Raport podatności WordPressa: grudzień 2021, część 5

Opublikowany: 2021-12-29

Podatne wtyczki i motywy są głównym powodem ataków na witryny WordPress. Cotygodniowy raport na temat luk w zabezpieczeniach WordPress obsługiwany przez WPScan obejmuje najnowsze wtyczki WordPress, motywy i podstawowe luki w zabezpieczeniach oraz co zrobić, jeśli uruchomisz jedną z wrażliwych wtyczek lub motywów w swojej witrynie.

Każda podatność będzie miała wskaźnik ważności Niski , Średni , Wysoki lub Krytyczny . Odpowiedzialne ujawnianie i zgłaszanie luk w zabezpieczeniach jest integralną częścią zapewniania bezpieczeństwa społeczności WordPressa. Nowość w tym raporcie: luki są teraz wymienione w kolejności według liczby aktywnych instalacji, a nie daty ujawnienia.

Podziel się tym postem ze znajomymi, aby pomóc w rozpowszechnianiu informacji i uczynić WordPress bezpieczniejszym dla wszystkich !

Chcesz co tydzień dostarczać ten raport do Twojej skrzynki odbiorczej?
Zapisz się do cotygodniowego e-maila

Główne luki w WordPressie

Najnowsza wersja rdzenia WordPressa to 5.8.2. W ramach najlepszej praktyki zawsze używaj najnowszej wersji rdzenia WordPressa!

Luki w zabezpieczeniach wtyczki WordPress

W tej sekcji ujawniono najnowsze luki w zabezpieczeniach wtyczki WordPress. Każda lista wtyczek zawiera typ luki, aktywne instalacje, numer wersji, jeśli została ona załatana, oraz ocenę ważności.

1. Formularz kontaktowy 7 Dodatek do bazy danych

Wtyczka: Formularz kontaktowy 7 Dodatek do bazy danych
Luka w zabezpieczeniach: nieuwierzytelnione zapisane skrypty między witrynami
Aktywna instalacja : 400 000+
Łatka w wersji : 1.2.6.2
Wynik ważności : średni

Luka została załatana, dlatego należy zaktualizować ją do wersji 1.2.6.2.

Wtyczka: Formularz kontaktowy 7 Dodatek do bazy danych
Luka w zabezpieczeniach: arbitralne usunięcie formularza za pośrednictwem CSRF
Aktywna instalacja : 400 000+
Łatka w wersji : 1.2.6.2
Wynik ważności : średni

Luka została załatana, dlatego należy zaktualizować ją do wersji 1.2.6.2.

2. Łatwe formularze dla Mailchimp

Wtyczka: Łatwe formularze dla Mailchimp
Luka w zabezpieczeniach: odbite skrypty między witrynami
Aktywna instalacja : 100 000+
Łatka w wersji : 6.8.6
Wynik ważności : średni

Luka została załatana, więc powinieneś zaktualizować ją do wersji 6.8.6.

3. Relevanssi – lepsze wyszukiwanie

Wtyczka: Relevanssi – lepsze wyszukiwanie
Luka w zabezpieczeniach: nieuwierzytelnione zapisane skrypty między witrynami
Aktywna instalacja : 100 000+
Łatka w wersji : 4.14.3
Wynik ważności : wysoki

Luka została załatana, więc powinieneś zaktualizować ją do wersji 4.14.3.

4. Newsletter, SMTP, marketing e-mailowy i formularze subskrypcji przez Sendinblue

Wtyczka: Newsletter, SMTP, marketing e-mailowy i formularze subskrypcji przez Sendinblue
Luka w zabezpieczeniach: odbite skrypty między witrynami
Aktywna instalacja : 90 000+
Łatka w wersji : 3.1.25
Wynik ważności : wysoki

Luka została załatana, więc powinieneś zaktualizować ją do wersji 3.1.25.

5. Product Feed PRO dla WooCommerce

Wtyczka: Product Feed PRO dla WooCommerce
Luka w zabezpieczeniach: aktualizacja ustawień subskrybenta+ do zapisanych XSS
Aktywna instalacja : 80 000+
Łatka w wersji : 11.0.7
Wynik ważności : wysoki

Luka została załatana, więc powinieneś zaktualizować ją do wersji 11.0.7.

6. Siatka postów

Wtyczka: Siatka postów
Luka w zabezpieczeniach : Contributor+ SQL Injection
Aktywna instalacja : 60 000+
Łatka w wersji : 2.1.13
Wynik ważności : średni

Luka została załatana, więc powinieneś zaktualizować ją do wersji 2.1.13.

7. Wpisy w formularzu kontaktowym

Wtyczka: Wpisy do formularza kontaktowego
Luka w zabezpieczeniach: nieuwierzytelnione zapisane skrypty między witrynami
Aktywna instalacja : 40 000+
Poprawione w wersji : 1.2.4
Wynik ważności : wysoki

Luka została załatana, więc powinieneś zaktualizować ją do wersji 1.2.4.

8. Bilety na wydarzenia

Wtyczka: Bilety na wydarzenia
Luka : otwarte przekierowanie
Aktywna instalacja : 40 000+
Poprawione w wersji : 5.2.2
Wynik ważności : średni

Luka została załatana, dlatego należy zaktualizować ją do wersji 5.2.2.

9. Zaawansowane pola niestandardowe: rozszerzone

Wtyczka: Zaawansowane pola niestandardowe: Rozszerzone
Luka w zabezpieczeniach: Admin + wstrzyknięcie SQL
Aktywna instalacja : 40 000+
Poprawione w wersji : 0.8.8.7
Wynik ważności : średni

Luka została załatana, więc powinieneś zaktualizować ją do wersji 0.8.8.7.

10. Przyjmuj darowizny przez PayPal

Wtyczka: Akceptuj darowizny za pomocą PayPal
Luka w zabezpieczeniach: arbitralne usunięcie posta za pośrednictwem CSRF
Aktywna instalacja : 30 000+
Poprawione w wersji : 1.3.4
Wynik ważności : wysoki

Luka została załatana, więc powinieneś zaktualizować ją do wersji 1.3.4.

11. Pole galerii zdjęć ACF

Wtyczka: Pole galerii zdjęć ACF
Luka w zabezpieczeniach: odbite skrypty między witrynami
Aktywna instalacja : 30 000+
Łatka w wersji : 1.7.5
Wynik ważności : średni

Luka została załatana, więc powinieneś zaktualizować ją do wersji 1.7.5.

12. Prosty monitor pobierania

Wtyczka: Prosty monitor pobierania
Podatność : wiele CSRF
Aktywna instalacja : 30 000+
Łatka w wersji : 3.9.11
Wynik ważności : średni

Luka została załatana, więc powinieneś zaktualizować ją do wersji 3.9.11.

13. Chroń administratora WP

Wtyczka: Chroń administratora WP
Luka w zabezpieczeniach: dezaktywacja nieuwierzytelnionej wtyczki
Aktywna instalacja : 30 000+
Łatka w wersji : 3.6.2
Wynik ważności : średni

Luka została załatana, więc powinieneś zaktualizować ją do wersji 3.6.2.

14. Kopia zapasowa i przemieszczanie przez WP Time Capsule

Wtyczka: tworzenie kopii zapasowych i przemieszczanie przez WP Time Capsule
Luka w zabezpieczeniach: odbite skrypty między witrynami
Aktywna instalacja : 20 000+
Łatka w wersji : 1.22.7
Wynik ważności : wysoki

Luka została załatana, więc powinieneś zaktualizować ją do wersji 1.22.7.

15. Kalendarz wydarzeń

Wtyczka: Kalendarz wydarzeń
Luka w zabezpieczeniach: odbite skrypty między witrynami
Aktywna instalacja : 20 000+
Łatka w wersji : 1.1.51
Wynik ważności : wysoki

Luka została załatana, więc powinieneś zaktualizować ją do wersji 1.1.51.

Wtyczka: Kalendarz wydarzeń
Luka w zabezpieczeniach : subskrybent + tworzenie zdarzeń
Aktywna instalacja : 20 000+
Łatka w wersji : 1.1.51
Wynik ważności : średni

Luka została załatana, więc powinieneś zaktualizować ją do wersji 1.1.51.

16. Pięciogwiazdkowe rezerwacje w restauracjach

Wtyczka: pięciogwiazdkowe rezerwacje w restauracjach
Luka w zabezpieczeniach: subskrybent + przechowywane skrypty między witrynami
Aktywna instalacja : 20 000+
Łatka w wersji : 2.4.8
Wynik ważności : wysoki

Luka została załatana, więc powinieneś zaktualizować ją do wersji 2.4.8.

17. Forum Asgaros

Wtyczka: Forum Asgaros
Luka w zabezpieczeniach: Admin + wstrzyknięcie SQL przez forum_id
Aktywna instalacja : 20 000+
Poprawione w wersji : 1.15.15
Wynik ważności : średni

Luka została załatana, więc powinieneś zaktualizować ją do wersji 1.15.15.

18. WP125

Wtyczka: WP125
Luka w zabezpieczeniach: arbitralne usunięcie reklamy za pośrednictwem CSRF
Aktywna instalacja : ponad 10 000
Poprawione w wersji : 1.5.5
Wynik ważności : średni

Luka została załatana, więc powinieneś zaktualizować ją do wersji 1.5.5.

19. Menedżer oddziałów

Wtyczka: Menedżer partnerów
Luka w zabezpieczeniach: nieuwierzytelnione zapisane skrypty między witrynami
Aktywna instalacja : ponad 10 000
Łatka w wersji : 2.9.0
Wynik ważności : wysoki

Luka została załatana, więc powinieneś zaktualizować ją do wersji 2.9.0.

20. Inteligentne narzędzie SEO

Wtyczka: Inteligentne narzędzie SEO
Luka w zabezpieczeniach: odbite skrypty między witrynami
Aktywna instalacja : 9000+
Poprawione w wersji : 3.0.6
Wynik ważności : średni

Luka została załatana, więc powinieneś zaktualizować ją do wersji 3.0.6.

21. tarteaucitron.js – Przepisy dotyczące plików cookie i RODO

Wtyczka: tarteaucitron.js – Przepisy dotyczące plików cookie i RODO
Luka w zabezpieczeniach : CSRF do przechowywanych skryptów między witrynami
Aktywna instalacja : 7000+
Poprawione w wersji : 1.6
Wynik ważności : średni

Luka została załatana, więc powinieneś zaktualizować ją do wersji 1.6.

Wtyczka: tarteaucitron.js – Przepisy dotyczące plików cookie i RODO
Luka w zabezpieczeniach: administrator + przechowywane skrypty między witrynami
Aktywna instalacja : 7000+
Łatka w wersji : 1.6.1
Wynik ciężkości : niski

Luka została załatana, więc powinieneś zaktualizować ją do wersji 1.6.1.

22. Wzmacniacz SEO

Wtyczka: SEO Booster
Luka w zabezpieczeniach: Admin + wstrzyknięcie SQL
Aktywna instalacja : 4000+
Poprawione w wersji : 3.8
Wynik ważności : średni

Luka została załatana, więc powinieneś zaktualizować ją do wersji 3.8.

23. Kreator banerów Booking.com

Wtyczka: Kreator banerów Booking.com
Luka w zabezpieczeniach: Admin+ Stored Cross-Site Scripting
Aktywna instalacja : 3000+
Poprawione w wersji : 1.4.3
Wynik ciężkości : niski

Luka została załatana, więc powinieneś zaktualizować ją do wersji 1.4.3.

24. Dodatkowe pola profilu

Wtyczka: Dodatkowe pola profilu
Luka w zabezpieczeniach: odbite skrypty między witrynami
Aktywna instalacja : 2000+
Poprawione w wersji : 1.2.4
Wynik ważności : wysoki

Luka została załatana, więc powinieneś zaktualizować ją do wersji 1.2.4.

25. Pomocnik produktu Booking.com

Wtyczka: Pomoc produktu Booking.com
Luka w zabezpieczeniach: Admin+ Stored Cross-Site Scripting
Aktywna instalacja : 2000+
Poprawione w wersji : 1.0.2
Wynik ciężkości : niski

Luka została załatana, więc powinieneś zaktualizować ją do wersji 1.0.2.

26. Urzędnik SEUR

Wtyczka: Oficjalny SEUR
Luka w zabezpieczeniach: Admin+ Stored Cross-Site Scripting
Aktywna instalacja : 1000+
Łatka w wersji : 1.7.0
Wynik ważności : średni

Luka została załatana, więc powinieneś zaktualizować ją do wersji 1.7.0.

27. Integracja arkusza kalkulacyjnego

Wtyczka: Integracja z arkuszem kalkulacyjnym
Luka w zabezpieczeniach: obejście CSRF
Aktywna instalacja : 1000+
Poprawione w wersji : 3.6.0
Wynik ważności : średni

Luka została załatana, więc powinieneś zaktualizować ją do wersji 3.6.0.

Wtyczka: Integracja z arkuszem kalkulacyjnym
Luka w zabezpieczeniach: odbite skrypty między witrynami
Aktywna instalacja : 1000+
Poprawione w wersji : 3.6.0
Wynik ważności : wysoki

Luka została załatana, więc powinieneś zaktualizować ją do wersji 3.6.0.

28. Reklamy partnerskie ClickBank

Wtyczka: Reklamy partnerskie ClickBank
Luka w zabezpieczeniach: Admin+ Stored Cross-Site Scripting
Aktywna instalacja : 700+
Łatka w wersji : 1.35
Wynik ciężkości : niski

Luka została załatana, więc powinieneś zaktualizować ją do wersji 1.35.

Wtyczka: Reklamy partnerskie ClickBank
Luka w zabezpieczeniach : CSRF do przechowywanych skryptów między witrynami
Aktywna instalacja : 700+
Łatka w wersji : 1.35
Wynik ważności : wysoki

Luka została załatana, więc powinieneś zaktualizować ją do wersji 1.35.

29. Stetic

Wtyczka: Stetic
Luka w zabezpieczeniach : CSRF do przechowywanych skryptów między witrynami
Aktywna instalacja : 300+
Łatka w wersji : 1.0.9
Wynik ważności : wysoki

Luka została załatana, więc powinieneś zaktualizować ją do wersji 1.0.9.

30. Menedżer wydarzeń mobilnych

Wtyczka: Menedżer wydarzeń mobilnych
Luka w zabezpieczeniach: Admin+ Stored Cross-Site Scripting
Aktywna instalacja : 20+
Poprawione w wersji : 1.4.4
Wynik ciężkości : niski

Luka została załatana, więc powinieneś zaktualizować ją do wersji 1.4.4.

Luki w zabezpieczeniach wtyczki WordPress: brak znanej poprawki

W tej sekcji najnowsze luki w zabezpieczeniach wtyczek do WordPressa zostały ujawnione w zamkniętych wtyczkach. Każda lista wtyczek zawiera rodzaj luki, ocenę ważności i datę zamknięcia.

31. Dowolny komentarz

Wtyczka: AnyComment
Luka w zabezpieczeniach: odbite skrypty między witrynami
Aktywna instalacja : 4000+
Poprawiona w wersji : brak znanej poprawki
Wynik ważności : średni

Ta luka NIE została załatana. Odinstaluj i usuń wtyczkę do czasu wydania poprawki.

Luki w zabezpieczeniach wtyczki WordPress: wtyczka zamknięta

W tej sekcji najnowsze luki w zabezpieczeniach wtyczek do WordPressa zostały ujawnione w zamkniętych wtyczkach. Każda lista wtyczek zawiera rodzaj luki, ocenę ważności i datę zamknięcia.

32. Karty

Wtyczka: Karty
Luka w zabezpieczeniach: nieuwierzytelniona arbitralna aktualizacja opcji
Łatka w wersji : 3.6.0 – wtyczka zamknięta
Ocena ważności : krytyczna

Ta luka została załatana. Ta wtyczka została zamknięta 20 grudnia 2021 r. Odinstaluj i usuń.

33. Dodatki do krótkich kodów

Wtyczka: Dodatki do krótkich kodów
Luka w zabezpieczeniach: nieuwierzytelniona arbitralna aktualizacja opcji
Łatka w wersji : 3.1.0 – wtyczka zamknięta
Ocena ważności : krytyczna

Ta luka została załatana. Ta wtyczka została zamknięta 20 grudnia 2021 r. Odinstaluj i usuń.

Jak chronić swoją witrynę WordPress przed podatnymi wtyczkami i motywami?

Jak widać z cotygodniowego raportu na temat luk w zabezpieczeniach WordPressa, co tydzień ujawnianych jest wiele nowych luk w zabezpieczeniach wtyczek i motywów WordPress. Wiemy, że śledzenie każdego zgłoszonego ujawnienia luk w zabezpieczeniach może być trudne, więc wtyczka iThemes Security Pro ułatwia upewnienie się, że w Twojej witrynie nie jest uruchomiony motyw, wtyczka lub główna wersja WordPress ze znaną luką.

1. Zainstaluj wtyczkę iThemes Security Pro

Wtyczka iThemes Security Pro chroni Twoją witrynę WordPress przed najczęstszymi sposobami hakowania witryn. Dzięki ponad 30 sposobom zabezpieczenia witryny w jednej, łatwej w użyciu wtyczce.

2. Włącz skanowanie witryny w celu sprawdzenia znanych luk

Funkcja zarządzania wersjami w iThemes Security Pro integruje się ze skanowaniem witryny, aby chronić Twoją witrynę. Podatne motywy, wtyczki i podstawowe wersje WordPress zostaną automatycznie zaktualizowane.

3. Aktywuj wykrywanie zmian plików

Kluczem do szybkiego wykrycia naruszenia bezpieczeństwa jest monitorowanie zmian w plikach w Twojej witrynie. Funkcja wykrywania zmian plików w iThemes Security Pro przeskanuje pliki Twojej witryny i powiadomi Cię, gdy nastąpią zmiany w Twojej witrynie.

Uzyskaj iThemes Security Pro ze skanowaniem witryny

iThemes Security Pro, nasza wtyczka bezpieczeństwa WordPress, oferuje ponad 50 sposobów zabezpieczenia i ochrony Twojej witryny przed typowymi lukami w zabezpieczeniach WordPress. Dzięki WordPress, uwierzytelnianiu dwuskładnikowemu, ochronie przed brutalną siłą, silnemu egzekwowaniu haseł i nie tylko, możesz dodać dodatkowe warstwy bezpieczeństwa do swojej witryny.

  • Skaner witryn pod kątem luk w zabezpieczeniach wtyczek i motywów
  • Wykrywanie zmiany pliku
  • Pulpit bezpieczeństwa witryny w czasie rzeczywistym
  • Dzienniki bezpieczeństwa WordPress
  • Zaufane urządzenia
  • reCAPTCHA
  • Ochrona przed brutalną siłą
  • Eskalacja uprawnień
  • Sprawdzanie i odmowa złamanych haseł

Zaoszczędź 35% na iThemes Security Pro do 31 grudnia