Raport podatności WordPressa: grudzień 2021, część 4

Opublikowany: 2022-01-06

Podatne wtyczki i motywy są głównym powodem ataków na witryny WordPress. Cotygodniowy raport na temat luk w zabezpieczeniach WordPress obsługiwany przez WPScan obejmuje najnowsze wtyczki WordPress, motywy i podstawowe luki w zabezpieczeniach oraz co zrobić, jeśli uruchomisz jedną z wrażliwych wtyczek lub motywów w swojej witrynie.

Każda podatność będzie miała wskaźnik ważności Niski , Średni , Wysoki lub Krytyczny . Odpowiedzialne ujawnianie i zgłaszanie luk w zabezpieczeniach jest integralną częścią zapewniania bezpieczeństwa społeczności WordPressa. Nowość w tym raporcie: luki są teraz wymienione w kolejności według liczby aktywnych instalacji, a nie daty ujawnienia.

Udostępnij ten post swoim znajomym, aby pomóc w rozpowszechnianiu informacji i uczynić WordPress bezpieczniejszym dla wszystkich.

Chcesz co tydzień dostarczać ten raport do Twojej skrzynki odbiorczej?
Zapisz się do cotygodniowego e-maila

Główne luki w WordPressie

Najnowsza wersja rdzenia WordPressa to 5.8.2. W ramach najlepszej praktyki zawsze używaj najnowszej wersji rdzenia WordPressa!

Luki w zabezpieczeniach wtyczki WordPress

W tej sekcji ujawniono najnowsze luki w zabezpieczeniach wtyczki WordPress. Każda lista wtyczek zawiera typ luki, aktywne instalacje, numer wersji, jeśli została ona załatana, oraz ocenę ważności.

1. Wszystko w jednym SEO

Wtyczka: SEO wszystko w jednym
Luka : uwierzytelniony wstrzyknięcie SQL
Aktywna instalacja : ponad 3 miliony
Łatka w wersji : 4.1.5.3
Wynik ważności : wysoki

Luka została załatana, więc powinieneś zaktualizować ją do wersji 4.1.5.3.

Wtyczka: SEO wszystko w jednym
Luka w zabezpieczeniach: uwierzytelniona eskalacja uprawnień
Aktywna instalacja : ponad 3 miliony
Łatka w wersji : 4.1.5.3
Ocena ważności : krytyczna

Luka została załatana, więc powinieneś zaktualizować ją do wersji 4.1.5.3.

2. Smash Balloon Social Post Feed

Wtyczka: Smash Balloon Social Post Feed
Luka w zabezpieczeniach: uwierzytelnione odbijane skrypty między witrynami (XSS)
Aktywna instalacja : 200 000+
Łatka w wersji : 4.1.1
Wynik ważności : średni

Luka została załatana, więc powinieneś zaktualizować ją do wersji 4.1.1.

3. Nowoczesny kalendarz wydarzeń Lite

Wtyczka: Nowoczesny kalendarz wydarzeń Lite
Luka w zabezpieczeniach: Subskrybent+ Dodaj kategorię prowadzącą do zapisanego XSS
Aktywna instalacja : 100 000+
Łatka w wersji : 6.2.0
Wynik ważności : średni

Luka została załatana, więc powinieneś zaktualizować ją do wersji 6.2.0.

4. WOOCS

Wtyczka: WOOCS
Luka w zabezpieczeniach: odbite skrypty między witrynami
Aktywna instalacja : 60 000+
Łatka w wersji : 1.3.7.3
Wynik ważności : wysoki

Luka została załatana, więc powinieneś zaktualizować ją do wersji 1.3.7.3.

5. Ostry czat na żywo

Wtyczka: Ostry czat na żywo
Luka w zabezpieczeniach : CSRF do przechowywanych skryptów między witrynami
Aktywna instalacja : 60 000+
Poprawione w wersji : 0.32
Wynik ważności : wysoki

Luka została załatana, więc powinieneś zaktualizować ją do wersji 0.32.

6. Efekty najechania obrazu Ultimate

Wtyczka: Efekty najechania obrazu Ultimate
Luka w zabezpieczeniach: nieuwierzytelniona arbitralna aktualizacja opcji
Aktywna instalacja : 20 000+
Poprawione w wersji : 9.7.0
Ocena ważności : krytyczna

Luka została załatana, więc powinieneś zaktualizować ją do wersji 9.7.0.

7. System Rezerwacji WP – Kalendarz Rezerwacji

Wtyczka: System Rezerwacji WP – Kalendarz Rezerwacji
Luka w zabezpieczeniach: uwierzytelnione odbijane skrypty między witrynami (XSS)
Aktywna instalacja : ponad 10 000
Łatka w wersji : 2.0.15
Wynik ważności : średni

Luka została załatana, więc powinieneś zaktualizować ją do wersji 2.0.15.

8. Kreator stron docelowych

Wtyczka: Kreator stron docelowych
Luka w zabezpieczeniach: uwierzytelnione odbijane skrypty między witrynami (XSS)
Aktywna instalacja : ponad 10 000
Łatka w wersji : 1.4.9.6
Wynik ważności : średni

Luka została załatana, więc powinieneś zaktualizować ją do wersji 1.4.9.6.

9. Pojąć analitykę

Wtyczka: Analiza Pojąć
Luka w zabezpieczeniach: Admin+ Stored Cross-Site Scripting
Aktywna instalacja : 2000+
Poprawione w wersji : 3.0.5
Wynik ciężkości : niski

Luka została załatana, więc powinieneś zaktualizować ją do wersji 3.0.5.

10. Prawdziwy Ranker

Wtyczka: True Ranker
Luka w zabezpieczeniach: nieuwierzytelniony, arbitralny dostęp do plików za pośrednictwem przechodzenia ścieżki
Aktywna instalacja : 200+
Poprawiona w wersji : 2.2.4
Wynik ciężkości : niski

Luka została załatana, więc powinieneś zaktualizować ją do wersji 2.2.4.

Luki w zabezpieczeniach wtyczki WordPress: wtyczka zamknięta

W tej sekcji najnowsze luki w zabezpieczeniach wtyczek do WordPressa zostały ujawnione w zamkniętych wtyczkach. Każda lista wtyczek zawiera rodzaj luki, ocenę ważności i datę zamknięcia.

11. Komentarz silnika Pro

Wtyczka: silnik komentarzy Pro
Luka w zabezpieczeniach: Editor+ Stored Cross-Site Scripting
Poprawiona w wersji : Brak znanej poprawki – wtyczka zamknięta
Wynik ciężkości : niski

Ta luka NIE została załatana. Ta wtyczka została zamknięta 7 października 2021 r. Odinstaluj i usuń.

12. Przekierowanie .htaccess

Wtyczka: Przekierowanie .htaccess
Luka w zabezpieczeniach: odbite skrypty między witrynami
Poprawiona w wersji : Brak znanej poprawki – wtyczka zamknięta
Wynik ważności : wysoki

Ta luka NIE została załatana. Ta wtyczka została zamknięta 3 grudnia 2021 r. Odinstaluj i usuń.

13. Brama Parsian Bank dla Woocommerce

Wtyczka: Parsian Bank Gateway dla Woocommerce
Luka w zabezpieczeniach: odbite skrypty między witrynami
Poprawiona w wersji : Brak znanej poprawki – wtyczka zamknięta
Wynik ważności : wysoki

Ta luka NIE została załatana. Ta wtyczka została zamknięta 3 grudnia 2021 r. Odinstaluj i usuń.

14. Prawdziwy WYSIWYG

Wtyczka: Prawdziwy WYSIWYG
Luka w zabezpieczeniach: odbite skrypty między witrynami
Poprawiona w wersji : Brak znanej poprawki – wtyczka zamknięta
Wynik ważności : wysoki

Ta luka NIE została załatana. Ta wtyczka została zamknięta 3 grudnia 2021 r. Odinstaluj i usuń.

15. Menedżer listy linków

Wtyczka: Menedżer listy linków
Luka w zabezpieczeniach: odbite skrypty między witrynami
Poprawiona w wersji : Brak znanej poprawki – wtyczka zamknięta
Wynik ważności : wysoki

Ta luka NIE została załatana. Ta wtyczka została zamknięta 3 grudnia 2021 r. Odinstaluj i usuń.

16. Prosta galeria obrazów

Wtyczka: Prosta galeria obrazów
Luka w zabezpieczeniach: odbite skrypty między witrynami
Poprawiona w wersji : Brak znanej poprawki – wtyczka zamknięta
Wynik ważności : wysoki

Ta luka NIE została załatana. Ta wtyczka została zamknięta 3 grudnia 2021 r. Odinstaluj i usuń.

17. WooCommerce EnvioPack

Wtyczka: WooCommerce EnvioPack
Luka w zabezpieczeniach: odbite skrypty między witrynami
Poprawiona w wersji : Brak znanej poprawki – wtyczka zamknięta
Wynik ważności : wysoki

Ta luka NIE została załatana. Ta wtyczka została zamknięta 15 listopada 2021 r. Odinstaluj i usuń.

18. Magiczny głos pocztowy

Wtyczka: Magic Post Voice
Luka w zabezpieczeniach: odbite skrypty między witrynami
Poprawiona w wersji : Brak znanej poprawki – wtyczka zamknięta
Wynik ważności : wysoki

Ta luka NIE została załatana. Ta wtyczka została zamknięta 3 grudnia 2021 r. Odinstaluj i usuń.

19. Edytor CSS H5P

Wtyczka: Edytor CSS H5P
Luka w zabezpieczeniach: odbite skrypty między witrynami
Poprawiona w wersji : Brak znanej poprawki – wtyczka zamknięta
Wynik ważności : wysoki

Ta luka NIE została załatana. Ta wtyczka została zamknięta 3 grudnia 2021 r. Odinstaluj i usuń.

20. duoFAQ

Wtyczka: duoFAQ
Luka w zabezpieczeniach: odbite skrypty między witrynami
Poprawiona w wersji : Brak znanej poprawki – wtyczka zamknięta
Wynik ważności : wysoki

Ta luka NIE została załatana. Ta wtyczka została zamknięta 3 grudnia 2021 r. Odinstaluj i usuń.

21. Magiczny głos pocztowy

Wtyczka: Magic Post Voice
Luka w zabezpieczeniach: odbite skrypty między witrynami
Poprawiona w wersji : Brak znanej poprawki – wtyczka zamknięta
Wynik ważności : wysoki

Ta luka NIE została załatana. Ta wtyczka została zamknięta 3 grudnia 2021 r. Odinstaluj i usuń.

22. Bramka płatności myghpay WooCommerce

Wtyczka: bramka płatności WooCommerce myghpay
Luka w zabezpieczeniach: odbite skrypty między witrynami
Poprawiona w wersji : Brak znanej poprawki – wtyczka zamknięta
Wynik ważności : wysoki

Ta luka NIE została załatana. Ta wtyczka została zamknięta 13 grudnia 2021 r. Odinstaluj i usuń.

Luki w zabezpieczeniach wtyczek Premium

W tej sekcji ujawniono najnowsze luki w zabezpieczeniach wtyczki WordPress premium. Każda lista wtyczek zawiera rodzaj luki, numer wersji, jeśli została ona załatana, oraz ocenę ważności.

23. Dodatki Plus do Elementora Pro

Wtyczka: Dodatki Plus do Elementora – Pro
Luka w zabezpieczeniach: ujawnienie danych wrażliwych
Łatka w wersji : 5.0.7
Wynik ważności : średni

Luka została załatana, więc powinieneś zaktualizować ją do wersji 5.0.7.

Wtyczka: Dodatki Plus do Elementora – Pro
Luka : nieuwierzytelniony wstrzyknięcie SQL
Łatka w wersji : 5.0.7
Wynik ważności : średni

Luka została załatana, więc powinieneś zaktualizować ją do wersji 5.0.7.

24. Pudełko pozwala

Wtyczka: Lets Box
Luka w zabezpieczeniach: odbite skrypty między witrynami
Poprawione w wersji : 1.13.3
Wynik ważności : średni

Luka została załatana, więc powinieneś zaktualizować ją do wersji 1.13.3.

25. Udostępnij jeden dysk

Wtyczka: Udostępnij jeden dysk
Luka w zabezpieczeniach: odbite skrypty między witrynami
Łatka w wersji : 1.15.3
Wynik ważności : średni

Luka została załatana, więc powinieneś zaktualizować ją do wersji 1.15.3.

26. Po wyjęciu z pudełka

Wtyczka: po wyjęciu z pudełka
Luka w zabezpieczeniach: odbite skrypty między witrynami
Łatka w wersji : 1.20.3
Wynik ważności : średni

Luka została załatana, więc powinieneś zaktualizować ją do wersji 1.20.3.

27. Użyj swojego dysku

Wtyczka: Użyj swojego dysku
Luka w zabezpieczeniach: odbite skrypty między witrynami
Łatka w wersji : 1.18.3
Wynik ważności : średni

Luka została załatana, więc powinieneś zaktualizować ją do wersji 1.18.3.

Jak chronić swoją witrynę WordPress przed podatnymi wtyczkami i motywami?

Jak widać z tego raportu, co tydzień ujawnianych jest wiele nowych wtyczek WordPress i luk w motywach. Wiemy, że śledzenie każdego zgłoszonego ujawnienia luk w zabezpieczeniach może być trudne, więc wtyczka iThemes Security Pro ułatwia upewnienie się, że w Twojej witrynie nie jest uruchomiony motyw, wtyczka lub główna wersja WordPress ze znaną luką.

1. Zainstaluj wtyczkę iThemes Security Pro

Wtyczka iThemes Security Pro chroni Twoją witrynę WordPress przed najczęstszymi sposobami hakowania witryn. Dzięki ponad 30 sposobom zabezpieczenia witryny w jednej, łatwej w użyciu wtyczce.

2. Włącz skanowanie witryny w celu sprawdzenia znanych luk

Funkcja zarządzania wersjami w iThemes Security Pro integruje się ze skanowaniem witryny, aby chronić Twoją witrynę. Podatne motywy, wtyczki i podstawowe wersje WordPress zostaną automatycznie zaktualizowane.

3. Aktywuj wykrywanie zmian plików

Kluczem do szybkiego wykrycia naruszenia bezpieczeństwa jest monitorowanie zmian w plikach w Twojej witrynie. Funkcja wykrywania zmian plików w iThemes Security Pro przeskanuje pliki Twojej witryny i powiadomi Cię, gdy nastąpią zmiany w Twojej witrynie.

Uzyskaj iThemes Security Pro z całodobowym monitorowaniem bezpieczeństwa witryn

iThemes Security Pro, nasza wtyczka bezpieczeństwa WordPress, oferuje ponad 50 sposobów zabezpieczenia i ochrony Twojej witryny przed typowymi lukami w zabezpieczeniach WordPress. Dzięki WordPress, uwierzytelnianiu dwuskładnikowemu, ochronie przed brutalną siłą, silnemu egzekwowaniu haseł i nie tylko, możesz dodać dodatkowe warstwy bezpieczeństwa do swojej witryny.

  • Skaner witryn pod kątem luk w zabezpieczeniach wtyczek i motywów
  • Wykrywanie zmiany pliku
  • Pulpit bezpieczeństwa witryny w czasie rzeczywistym
  • Dzienniki bezpieczeństwa WordPress
  • Zaufane urządzenia
  • reCAPTCHA
  • Ochrona przed brutalną siłą
  • Eskalacja uprawnień
  • Sprawdzanie i odmowa złamanych haseł

Zaoszczędź 35% na iThemes Security Pro do 31 grudnia