Raport podatności WordPressa: grudzień 2021, część 1

Podatne wtyczki i motywy są głównym powodem ataków na witryny WordPress. Cotygodniowy raport na temat luk w zabezpieczeniach WordPress obsługiwany przez WPScan obejmuje najnowsze wtyczki WordPress, motywy i podstawowe luki w zabezpieczeniach oraz co zrobić, jeśli uruchomisz jedną z wrażliwych wtyczek lub motywów w swojej witrynie.

Każda podatność będzie miała wskaźnik ważności Niski , Średni , Wysoki lub Krytyczny . Odpowiedzialne ujawnianie i zgłaszanie luk w zabezpieczeniach jest integralną częścią zapewniania bezpieczeństwa społeczności WordPressa.

Udostępnij ten post swoim znajomym, aby pomóc w rozpowszechnianiu informacji i uczynić WordPress bezpieczniejszym dla wszystkich.

W ujawnieniu bezpieczeństwa opublikowanym 21 listopada 2021 r. GoDaddy twierdzi, że do 1,2 miliona aktywnych i nieaktywnych klientów zostało ujawnionych po tym, jak hakerzy uzyskali dostęp do zarządzanej platformy hostingowej WordPress.

Napisaliśmy post, aby rozpakować kilka szczegółów niedawnego hacka GoDaddy, jego wpływu na klientów oraz naszych zaleceń, co zrobić, jeśli jesteś klientem hostingu WordPress w GoDaddy.

Najnowsza wersja rdzenia WordPressa to 5.8.2. W ramach najlepszej praktyki zawsze używaj najnowszej wersji rdzenia WordPressa!

W tej sekcji ujawniono najnowsze luki w zabezpieczeniach wtyczki WordPress. Każda lista wtyczek zawiera rodzaj luki, numer wersji, jeśli została ona załatana, oraz ocenę ważności.

1. Karuzela z logo

Wtyczka: karuzela logo
Luka w zabezpieczeniach : Przechowywane skrypty między witrynami Contributor+
Poprawione w wersji : 3.4.2
Wynik ważności : średni

Wtyczka: karuzela logo
Luka w zabezpieczeniach: nieautoryzowany dostęp do prywatnych wiadomości
Poprawione w wersji : 3.4.2
Wynik ważności : średni

2. Status zamówienia niestandardowego Ni WooCommerce

Wtyczka: Status zamówienia niestandardowego Ni WooCommerce
Luka w zabezpieczeniach : subskrybent + wstrzyknięcie SQL
Poprawione w wersji : 1.9.7
Wynik ważności : wysoki

3. WCFM

Wtyczka: WCFM
Luka : nieuwierzytelniony wstrzyknięcie SQL
Łatka w wersji : 3.4.12
Wynik ważności : wysoki

4. Formy Everestu

Wtyczka: formularze Everest
Luka w zabezpieczeniach: odbite skrypty między witrynami
Łatka w wersji : 1.8.0
Wynik ważności : średni

5. Statystyki odwiedzających WP (Ruch w czasie rzeczywistym)

Wtyczka: statystyki odwiedzin WP (ruch w czasie rzeczywistym)
Luka w zabezpieczeniach : subskrybent + wstrzyknięcie SQL
Poprawione w wersji : 4.8
Wynik ważności : wysoki

6. Darowizny Kudo

Wtyczka: Darowizny Kudo
Luka w zabezpieczeniach: usuwanie elementów arbitralnych za pośrednictwem CSRF
Poprawione w wersji : 3.1.2
Wynik ważności : wysoki

7. Icegram

Wtyczka: Icegram
Luka w zabezpieczeniach: odbite skrypty między witrynami
Poprawione w wersji : 2.0.5
Wynik ważności : średni

8. Blog2Społeczności

Wtyczka: Blog2Społeczności
Luka w zabezpieczeniach: odbite skrypty między witrynami
Poprawione w wersji : 6.8.7
Wynik ważności : wysoki

9. Płatne członkostwo Pro

Wtyczka: Płatne członkostwo Pro
Luka w zabezpieczeniach: odbite skrypty między witrynami
Łatka w wersji : 2.6.6
Wynik ważności : wysoki

10. Edytor ról użytkownika WPFront

Wtyczka: Edytor ról użytkownika WPFront
Luka w zabezpieczeniach: odbite skrypty między witrynami
Łatka w wersji : 3.2.1.11184
Wynik ważności : średni

11. Tickera

Wtyczka: Tickera
Luka w zabezpieczeniach: nieuwierzytelnione zapisane skrypty między witrynami
Łatka w wersji : 3.4.8.3
Wynik ważności : wysoki

12. WP Gupik

Wtyczka: WP Gupik
Luka w zabezpieczeniach: ujawnianie informacji wrażliwych
Poprawione w wersji : 1.3
Wynik ważności : wysoki

13. Proste logowanie do JWT

Wtyczka: Proste logowanie do JWT
Luka w zabezpieczeniach: tworzenie niezabezpieczonego hasła
Poprawione w wersji : 3.3.0
Wynik ciężkości : niski

14. moje CRED

Wtyczka: myCRED
Luka w zabezpieczeniach: odbite skrypty między witrynami
Poprawione w wersji : 1.7.8
Wynik ważności : wysoki

15. Ukryj mój WP

Wtyczka: Ukryj mój WP
Luka w zabezpieczeniach: dezaktywacja nieuwierzytelnionej wtyczki
Poprawiony w wersji : 6.2.4
Wynik ważności : średni

Wtyczka: Ukryj mój WP
Luka : nieuwierzytelniony wstrzyknięcie SQL
Poprawiony w wersji : 6.2.4
Wynik ważności : wysoki

16. Niesamowite wsparcie – WordPress HelpDesk i wtyczka wsparcia

Wtyczka: Niesamowite wsparcie – WordPress HelpDesk i wtyczka wsparcia
Luka w zabezpieczeniach: odbite skrypty między witrynami
Łatka w wersji : 6.0.7
Wynik ważności : wysoki

17. Wyświetl metadane postu

Wtyczka: Wyświetlaj metadane postu
Luka w zabezpieczeniach : Przechowywane skrypty między witrynami Contributor+
Łatka w wersji : 1.5.0
Wynik ważności : średni

18. Pływająca ikona mediów społecznościowych

Wtyczka: pływająca ikona mediów społecznościowych
Luka w zabezpieczeniach: Admin+ Stored Cross-Site Scripting
Poprawiona w wersji : Brak znanej poprawki – wtyczka zamknięta
Wynik ciężkości : niski

19. Księga Gości Gwolle

Wtyczka: Księga Gości Gwolle
Luka w zabezpieczeniach: odbite skrypty między witrynami
Łatka w wersji : 4.2.0
Wynik ważności : średni

Jak widać z tego raportu, co tydzień ujawnianych jest wiele nowych wtyczek WordPress i luk w motywach. Wiemy, że śledzenie każdego zgłoszonego ujawnienia luk w zabezpieczeniach może być trudne, więc wtyczka iThemes Security Pro ułatwia upewnienie się, że w Twojej witrynie nie jest uruchomiony motyw, wtyczka lub główna wersja WordPress ze znaną luką.

Uzyskaj iThemes Security Pro z całodobowym monitorowaniem bezpieczeństwa witryn

iThemes Security Pro, nasza wtyczka bezpieczeństwa WordPress, oferuje ponad 50 sposobów zabezpieczenia i ochrony Twojej witryny przed typowymi lukami w zabezpieczeniach WordPress. Dzięki WordPress, uwierzytelnianiu dwuskładnikowemu, ochronie przed brutalną siłą, silnemu egzekwowaniu haseł i nie tylko, możesz dodać dodatkowe warstwy bezpieczeństwa do swojej witryny.

Uzyskaj iThemes Security Pro