Raport podatności WordPressa: grudzień 2021, część 3
Opublikowany: 2021-12-16Podatne wtyczki i motywy są głównym powodem ataków na witryny WordPress. Cotygodniowy raport na temat luk w zabezpieczeniach WordPress obsługiwany przez WPScan obejmuje najnowsze wtyczki WordPress, motywy i podstawowe luki w zabezpieczeniach oraz co zrobić, jeśli uruchomisz jedną z wrażliwych wtyczek lub motywów w swojej witrynie.
Każda podatność będzie miała wskaźnik ważności Niski , Średni , Wysoki lub Krytyczny . Odpowiedzialne ujawnianie i zgłaszanie luk w zabezpieczeniach jest integralną częścią zapewniania bezpieczeństwa społeczności WordPressa. Nowość w tym raporcie: luki są teraz wymienione w kolejności według liczby aktywnych instalacji, a nie daty ujawnienia.
Udostępnij ten post swoim znajomym, aby pomóc w rozpowszechnianiu informacji i uczynić WordPress bezpieczniejszym dla wszystkich.
Wiadomości WordPress
Ponieważ najbardziej ruchliwy czas zakupów online w roku trwa, cyberprzestępcy są zajęci próbami „hackowania planety”. Wordfence niedawno zgłosił ogromną falę ataków, których celem było 1,6 miliona witryn WordPress w ciągu zaledwie 36 godzin!
Wreszcie, BleepingComputer niedawno poinformował, że hakerzy instalują kod skimmera do losowych wtyczek. Aby zwiększyć bezpieczeństwo witryn handlu elektronicznego, zalecamy wymaganie uwierzytelniania dwuskładnikowego dla wszystkich administratorów, aktywowanie zaufanych urządzeń, wykrywanie zmian plików oraz regularne czytanie i przeglądanie dzienników bezpieczeństwa WordPress.
Główne luki w WordPressie
Najnowsza wersja rdzenia WordPressa to 5.8.2. W ramach najlepszej praktyki zawsze używaj najnowszej wersji rdzenia WordPressa!
Luki w zabezpieczeniach wtyczki WordPress
W tej sekcji ujawniono najnowsze luki w zabezpieczeniach wtyczki WordPress. Każda lista wtyczek zawiera rodzaj luki, numer wersji, jeśli została ona załatana, oraz ocenę ważności.
1. Elementor
Wtyczka: Elementor
Luka w zabezpieczeniach: DOM Cross-Site-Scripting
Aktywna instalacja : ponad 5 milionów
Poprawione w wersji : 3.4.8
Wynik ważności : wysoki
2. UpdraftPlus
Wtyczka: UpdraftPlus
Luka w zabezpieczeniach: odbite skrypty między witrynami
Aktywna instalacja : ponad 3 miliony
Łatka w wersji : 1.16.66
Wynik ważności : wysoki
3. Faktury PDF WooCommerce i dokumenty przewozowe
Wtyczka: WooCommerce Faktury PDF i dokumenty przewozowe
Luka w zabezpieczeniach: odbite skrypty między witrynami
Aktywna instalacja : 300 000+
Łatka w wersji : 2.10.5
Wynik ważności : wysoki
4. Możliwości PublishPress
Wtyczka: Możliwości PublishPress
Luka w zabezpieczeniach: aktualizacja nieuwierzytelnionych arbitralnych opcji dotyczących naruszenia bezpieczeństwa bloga
Aktywna instalacja : 100 000+
Poprawione w wersji : 2.3.1
Ocena ważności : krytyczna
Wtyczka: PublishPress Możliwości Pro
Luka w zabezpieczeniach: aktualizacja nieuwierzytelnionych arbitralnych opcji dotyczących naruszenia bezpieczeństwa bloga
Poprawione w wersji : 2.3.1
Ocena ważności : krytyczna
5. Chaty za darmo
Wtyczka: Chaty za darmo
Luka w zabezpieczeniach: odbite skrypty między witrynami
Aktywna instalacja : 100 000+
Łatka w wersji : 2.8.3
Wynik ważności : wysoki
Wtyczka: Chaty Pro
Luka w zabezpieczeniach: odbite skrypty między witrynami
Łatka w wersji : 2.8.2
Wynik ważności : wysoki
6. Dodatki PowerPack dla Elementora
Wtyczka: Dodatki PowerPack dla Elementora
Luka w zabezpieczeniach: odbite skrypty między witrynami
Aktywna instalacja : 60 000+
Poprawione w wersji : 2.6.2
Wynik ważności : wysoki
7. Kalendarz rezerwacji
Wtyczka: Kalendarz rezerwacji
Luka w zabezpieczeniach: odbite skrypty między witrynami
Aktywna instalacja : 60 000+
Poprawione w wersji : 8.9.2
Wynik ważności : wysoki
8. 10Web Social Photo Feed
Wtyczka: 10 Web Social Photo Feed
Luka w zabezpieczeniach: odbite skrypty między witrynami (XSS)
Aktywna instalacja : 60 000+
Łatka w wersji : 1.4.29
Wynik ważności : wysoki
9. Recenzje stron
Wtyczka: Recenzje stron
Luka w zabezpieczeniach: nieuwierzytelnione zapisane skrypty między witrynami
Aktywna instalacja : 40 000+
Łatka w wersji : 5.17.3
Wynik ważności : wysoki
10. Pakiet przyspieszający prędkość
Wtyczka: Speed Booster Pack
Luka w zabezpieczeniach: Admin + wstrzyknięcie SQL
Aktywna instalacja : 30 000+
Poprawiona w wersji : 4.3.3.1
Wynik ważności : średni
11. Rozwiązanie rynku wielu dostawców dla WooCommerce
Wtyczka: Multivendor Marketplace Solution dla WooCommerce
Luka w zabezpieczeniach: nieuwierzytelnione połączenia AJAX
Aktywna instalacja : ponad 10 000
Poprawione w wersji : 3.8.4
Wynik ważności : wysoki
12. Okno modalne
Wtyczka: okno modalne
Podatność : RFI prowadzące do RCE przez CSRF
Aktywna instalacja : ponad 10 000
Poprawione w wersji : 5.2.2
Wynik ważności : wysoki
13. Koder WP
Wtyczka: WP Coder
Podatność : RFI prowadzące do RCE przez CSRF
Aktywna instalacja : ponad 10 000
Łatka w wersji : 2.5.2
Wynik ważności : wysoki
14. RejestracjaMagia
Wtyczka: RegistrationMagic
Luka w zabezpieczeniach: Admin + wstrzyknięcie SQL
Aktywna instalacja : ponad 10 000
Łatka w wersji : 5.0.1.6
Wynik ważności : średni
Wtyczka: RegistrationMagic
Luka w zabezpieczeniach : obejście uwierzytelniania
Aktywna instalacja : ponad 10 000
Poprawione w wersji : 5.0.1.8
Ocena ważności : krytyczna
15. Łatwe wydarzenia
Wtyczka: Łatwe wydarzenia
Luka w zabezpieczeniach : subskrybent + wstrzyknięcie SQL
Aktywna instalacja : 6000+
Łatka w wersji : 2.2.36
Wynik ważności : wysoki
16. Generator przycisków
Wtyczka: Generator przycisków
Podatność : RFI prowadzące do RCE przez CSRF
Aktywna instalacja : 5000+
Łatka w wersji : 2.3.3
Wynik ważności : wysoki
17. Zakładka – Akordeon, FAQ
Wtyczka: Zakładka – Akordeon, FAQ
Luka w zabezpieczeniach: nieuwierzytelnione połączenia AJAX
Aktywna instalacja : 2000+
Poprawione w wersji : 1.3.2
Ocena ważności : krytyczna
18. Ocena gwiazdek
Wtyczka: Ocena gwiazdek
Luka w zabezpieczeniach : komentarze Odmowa usługi
Aktywna instalacja : 800+
Poprawione w wersji : 3.5.1
Wynik ważności : średni
19. WPcalc
Wtyczka: WPcalc
Luka : uwierzytelniony wstrzyknięcie SQL
Poprawiona w wersji : Brak znanej poprawki – wtyczka zamknięta
Wynik ważności : średni
Jak chronić swoją witrynę WordPress przed podatnymi wtyczkami i motywami?
Jak widać z tego raportu, co tydzień ujawnianych jest wiele nowych wtyczek WordPress i luk w motywach. Wiemy, że śledzenie każdego zgłoszonego ujawnienia luk w zabezpieczeniach może być trudne, więc wtyczka iThemes Security Pro ułatwia upewnienie się, że w Twojej witrynie nie jest uruchomiony motyw, wtyczka lub główna wersja WordPress ze znaną luką.
1. Zainstaluj wtyczkę iThemes Security Pro
Wtyczka iThemes Security Pro chroni Twoją witrynę WordPress przed najczęstszymi sposobami hakowania witryn. Dzięki ponad 30 sposobom zabezpieczenia witryny w jednej, łatwej w użyciu wtyczce.
2. Włącz skanowanie witryny w celu sprawdzenia znanych luk
Funkcja zarządzania wersjami w iThemes Security Pro integruje się ze skanowaniem witryny, aby chronić Twoją witrynę. Podatne motywy, wtyczki i podstawowe wersje WordPress zostaną automatycznie zaktualizowane.
3. Aktywuj wykrywanie zmian plików
Kluczem do szybkiego wykrycia naruszenia bezpieczeństwa jest monitorowanie zmian w plikach w Twojej witrynie. Funkcja wykrywania zmian plików w iThemes Security Pro przeskanuje pliki Twojej witryny i powiadomi Cię, gdy nastąpią zmiany w Twojej witrynie.
Uzyskaj iThemes Security Pro z całodobowym monitorowaniem bezpieczeństwa witryn
iThemes Security Pro, nasza wtyczka bezpieczeństwa WordPress, oferuje ponad 50 sposobów zabezpieczenia i ochrony Twojej witryny przed typowymi lukami w zabezpieczeniach WordPress. Dzięki WordPress, uwierzytelnianiu dwuskładnikowemu, ochronie przed brutalną siłą, silnemu egzekwowaniu haseł i nie tylko, możesz dodać dodatkowe warstwy bezpieczeństwa do swojej witryny.
