Raport podatności WordPressa: grudzień 2021, część 2

Opublikowany: 2021-12-15

Podatne wtyczki i motywy są głównym powodem ataków na witryny WordPress. Cotygodniowy raport na temat luk w zabezpieczeniach WordPress obsługiwany przez WPScan obejmuje najnowsze wtyczki WordPress, motywy i podstawowe luki w zabezpieczeniach oraz co zrobić, jeśli uruchomisz jedną z wrażliwych wtyczek lub motywów w swojej witrynie.

Każda podatność będzie miała wskaźnik ważności Niski , Średni , Wysoki lub Krytyczny . Odpowiedzialne ujawnianie i zgłaszanie luk w zabezpieczeniach jest integralną częścią zapewniania bezpieczeństwa społeczności WordPressa.

Udostępnij ten post swoim znajomym, aby pomóc w rozpowszechnianiu informacji i uczynić WordPress bezpieczniejszym dla wszystkich.

Chcesz co tydzień dostarczać ten raport do Twojej skrzynki odbiorczej?

Zapisz się do cotygodniowego e-maila

Wiadomości WordPress: Wyciek danych Gravatara

W tym tygodniu Gravatar, globalna usługa dla unikalnych awatarów, została naruszona – chociaż Gravatar zapewnia, że nie doszło do włamania.

Witam wszystkich, chcielibyśmy potwierdzić, że Gravatar nie został zhakowany i żadne protokoły bezpieczeństwa nie zostały naruszone – aby uzyskać więcej informacji, odwiedź: https://t.co/hhIQQ5WWKt
— Gravatar.com (@gravatar) 7 grudnia 2021 r.

Dane zostały zeskrobane, co nie stanowi naruszenia, ponieważ hasła i inne prywatne informacje nie zostały zabrane. Zamiast tego zebrano publicznie dostępne informacje w sposób, który zwykle nie jest łatwy do uzyskania. Teoretycznie ktoś musiałby znać nazwę użytkownika Gravatara, aby uzyskać dostęp do adresu e-mail tego użytkownika. Skrobanie umożliwiło atakującemu jednoczesne pobranie nazw użytkowników i e-maili.

Główne luki w WordPressie

Najnowsza wersja rdzenia WordPressa to 5.8.2. W ramach najlepszej praktyki zawsze używaj najnowszej wersji rdzenia WordPressa!

Luki w zabezpieczeniach wtyczki WordPress

W tej sekcji ujawniono najnowsze luki w zabezpieczeniach wtyczki WordPress. Każda lista wtyczek zawiera rodzaj luki, numer wersji, jeśli została ona załatana, oraz ocenę ważności.

1. Menedżer wydarzeń

Wtyczka: Menedżer wydarzeń
Luka w zabezpieczeniach: Admin + wstrzyknięcie SQL
Poprawione w wersji : 5.9.8
Wynik ważności : średni

Luka została załatana, więc powinieneś zaktualizować ją do wersji 5.9.8.

Wtyczka: Menedżer wydarzeń
Luka w zabezpieczeniach: skrypty między witrynami (XSS)
Poprawione w wersji : 5.9.8
Wynik ciężkości : niski

Luka została załatana, więc powinieneś zaktualizować ją do wersji 5.9.8.

2. Bogate recenzje rozgwiazdy

Wtyczka: Bogate recenzje Starfish
Luka w zabezpieczeniach: Admin + wstrzyknięcie SQL
Łatka w wersji : 1.9.6
Wynik ważności : średni

Luka została załatana, więc powinieneś zaktualizować ją do wersji 1.9.6.

3. Typbot

Wtyczka: Typebot
Luka w zabezpieczeniach: Admin+ Stored Cross Site Scripting
Poprawione w wersji : 1.4.3
Wynik ciężkości : niski

Luka została załatana, więc powinieneś zaktualizować ją do wersji 1.4.3.

4. Formularz kontaktowy i kreator formularzy kontaktowych Elementor

Wtyczka: Formularz kontaktowy i kreator formularzy kontaktowych Elementor
Luka w zabezpieczeniach: nieuwierzytelnione zapisane skrypty między witrynami
Łatka w wersji : 1.6.4
Wynik ważności : wysoki

Luka została załatana, więc powinieneś zaktualizować ją do wersji 1.6.4.

5. Menedżer pobierania

Wtyczka: Menedżer pobierania
Luka w zabezpieczeniach: subskrybent + przechowywane skrypty między witrynami
Łatka w wersji : 3.2.22
Wynik ważności : wysoki

Luka została załatana, więc powinieneś zaktualizować ją do wersji 3.2.22.

6. Agregator RSS WP

Wtyczka: Subskrybent+ Stored Cross-Site Scripting
Luka w zabezpieczeniach: Admin + wstrzyknięcie SQL
Łatka w wersji : 4.19.3
Wynik ważności : wysoki

Luka została załatana, więc powinieneś zaktualizować ją do wersji 4.19.3.

7. Buttonizer – inteligentny pływający przycisk akcji

Wtyczka: Buttonizer – inteligentny pływający przycisk akcji
Luka w zabezpieczeniach: Admin+ Stored Cross-Site Scripting
Poprawione w wersji : 2.5.5
Wynik ciężkości : niski

Luka została załatana, więc powinieneś zaktualizować ją do wersji 2.5.5.

8. Rejestrowanie poczty WP

Wtyczka: Rejestrowanie poczty WP
Luka w zabezpieczeniach: nieaktualna platforma Redux
Poprawione w wersji : 1.10.0
Wynik ważności : średni

Luka została załatana, więc powinieneś zaktualizować ją do wersji 1.10.0.

9. Stetic

Wtyczka: Stetic
Luka w zabezpieczeniach : CSRF do przechowywanych skryptów między witrynami
Poprawiona w wersji : Brak znanej poprawki – wtyczka zamknięta
Wynik ważności : wysoki

Ta luka NIE została załatana. Ta wtyczka została zamknięta 20 listopada 2021 r. Odinstaluj i usuń.

10. Formularz kontaktowy z Captcha

Wtyczka: Formularz kontaktowy z Captcha
Luka w zabezpieczeniach : CSRF do przechowywanych skryptów między witrynami
Poprawiona w wersji : Brak znanej poprawki – wtyczka zamknięta
Wynik ważności : wysoki

Ta luka NIE została załatana. Ta wtyczka została zamknięta 26 listopada 2021 r. Odinstaluj i usuń.

11. Niesamowita pomoc

Wtyczka: niesamowite wsparcie
Luka w zabezpieczeniach: odbite skrypty między witrynami
Łatka w wersji : 6.0.7
Wynik ważności : wysoki

Luka została załatana, więc powinieneś zaktualizować ją do wersji 6.0.7.

12. Fora Asgaros

Wtyczka: Forum Asgaros
Luka w zabezpieczeniach: Admin+ Stored Cross-Site Scripting
Poprawione w wersji : 1.15.14
Wynik ciężkości : niski

Luka została załatana, więc powinieneś zaktualizować ją do wersji 1.15.14.

13. Pamięć podręczna LiteSpeed

Wtyczka: pamięć podręczna LiteSpeed
Luka w zabezpieczeniach: obejście sprawdzania adresu IP w przypadku nieuwierzytelnionego przechowywanego XSS
Poprawione w wersji : 4.4.4
Wynik ważności : wysoki

Luka została załatana, więc powinieneś zaktualizować ją do wersji 4.4.4.

Wtyczka: pamięć podręczna LiteSpeed
Luka w zabezpieczeniach: administrator + odbijane skrypty między witrynami
Poprawione w wersji : 4.4.4
Wynik ważności : wysoki

Luka została załatana, więc powinieneś zaktualizować ją do wersji 4.4.4.

14. Wideokonferencja z Zoom

Wtyczka: Wideokonferencja z Zoom
Luka w zabezpieczeniach: odbite skrypty między witrynami
Łatka w wersji : 3.8.16
Wynik ważności : wysoki

Luka została załatana, więc powinieneś zaktualizować ją do wersji 3.8.16.

15. Booster dla Woocommerce

Wtyczka: Booster dla Woocommerce
Luka w zabezpieczeniach: Odzwierciedlające skrypty między witrynami w module fakturowania PDF
Poprawione w wersji : 5.4.9
Wynik ważności : wysoki

Luka została załatana, więc powinieneś zaktualizować ją do wersji 5.4.9.

Wtyczka: Booster dla Woocommerce
Luka w zabezpieczeniach : Odzwierciedlenie skryptów między witrynami w module Ogólne
Poprawione w wersji : 5.4.9
Wynik ważności : wysoki

Luka została załatana, więc powinieneś zaktualizować ją do wersji 5.4.9.

Wtyczka: Booster dla Woocommerce
Luka : Odzwierciedlenie skryptów między witrynami w module kanałów XML produktu
Poprawione w wersji : 5.4.9
Wynik ważności : wysoki

Luka została załatana, więc powinieneś zaktualizować ją do wersji 5.4.9.

16. Pakiet przyspieszający prędkość

Wtyczka: Speed Booster Pack
Luka w zabezpieczeniach: Admin + wstrzyknięcie SQL
Poprawiona w wersji : 4.3.3.1
Wynik ważności : średni

Luka została załatana, więc powinieneś zaktualizować ją do wersji 4.3.3.1.

17. OMGF

Wtyczka: OMGF
Luka w zabezpieczeniach: Admin + arbitralne usuwanie folderu za pomocą przechodzenia ścieżki
Łatka w wersji : 4.5.12
Wynik ważności : średni

Luka została załatana, więc powinieneś zaktualizować ją do wersji 4.5.12.

18. CAOS

Wtyczka: CAOS
Luka w zabezpieczeniach: Admin + arbitralne usuwanie folderu za pomocą przechodzenia ścieżki
Poprawione w wersji : 4.1.9
Wynik ważności : średni

Luka została załatana, więc powinieneś zaktualizować ją do wersji 4.1.9.

19. Silnik podróżny WP

Wtyczka: Silnik podróżny WP
Luka w zabezpieczeniach: Editor+ Stored Cross-Site Scripting
Poprawione w wersji : 5.3.1
Wynik ciężkości : niski

Luka została załatana, więc powinieneś zaktualizować ją do wersji 5.3.1.

20. Pobierz Monitor

Wtyczka: Pobierz Monitor
Luka w zabezpieczeniach: Admin + wstrzyknięcie SQL
Łatka w wersji : 4.4.5
Wynik ważności : średni

Luka została załatana, więc powinieneś zaktualizować ją do wersji 4.4.5.

21. Kalkulator hipoteczny / Kalkulator pożyczki

Wtyczka: Kalkulator hipoteczny / Kalkulator pożyczki
Luka w zabezpieczeniach : Przechowywane skrypty między witrynami Contributor+
Poprawione w wersji : 1.5.17
Wynik ważności : średni

Luka została załatana, więc powinieneś zaktualizować ją do wersji 1.5.17.

22. Próbki wariacji dla WooCommerce

Wtyczka: Próbki odmian dla WooCommerce
Luka w zabezpieczeniach: subskrybent + przechowywane skrypty między witrynami
Poprawione w wersji : 2.1.2
Wynik ważności : wysoki

Luka została załatana, więc powinieneś zaktualizować ją do wersji 2.1.2.

23. Reklamy partnerskie ClickBank

Wtyczka: Reklamy partnerskie ClickBank
Luka w zabezpieczeniach : CSRF do przechowywanych skryptów między witrynami
Poprawiona w wersji : Brak znanej poprawki – wtyczka zamknięta
Wynik ważności : wysoki

Ta luka NIE została załatana. Ta wtyczka została zamknięta 1 grudnia 2021 r. Odinstaluj i usuń.

Wtyczka: Reklamy partnerskie ClickBank
Luka w zabezpieczeniach: Admin+ Stored Cross-Site Scripting
Poprawiona w wersji : Brak znanej poprawki – wtyczka zamknięta
Wynik ciężkości : niski

Ta luka NIE została załatana. Ta wtyczka została zamknięta 1 grudnia 2021 r. Odinstaluj i usuń.

24. Zaawansowane pola niestandardowe

Wtyczka: Zaawansowane pola niestandardowe
Luka w zabezpieczeniach: Subskrybent + arbitralne dane ACF/grupy pól Przenoszenie widoków i pól
Łatka w wersji : 5.11
Wynik ważności : średni

Luka została załatana, więc powinieneś zaktualizować ją do wersji 5.11.

25. Pieśń

Wtyczka: Canto
Podatność : Nieuwierzytelniony niewidomy SSRF
Poprawiona w wersji : brak znanej poprawki
Wynik ważności : średni

Ta luka NIE została załatana. Odinstaluj i usuń wtyczkę do czasu wydania poprawki.

26. Galeria All-In-One

Wtyczka: All-In-One-Galeria
Luka w zabezpieczeniach: włączenie administratora + plików lokalnych
Poprawione w wersji : 2.5.0
Wynik ciężkości : niski

Luka została załatana, więc powinieneś zaktualizować ją do wersji 2.5.0.

Jak chronić swoją witrynę WordPress przed podatnymi wtyczkami i motywami?

Jak widać z tego raportu, co tydzień ujawnianych jest wiele nowych wtyczek WordPress i luk w motywach. Wiemy, że śledzenie każdego zgłoszonego ujawnienia luk w zabezpieczeniach może być trudne, więc wtyczka iThemes Security Pro ułatwia upewnienie się, że w Twojej witrynie nie jest uruchomiony motyw, wtyczka lub główna wersja WordPress ze znaną luką.

1. Zainstaluj wtyczkę iThemes Security Pro

Wtyczka iThemes Security Pro chroni Twoją witrynę WordPress przed najczęstszymi sposobami hakowania witryn. Dzięki ponad 30 sposobom zabezpieczenia witryny w jednej, łatwej w użyciu wtyczce.

2. Włącz skanowanie witryny w celu sprawdzenia znanych luk

Funkcja zarządzania wersjami w iThemes Security Pro integruje się ze skanowaniem witryny, aby chronić Twoją witrynę. Podatne motywy, wtyczki i podstawowe wersje WordPress zostaną automatycznie zaktualizowane.

3. Aktywuj wykrywanie zmian plików

Kluczem do szybkiego wykrycia naruszenia bezpieczeństwa jest monitorowanie zmian w plikach w Twojej witrynie. Funkcja wykrywania zmian plików w iThemes Security Pro przeskanuje pliki Twojej witryny i powiadomi Cię, gdy nastąpią zmiany w Twojej witrynie.

Uzyskaj iThemes Security Pro z całodobowym monitorowaniem bezpieczeństwa witryn

iThemes Security Pro, nasza wtyczka bezpieczeństwa WordPress, oferuje ponad 50 sposobów zabezpieczenia i ochrony Twojej witryny przed typowymi lukami w zabezpieczeniach WordPress. Dzięki WordPress, uwierzytelnianiu dwuskładnikowemu, ochronie przed brutalną siłą, silnemu egzekwowaniu haseł i nie tylko, możesz dodać dodatkowe warstwy bezpieczeństwa do swojej witryny.

Skaner witryn pod kątem luk w zabezpieczeniach wtyczek i motywów
Wykrywanie zmiany pliku
Pulpit bezpieczeństwa witryny w czasie rzeczywistym
Dzienniki bezpieczeństwa WordPress
Zaufane urządzenia
reCAPTCHA
Ochrona przed brutalną siłą
Uwierzytelnianie dwuskładnikowe
Magiczne linki logowania
Eskalacja uprawnień
Sprawdzanie i odmowa złamanych haseł