keparahan : Rendah

Kerentanan ini BELUM ditambal. Plugin ini telah ditutup pada 23 September 2021. Copot pemasangan dan hapus.

15. Pengubah Logo Admin WP

Plugin: Pengubah Logo Admin WP
Kerentanan : Pembaruan Pengaturan Plugin melalui CSRF
Ditambal dalam Versi : Tidak ada perbaikan yang diketahui – plugin ditutup
Skor Keparahan : Sedang

Kerentanan ini BELUM ditambal. Plugin ini telah ditutup pada 4 Oktober 2021. Copot pemasangan dan hapus.

16. Database Tingkat Lanjut Formulir Kontak

Plugin: Database Tingkat Lanjut Formulir Kontak
Kerentanan : Panggilan AJAX Tidak Sah
Ditambal dalam Versi : Tidak ada perbaikan yang diketahui
Skor Keparahan : Sedang

Plugin ini telah ditutup pada 27 September 2021 dan tidak tersedia untuk diunduh. Penutupan ini bersifat sementara, menunggu tinjauan lengkap. Kami menyarankan Anda mencopot dan menghapus hingga perbaikan ditemukan.

17. Tombol Mengkilap

Plugin: Tombol Mengkilap
Kerentanan : Skrip Lintas Situs Tersimpan Tidak Diautentikasi
Ditambal dalam Versi : Tidak ada perbaikan yang diketahui
Skor Keparahan : Tinggi

Plugin ini telah ditutup pada 27 September 2021 dan tidak tersedia untuk diunduh. Penutupan ini bersifat sementara, menunggu tinjauan lengkap. Kami menyarankan Anda mencopot dan menghapus hingga perbaikan ditemukan.

18. Filter Galeri Portofolio

Plugin: Filter Galeri Portofolio
Kerentanan : Penghapusan Galeri Sewenang-wenang melalui CSRF
Ditambal dalam Versi : Tidak ada perbaikan yang diketahui
Skor Keparahan : Sedang

Plugin ini telah ditutup pada 27 September 2021 dan tidak tersedia untuk diunduh. Penutupan ini bersifat sementara, menunggu tinjauan lengkap. Kami menyarankan Anda mencopot dan menghapus hingga perbaikan ditemukan.

19. Batas WP

Plugin: Batas WP
Kerentanan : Pembaruan Pengaturan Plugin melalui CSRF
Ditambal dalam Versi : Tidak ada perbaikan yang diketahui
Skor Keparahan : Sedang

Plugin ini telah ditutup pada 4 Oktober 2021 dan tidak tersedia untuk diunduh. Penutupan ini bersifat sementara, menunggu tinjauan lengkap. Kami menyarankan Anda mencopot dan menghapus hingga perbaikan ditemukan.

20. Kode Pendek Konten Halaman/Posting

Plugin: Kode Pendek Konten Halaman/Pos
Kerentanan : Kontributor+ Akses Posting/Halaman Sewenang-wenang
Ditambal dalam Versi : Tidak ada perbaikan yang diketahui
Skor Keparahan : Sedang

Plugin ini telah ditutup pada 4 Oktober 2021 dan tidak tersedia untuk diunduh. Penutupan ini bersifat sementara, menunggu tinjauan lengkap. Kami menyarankan Anda mencopot dan menghapus hingga perbaikan ditemukan.

21. Peningkatan Sertakan Halaman

Plugin: Peningkatan Sertakan Halaman
Kerentanan : Kontributor+ Akses Posting/Halaman Sewenang-wenang
Ditambal dalam Versi : Tidak ada perbaikan yang diketahui
Skor Keparahan : Sedang

Plugin ini telah ditutup pada 8 Oktober 2021 dan tidak tersedia untuk diunduh. Penutupan ini bersifat sementara, menunggu tinjauan lengkap. Kami menyarankan Anda mencopot dan menghapus hingga perbaikan ditemukan.

22. Mediamatik

Plugin: Mediamatic
Kerentanan : Pelanggan+ Injeksi SQL
Ditambal dalam Versi : Tidak ada perbaikan yang diketahui
Skor Keparahan : Tinggi

Plugin ini telah ditutup pada 11 Oktober 2021 dan tidak tersedia untuk diunduh. Penutupan ini bersifat sementara, menunggu tinjauan lengkap. Kami menyarankan Anda mencopot dan menghapus hingga perbaikan ditemukan.

23. Menampilkan Metadata Posting

Plugin: Tampilkan Metadata Posting
Kerentanan : Kontributor+ Skrip Lintas Situs Tersimpan
Ditambal dalam Versi : Tidak ada perbaikan yang diketahui
Skor Keparahan : Sedang

Plugin ini telah ditutup pada 21 Oktober 2021 dan tidak tersedia untuk diunduh. Penutupan ini bersifat sementara, menunggu tinjauan lengkap. Kami menyarankan Anda mencopot dan menghapus hingga perbaikan ditemukan.

24. Tautan ToTop

Plugin: Tautan ToTop
Kerentanan : Injeksi Objek PHP Tidak Diautentikasi
Ditambal dalam Versi : Tidak ada perbaikan yang diketahui
Skor Keparahan : Sedang

Plugin ini telah ditutup pada 21 Oktober 2021 dan tidak tersedia untuk diunduh. Penutupan ini bersifat sementara, menunggu tinjauan lengkap. Kami menyarankan Anda mencopot dan menghapus hingga perbaikan ditemukan.

25. Shortcode Meta Pengguna

Plugin: Kode Pendek Meta Pengguna
Kerentanan : Kontributor + Akses Metadata Pengguna Sewenang-wenang yang Tidak Sah
Ditambal dalam Versi : Tidak ada perbaikan yang diketahui
Skor Keparahan : Tinggi

Plugin ini telah ditutup pada 12 Oktober 2021 dan tidak tersedia untuk diunduh. Penutupan ini bersifat sementara, menunggu tinjauan lengkap. Kami menyarankan Anda mencopot dan menghapus hingga perbaikan ditemukan.

26. Koleksi Kutipan

Plugin: Koleksi Kutipan
Kerentanan : Admin+ SQL Injection
Ditambal dalam Versi : Tidak ada perbaikan yang diketahui
Skor Keparahan : Sedang

Plugin ini telah ditutup pada 13 Oktober 2021 dan tidak tersedia untuk diunduh. Penutupan ini bersifat sementara, menunggu tinjauan lengkap. Kami menyarankan Anda mencopot dan menghapus hingga perbaikan ditemukan.

27. Pemberitahuan Push untuk WordPress (Lite)

Plugin: Pemberitahuan Push untuk WordPress (Lite)
Kerentanan : Pembaruan Pengaturan melalui CSRF
Ditambal dalam Versi : 6.0.1
Skor Keparahan : Sedang

Kerentanan telah ditambal, jadi Anda harus memperbarui ke versi 6.0.1.

28. SportsPress

Plugin: SportsPress
Kerentanan : Skrip Lintas Situs Tercermin
Ditambal dalam Versi : 2.7.9
Skor Keparahan : Tinggi

Kerentanan telah ditambal, jadi Anda harus memperbarui ke versi 2.7.9.

29. Masuk/Daftar Popup

Plugin: Masuk/Daftar Popup
Kerentanan : Skrip Lintas Situs Tercermin
Ditambal dalam Versi : 2.2
Skor Keparahan : Tinggi

Kerentanan telah ditambal, jadi Anda harus memperbarui ke versi 2.2.

30. Pratinjau Email untuk WooCommerce

Plugin: Pratinjau Email untuk WooCommerce
Kerentanan : Skrip Lintas Situs Tercermin
Ditambal dalam Versi : 2.0.0
Skor Keparahan : Sedang

Kerentanan telah ditambal, jadi Anda harus memperbarui ke versi 3.0.0.5.

31. Tampilan Depan Pengguna WP

Plugin: WP User Frontend
Kerentanan : Keanggotaan, Profil, Registrasi & Posting Pengajuan Plugin untuk WordPress
Ditambal dalam Versi : 3.5.25
Skor Keparahan : Sedang

Kerentanan telah ditambal, jadi Anda harus memperbarui ke versi 3.5.25.

32. Direktur – Plugin Direktori Bisnis

Plugin: Directorist – Plugin Direktori Bisnis
Kerentanan : CSRF ke Pengunggahan File Jarak Jauh
Ditambal dalam Versi : 7.0.6.2
Skor Keparahan : Kritis

Kerentanan telah ditambal, jadi Anda harus memperbarui ke versi 7.0.6.2.

33. Formulir Pendaftaran Mudah

Plugin: Formulir Pendaftaran Mudah
Kerentanan : CSRF ke Skrip Lintas Situs Tersimpan
Ditambal dalam Versi : Tidak ada perbaikan yang diketahui
Skor Keparahan : Tinggi

Plugin ini telah ditutup pada 12 November 2021 dan tidak tersedia untuk diunduh. Penutupan ini bersifat sementara, menunggu tinjauan lengkap. Kami menyarankan Anda mencopot dan menghapus hingga perbaikan ditemukan.

34. Atur Ulang WP Pro

Plugin: WP Reset Pro
Kerentanan : Pelanggan+ Atur Ulang Basis Data
Ditambal dalam Versi : 5.99
Skor Keparahan : Kritis

Kerentanan telah ditambal, jadi Anda harus memperbarui ke versi 5.99.

Plugin: WP Reset Pro
Kerentanan : Reset Database melalui CSRF
Ditambal dalam Versi : 5.99
Skor Keparahan : Kritis

Kerentanan telah ditambal, jadi Anda harus memperbarui ke versi 5.99.

35. WordPress + Microsoft Office 365

Plugin: WordPress + Microsoft Office 365
Kerentanan : Skrip Lintas Situs Tersimpan Tidak Diautentikasi
Ditambal dalam Versi : 15.4
Skor Keparahan : Kritis

Kerentanan telah ditambal, jadi Anda harus memperbarui ke versi 15.4.

36. Duplikat Posting

Plugin: Duplikat Posting
Kerentanan : Injeksi SQL Terotentikasi
Ditambal dalam Versi : 1.2.0
Skor Keparahan : Sedang

Kerentanan telah ditambal, jadi Anda harus memperbarui ke versi 1.2.0.

37. Migrasi Cadangan

Plugin: Migrasi Cadangan
Kerentanan : Admin+ Skrip Lintas Situs Tersimpan
Ditambal dalam Versi : 1.1.6
Skor Keparahan : Sedang

Kerentanan telah ditambal, jadi Anda harus memperbarui ke versi 1.1.6.

Cara Melindungi Situs WordPress Anda Dari Plugin dan Tema yang Rentan

Seperti yang Anda lihat dari laporan ini, banyak plugin WordPress baru dan kerentanan tema diungkapkan setiap minggu. Kami tahu mungkin sulit untuk tetap mengetahui setiap pengungkapan kerentanan yang dilaporkan, jadi plugin iThemes Security Pro memudahkan untuk memastikan situs Anda tidak menjalankan tema, plugin, atau versi inti WordPress dengan kerentanan yang diketahui.

1. Instal Plugin iThemes Security Pro

Plugin iThemes Security Pro memperkuat situs WordPress Anda dari cara paling umum yang digunakan untuk meretas situs web. Dengan 30+ cara untuk mengamankan situs Anda dalam satu plugin yang mudah digunakan.

2. Aktifkan Pemindaian Situs untuk Memeriksa Kerentanan yang Diketahui

Fitur Manajemen Versi di iThemes Security Pro terintegrasi dengan Pemindaian Situs untuk melindungi situs Anda. Tema, plugin, dan versi inti WordPress yang rentan akan diperbarui secara otomatis untuk Anda.

3. Pantau Perubahan File

Kunci untuk mendeteksi pelanggaran keamanan dengan cepat adalah dengan memantau perubahan file di situs web Anda. Fitur Deteksi Perubahan File di iThemes Security Pro akan memindai file situs web Anda dan memberi tahu Anda bila terjadi perubahan pada situs web Anda.

Dapatkan iThemes Security Pro dengan Pemantauan Keamanan Situs Web 24/7

iThemes Security Pro, plugin keamanan WordPress kami, menawarkan 50+ cara untuk mengamankan dan melindungi situs web Anda dari kerentanan keamanan WordPress yang umum. Dengan WordPress, otentikasi dua faktor, perlindungan brute force, penegakan kata sandi yang kuat, dan banyak lagi, Anda dapat menambahkan lapisan keamanan ekstra ke situs web Anda.

  • Pemindai situs untuk kerentanan plugin dan tema
  • Deteksi perubahan file
  • Dasbor keamanan situs web waktu nyata
  • Log keamanan WordPress
  • Perangkat tepercaya
  • reCAPTCHA
  • Perlindungan kekerasan
  • Otentikasi dua faktor
  • Tautan masuk ajaib
  • Peningkatan hak istimewa
  • Pemeriksaan & penolakan kata sandi yang disusupi

Hemat 40% untuk iThemes Security Pro