Raport podatności WordPressa: styczeń 2022, część 1

Opublikowany: 2022-01-06

Podatne wtyczki i motywy są głównym powodem ataków na witryny WordPress. Cotygodniowy raport na temat luk w zabezpieczeniach WordPress obsługiwany przez WPScan obejmuje najnowsze wtyczki WordPress, motywy i podstawowe luki w zabezpieczeniach oraz co zrobić, jeśli uruchomisz jedną z wrażliwych wtyczek lub motywów w swojej witrynie.

Każda podatność będzie miała wskaźnik ważności Niski , Średni , Wysoki lub Krytyczny . Odpowiedzialne ujawnianie i zgłaszanie luk w zabezpieczeniach jest integralną częścią zapewniania bezpieczeństwa społeczności WordPressa. Nowość w tym raporcie: luki są teraz wymienione w kolejności według liczby aktywnych instalacji, a nie daty ujawnienia.

Podziel się tym postem ze znajomymi, aby pomóc w rozpowszechnianiu informacji i uczynić WordPress bezpieczniejszym dla wszystkich !

Chcesz co tydzień dostarczać ten raport do Twojej skrzynki odbiorczej?

Zapisz się do cotygodniowego e-maila

2021 Raport o lukach w zabezpieczeniach WordPressa Podsumowanie: 1263 Ujawniono luki; 98% wtyczek

W 2021 r. ujawniono łącznie 1263 luki w zabezpieczeniach wtyczek i motywów. Luki w wtyczkach WordPress stanowiły 98% wszystkich zgłoszonych luk.
We wrześniu 2021 r. odnotowano najwięcej zgłoszonych luk, w tym samym miesiącu ujawniono łącznie 323 luki.
Najczęstsze rodzaje luk w zabezpieczeniach wtyczek ujawnione w 2021 r. to cross-site scripting (XSS) i SQL injection. Większość autorów wtyczek opublikowała łatki, podczas gdy niektóre wtyczki nadal pozostają zamknięte.
Ze względu na wzrost liczby ujawnianych luk w zabezpieczeniach zmieniliśmy częstotliwość raportowania o luce na raz w tygodniu, a nie dwa razy w miesiącu.
Dzięki Waszym opiniom zaczęliśmy również wymieniać informacje o wtyczkach w kolejności lub aktywnych instalacjach. Zaczęliśmy również grupować wtyczki według free i pro, z osobną sekcją dla zamkniętych wtyczek i wtyczek bez znanych poprawek.

Główne luki w WordPressie

Najnowsza wersja rdzenia WordPressa to 5.8.2. W ramach najlepszej praktyki zawsze używaj najnowszej wersji rdzenia WordPressa!

Luki w zabezpieczeniach wtyczki WordPress

W tej sekcji ujawniono najnowsze luki w zabezpieczeniach wtyczki WordPress. Każda lista wtyczek zawiera typ luki, aktywne instalacje, numer wersji, jeśli została ona załatana, oraz ocenę ważności.

1. UpdraftPlus

Wtyczka: UpdraftPlus
Luka w zabezpieczeniach: odbite skrypty między witrynami
Aktywna instalacja : ponad 3 miliony
Łatka w wersji : 1.16.569
Wynik ważności : wysoki

Luka została załatana, więc powinieneś zaktualizować ją do wersji 1.16.59.

Wtyczka: UpdraftPlus
Luka w zabezpieczeniach: Admin+ Stored Cross-Site Scripting
Aktywna instalacja : ponad 3 miliony
Poprawione w wersji : 1.6.59
Wynik ciężkości : niski

Luka została załatana, więc powinieneś zaktualizować ją do wersji 1.6.59.

Wtyczka: UpdraftPlus
Luka w zabezpieczeniach: włączenie administratora + plików lokalnych
Aktywna instalacja : ponad 3 miliony
Poprawione w wersji : 1.16.59
Wynik ważności : średni

Luka została załatana, więc powinieneś zaktualizować ją do wersji 1.16.59.

2. Konwerter WebP dla mediów

Wtyczka: Konwerter WebP dla mediów
Luka w zabezpieczeniach: nieuwierzytelnione otwarte przekierowanie
Aktywna instalacja : 100 000+
Łatka w wersji : 4.0.3
Wynik ważności : średni

Luka została załatana, więc powinieneś zaktualizować ją do wersji 4.0.3.

3. WOOF – Filtr produktów dla WooCommerce

Wtyczka: WOOF – Filtr produktów dla WooCommerce
Luka w zabezpieczeniach: odbite skrypty między witrynami
Aktywna instalacja : 100 000+
Łatka w wersji : 1.2.6.3
Wynik ważności : wysoki

Luka została załatana, więc powinieneś zaktualizować ją do wersji 1.2.6.3.

4. Dowiedz się Naciśnij

Wtyczka: LearnPress
Luka w zabezpieczeniach: Admin+ Stored Cross-Site Scripting
Aktywna instalacja : 100 000+
Łatka w wersji : 4.1.3.2
Wynik ważności : średni

Luka została załatana, więc powinieneś zaktualizować ją do wersji 4.1.3.2.

5. Klonowanie strony posta WP

Wtyczka: klon strony posta WP
Luka w zabezpieczeniach: nieautoryzowany dostęp do poczty
Aktywna instalacja : 80 000+
Poprawione w wersji : 1.2
Wynik ważności : średni

Luka została załatana, więc powinieneś zaktualizować ją do wersji 1.2.

6. Dodatkowe typy plików WP

Wtyczka: Dodatkowe typy plików WP
Luka w zabezpieczeniach : CSRF do przechowywanych skryptów między witrynami
Aktywna instalacja : 50 000+
Poprawione w wersji : 0.5.1
Wynik ważności : wysoki

Luka została załatana, więc powinieneś zaktualizować ją do wersji 0.5.1.

7. Nauczyciel LMS

Wtyczka: Tutor LMS
Luka w zabezpieczeniach: subskrybent + przechowywane skrypty między witrynami
Aktywna instalacja : 40 000+
Łatka w wersji : 1.9.12
Wynik ważności : wysoki

Luka została załatana, więc powinieneś zaktualizować ją do wersji 1.9.12.

Wtyczka: Tutor LMS
Luka w zabezpieczeniach: odbite skrypty między witrynami
Aktywna instalacja : 40 000+
Łatka w wersji : 1.9.12
Wynik ważności : wysoki

Luka została załatana, więc powinieneś zaktualizować ją do wersji 1.9.12.

8. Niestandardowy pulpit nawigacyjny i strona logowania

Wtyczka: niestandardowy pulpit nawigacyjny i strona logowania
Luka w zabezpieczeniach: Admin+ Stored Cross-Site Scripting
Aktywna instalacja : 40 000+
Poprawione w wersji : 7.0
Wynik ważności : średni

Luka została załatana, więc powinieneś zaktualizować ją do wersji 7.0.

9. Ostateczne często zadawane pytania

Wtyczka: Ostateczne często zadawane pytania
Luka w zabezpieczeniach: Subskrybent+ Arbitralne często zadawane pytania Tworzenie
Aktywna instalacja : 30 000+
Poprawione w wersji : 2.1.2
Wynik ważności : średni

Luka została załatana, więc powinieneś zaktualizować ją do wersji 2.1.2.

10. Interfejs użytkownika WP

Wtyczka: interfejs użytkownika WP
Luka w zabezpieczeniach: wstrzyknięcie SQL do odzwierciedlonych skryptów między witrynami
Aktywna instalacja : 30 000+
Łatka w wersji : 3.5.26
Wynik ważności : wysoki

Luka została załatana, więc powinieneś zaktualizować ją do wersji 3.5.26.

11. mój kredyt

Wtyczka: myCred
Luka w zabezpieczeniach: odbite skrypty między witrynami
Aktywna instalacja : 20 000+
Poprawione w wersji : 2.4
Wynik ważności : wysoki

Luka została załatana, więc powinieneś zaktualizować ją do wersji 2.4.

12. Efekty najechania na obraz Ostateczny

Wtyczka: Efekty najechania obrazu Ultimate
Luka w zabezpieczeniach: odbite skrypty między witrynami
Aktywna instalacja : 20 000+
Łatka w wersji : 9.7.1
Wynik ważności : wysoki

Luka została załatana, więc powinieneś zaktualizować ją do wersji 9.7.1.

13. Qubely

Wtyczka: Qubely
Luka w zabezpieczeniach: Subskrybent+ Arbitralne często zadawane pytania Tworzenie
Aktywna instalacja : ponad 10 000
Poprawione w wersji : 1.7.8
Wynik ważności : średni

Luka została załatana, więc powinieneś zaktualizować ją do wersji 1.7.8.

14. Magia rejestracji

Wtyczka: Magia rejestracji
Luka w zabezpieczeniach: odbite skrypty między witrynami
Aktywna instalacja : ponad 10 000
Łatka w wersji : 5.0.1.9
Wynik ważności : wysoki

Luka została załatana, dlatego należy zaktualizować ją do wersji 5.0.1.9.

15. Śledzenie zamówień dla WooCommerce

Wtyczka: Śledzenie zamówień dla WooCommerce
Luka w zabezpieczeniach: odbite skrypty między witrynami
Aktywna instalacja : ponad 10 000
Łatka w wersji : 1.1.10
Wynik ważności : wysoki

Luka została załatana, więc powinieneś zaktualizować ją do wersji 1.1.10.

16. Biblioteka linków

Wtyczka: Biblioteka linków
Luka w zabezpieczeniach: odbite skrypty między witrynami
Aktywna instalacja : ponad 10 000
Poprawione w wersji : 7.2.8
Wynik ważności : średni

Luka została załatana, więc powinieneś zaktualizować ją do wersji 7.2.8.

Wtyczka: Biblioteka linków
Luka w zabezpieczeniach: resetowanie ustawień biblioteki przez CSRF
Aktywna instalacja : ponad 10 000
Poprawione w wersji : 7.2.8
Wynik ważności : średni

Luka została załatana, więc powinieneś zaktualizować ją do wersji 7.2.8.

Wtyczka: Biblioteka linków
Luka w zabezpieczeniach: usunięcie nieuwierzytelnionych arbitralnych linków
Aktywna instalacja : ponad 10 000
Poprawione w wersji : 7.2.8
Wynik ważności : średni

Luka została załatana, więc powinieneś zaktualizować ją do wersji 7.2.8.

17. Towarzysz AF

Wtyczka: Pomocnik AF
Luka w zabezpieczeniach: arbitralna instalacja i aktywacja wtyczki przez CSRF
Aktywna instalacja : 9000+
Łatka w wersji : 1.2.0
Wynik ważności : wysoki

Luka została załatana, więc powinieneś zaktualizować ją do wersji 1.2.0.

18. Widżet listy autorów KNR

Wtyczka: Widżet listy autorów KNR
Luka : nieuwierzytelniony wstrzyknięcie SQL
Aktywna instalacja : 200+
Poprawione w wersji : 3.0.0
Ocena ważności : krytyczna

Luka została załatana, więc powinieneś zaktualizować ją do wersji 3.0.0.

19. Informacje o użytkowniku plików cookie WP

Wtyczka: Informacje o użytkowniku plików cookie WP
Luka w zabezpieczeniach: Admin + wstrzyknięcie SQL
Aktywna instalacja : 200+
Łatka w wersji : 1.0.9
Wynik ważności : średni

Luka została załatana, więc powinieneś zaktualizować ją do wersji 1.0.9.

Luki w zabezpieczeniach wtyczki WordPress: wtyczka zamknięta

W tej sekcji najnowsze luki w zabezpieczeniach wtyczek do WordPressa zostały ujawnione w zamkniętych wtyczkach. Każda lista wtyczek zawiera rodzaj luki, ocenę ważności i datę zamknięcia.

20. Narzędzia laboratoryjne

Wtyczka: LabTools
Luka w zabezpieczeniach: Subskrybent + arbitralne usunięcie publikacji
Poprawiona w wersji : Brak znanej poprawki – wtyczka zamknięta
Wynik ważności : średni

Ta luka NIE została załatana. Ta wtyczka została zamknięta 28 grudnia 2021 r. Odinstaluj i usuń.

21. Kontrola domeny

Wtyczka: Sprawdzanie domeny
Luka w zabezpieczeniach: odbite skrypty między witrynami
Poprawiona w wersji : Brak znanej poprawki – wtyczka zamknięta
Wynik ważności : wysoki

Ta luka NIE została załatana. Ta wtyczka została zamknięta 28 grudnia 2021 r. Odinstaluj i usuń.

22. Przeglądarka dziennika błędów

Wtyczka: Przeglądarka dziennika błędów
Luka w zabezpieczeniach: usunięcie dowolnego pliku tekstowego przez CSRF
Poprawiona w wersji : Brak znanej poprawki – wtyczka zamknięta
Wynik ciężkości : niski

Ta luka NIE została załatana. Ta wtyczka została zamknięta 10 listopada 2021 r. Odinstaluj i usuń.

23. WP Odwiedzone kraje ponownie załadowane

Wtyczka: WP odwiedzone kraje ponownie załadowane
Luka w zabezpieczeniach: odbite skrypty między witrynami
Poprawiona w wersji : 3.1.1- wtyczka zamknięta
Wynik ważności : wysoki

Ta luka została załatana. Ta wtyczka została zamknięta 23 września 2021 r. Odinstaluj i usuń.

24. Kursy edukacyjne

Wtyczka: Kursy edukacyjne
Luka w zabezpieczeniach: Admin+ Stored Cross-Site Scripting
Łatka w wersji : 5.0 – wtyczka zamknięta
Wynik ciężkości : niski

Ta luka została załatana. Ta wtyczka została zamknięta 8 października 2021 r. Odinstaluj i usuń.

25. Doskonała ankieta

Wtyczka: doskonała ankieta
Luka w zabezpieczeniach: nieautoryzowane połączenie AJAX z zapisanymi ustawieniami XSS/ankiety
Łatka w wersji : 1.5.2 – wtyczka zamknięta
Wynik ważności : wysoki

Ta luka została załatana. Ta wtyczka została zamknięta 5 października 2021 r. Odinstaluj i usuń.

Wtyczka: doskonała ankieta
Luka : nieuwierzytelniony wstrzyknięcie SQL
Łatka w wersji : 1.5.2 – wtyczka zamknięta
Wynik ważności : wysoki

Ta luka została załatana. Ta wtyczka została zamknięta 5 października 2021 r. Odinstaluj i usuń.

Wtyczka: doskonała ankieta
Luka w zabezpieczeniach: odbite skrypty między witrynami
Łatka w wersji : 1.5.2 – wtyczka zamknięta
Wynik ważności : wysoki

Ta luka została załatana. Ta wtyczka została zamknięta 5 października 2021 r. Odinstaluj i usuń.

Wtyczka: doskonała ankieta
Luka w zabezpieczeniach: nieuwierzytelnione zapisane skrypty między witrynami
Poprawiona w wersji : Brak znanej poprawki – wtyczka zamknięta
Wynik ważności : wysoki

Ta luka została załatana. Ta wtyczka została zamknięta 5 października 2021 r. Odinstaluj i usuń.

Luki w zabezpieczeniach wtyczki WordPress: brak znanej poprawki

W tej sekcji najnowsze luki w zabezpieczeniach wtyczek do WordPressa zostały ujawnione w zamkniętych wtyczkach. Każda lista wtyczek zawiera rodzaj luki, ocenę ważności i datę zamknięcia.

26. Mediamatic

Wtyczka: Mediamatic
Luka w zabezpieczeniach : subskrybent + wstrzyknięcie SQL
Aktywna instalacja : 3000+
Poprawiona w wersji : brak znanej poprawki
Wynik ważności : wysoki

Ta luka NIE została załatana. Odinstaluj i usuń wtyczkę do czasu wydania poprawki.

Jak chronić swoją witrynę WordPress przed podatnymi wtyczkami i motywami?

Jak widać z tego raportu, co tydzień ujawnianych jest wiele nowych wtyczek WordPress i luk w motywach. Wiemy, że śledzenie każdego zgłoszonego ujawnienia luk w zabezpieczeniach może być trudne, więc wtyczka iThemes Security Pro ułatwia upewnienie się, że w Twojej witrynie nie jest uruchomiony motyw, wtyczka lub główna wersja WordPress ze znaną luką.

1. Zainstaluj wtyczkę iThemes Security Pro

Wtyczka iThemes Security Pro chroni Twoją witrynę WordPress przed najczęstszymi sposobami hakowania witryn. Dzięki ponad 30 sposobom zabezpieczenia witryny w jednej, łatwej w użyciu wtyczce.

2. Włącz skanowanie witryny w celu sprawdzenia znanych luk

Funkcja zarządzania wersjami w iThemes Security Pro integruje się ze skanowaniem witryny, aby chronić Twoją witrynę. Podatne motywy, wtyczki i podstawowe wersje WordPress zostaną automatycznie zaktualizowane.

3. Aktywuj wykrywanie zmian plików

Kluczem do szybkiego wykrycia naruszenia bezpieczeństwa jest monitorowanie zmian w plikach w Twojej witrynie. Funkcja wykrywania zmian plików w iThemes Security Pro przeskanuje pliki Twojej witryny i powiadomi Cię, gdy nastąpią zmiany w Twojej witrynie.

Uzyskaj iThemes Security Pro z całodobowym monitorowaniem bezpieczeństwa witryn

iThemes Security Pro, nasza wtyczka bezpieczeństwa WordPress, oferuje ponad 50 sposobów zabezpieczenia i ochrony Twojej witryny przed typowymi lukami w zabezpieczeniach WordPress. Dzięki WordPress, uwierzytelnianiu dwuskładnikowemu, ochronie przed brutalną siłą, silnemu egzekwowaniu haseł i nie tylko, możesz dodać dodatkowe warstwy bezpieczeństwa do swojej witryny.

Skaner witryn pod kątem luk w zabezpieczeniach wtyczek i motywów
Wykrywanie zmiany pliku
Pulpit bezpieczeństwa witryny w czasie rzeczywistym
Dzienniki bezpieczeństwa WordPress
Zaufane urządzenia
reCAPTCHA
Ochrona przed brutalną siłą
Eskalacja uprawnień
Sprawdzanie i odmowa złamanych haseł