Raport podatności WordPressa: styczeń 2022, część 2
Opublikowany: 2022-01-12Podatne wtyczki i motywy są głównym powodem ataków na witryny WordPress. Cotygodniowy raport na temat luk w zabezpieczeniach WordPress obsługiwany przez WPScan obejmuje najnowsze wtyczki WordPress, motywy i podstawowe luki w zabezpieczeniach oraz co zrobić, jeśli uruchomisz jedną z wrażliwych wtyczek lub motywów w swojej witrynie.
Każda podatność będzie miała wskaźnik ważności Niski , Średni , Wysoki lub Krytyczny . Odpowiedzialne ujawnianie i zgłaszanie luk w zabezpieczeniach jest integralną częścią zapewniania bezpieczeństwa społeczności WordPressa. Nowość w tym raporcie: luki są teraz wymienione w kolejności według liczby aktywnych instalacji, a nie daty ujawnienia.
Podziel się tym postem ze znajomymi, aby pomóc w rozpowszechnianiu informacji i uczynić WordPress bezpieczniejszym dla wszystkich !
Główne luki w WordPressie
Najnowsza wersja rdzenia WordPressa została wydana 6 stycznia 2022 r. jako krótkookresowe wydanie bezpieczeństwa. Ponieważ WordPress 5.8.3 jest wydaniem bezpieczeństwa, zalecamy natychmiastową aktualizację wszystkich swoich witryn.
Możesz zaktualizować do WordPress 5.8.3, pobierając z WordPress.org lub odwiedzając pulpit nawigacyjny WordPressa > Aktualizacje i klikając Aktualizuj teraz .
Jeśli masz witryny, które mają włączone automatyczne aktualizacje w tle, powinny już zostać pomyślnie zaktualizowane.
Rdzeń WordPressa
Luka : wstrzyknięcie SQL przez WP_Query
Łatka w wersji : 5.8.3
Objaśnienie: Z powodu braku odpowiedniego oczyszczania w WP_Meta_Query, istnieje możliwość ślepego wstrzykiwania SQL.
Luka w zabezpieczeniach: autor + przechowywany XSS za pośrednictwem Post Slugs
Łatka w wersji : 5.8.3
Objaśnienie: Uwierzytelnieni użytkownicy o niskich uprawnieniach (np. autor) w rdzeniu WordPressa są w stanie wykonać JavaScript/wykonać zapisane ataki XSS poprzez post slugs, co może mieć wpływ na użytkowników o wysokich uprawnieniach.
Luka w zabezpieczeniach: wstrzyknięcie obiektu superadministratora w wielu witrynach
Łatka w wersji : 5.8.3
Objaśnienie: W systemie wielostanowiskowym użytkownicy z rolą superadministratora mogą w pewnych warunkach ominąć jawne/dodatkowe zabezpieczenie przez wstrzyknięcie obiektu.
Luka : wstrzyknięcie SQL przez WP_Meta_Query
Łatka w wersji : 5.8.3
Objaśnienie: Z powodu braku odpowiedniego oczyszczania w WP_Meta_Query, istnieje możliwość ślepego wstrzykiwania SQL.
Luki w zabezpieczeniach wtyczki WordPress
W tej sekcji ujawniono najnowsze luki w zabezpieczeniach wtyczki WordPress. Każda lista wtyczek zawiera typ luki, aktywne instalacje, numer wersji, jeśli została ona załatana, oraz ocenę ważności.
1. Wsparcie SVG
Wtyczka: Wsparcie SVG
Luka w zabezpieczeniach: Admin+ Stored Cross-Site Scripting
Aktywna instalacja : 800 000+
Łatka w wersji : 2.3.20
Wynik ciężkości : niski
2. Czyszczenie zasobów
Wtyczka: czyszczenie zasobów
Luka w zabezpieczeniach: odbite skrypty między witrynami za pośrednictwem akcji AJAX
Aktywna instalacja : 100 000+
Łatka w wersji : 1.3.8.5
Wynik ważności : wysoki
Wtyczka: czyszczenie zasobów
Luka w zabezpieczeniach: odbite skrypty między witrynami
Aktywna instalacja : 100 000+
Łatka w wersji : 1.3.8.5
Wynik ważności : średni
3. Płatne członkostwo Pro
Wtyczka: Płatne członkostwo Pro
Luka w zabezpieczeniach: nieuwierzytelniony, ślepy wstrzyknięcie SQL
Aktywna instalacja : 100 000+
Poprawione w wersji : 2.6.7
Ocena ważności : krytyczna
4. NextScripts: Auto-plakat sieci społecznościowych
Wtyczka: NextScripts: Auto-plakat sieci społecznościowych
Luka w zabezpieczeniach: arbitralne usunięcie posta za pośrednictwem CSRF
Aktywna instalacja : 90 000+
Łatka w wersji : 4.3.25
Wynik ważności : średni
Wtyczka: NextScripts: Auto-plakat sieci społecznościowych
Luka w zabezpieczeniach: nieuwierzytelniony przechowywany XSS
Aktywna instalacja : 90 000+
Łatka w wersji : 4.3.25
Wynik ważności : wysoki
5. Poszukiwanie kości słoniowej
Wtyczka: Wyszukiwanie kości słoniowej
Luka w zabezpieczeniach : Przechowywane skrypty między witrynami Contributor+
Aktywna instalacja : 80 000+
Łatka w wersji : 5.4.1
Wynik ważności : wysoki
6. Łatwy kanał społecznościowy
Wtyczka: Łatwy kanał społecznościowy
Luka w zabezpieczeniach: odbite skrypty między witrynami (XSS)
Aktywna instalacja : 70 000+
Poprawione w wersji : 6.2.7
Wynik ważności : wysoki
7. Wizualny edytor stylów CSS
Wtyczka: wizualny edytor stylów CSS
Luka w zabezpieczeniach: odbite skrypty między witrynami
Aktywna instalacja : 50 000+
Łatka w wersji : 7.5.4
Wynik ważności : wysoki
8. Wpisy w formularzu kontaktowym
Wtyczka: Wpisy do formularza kontaktowego
Luka w zabezpieczeniach: nieuwierzytelnione zapisane skrypty między witrynami
Aktywna instalacja : 40 000+
Łatka w wersji : 1.1.7
Wynik ważności : wysoki
9. Zaawansowany menedżer Cron
Wtyczka: Zaawansowany menedżer Cron
Luka w zabezpieczeniach: Subskrybent + arbitralne zdarzenia/tworzenie/usuwanie harmonogramów
Aktywna instalacja : 30 000+
Łatka w wersji : 2.4.2
Wynik ważności : średni
10. Strony prawne WPL
Wtyczka: WPLegalPages
Luka w zabezpieczeniach: aktualizacja arbitralnych ustawień subskrybenta i zapisanych ustawień XSS
Aktywna instalacja : 20 000+
Łatka w wersji : 2.7.1
Wynik ważności : średni
11. Statystyki odwiedzających WP (Ruch w czasie rzeczywistym)
Wtyczka: statystyki odwiedzin WP (ruch w czasie rzeczywistym)
Luka w zabezpieczeniach : subskrybent + wstrzyknięcie SQL
Aktywna instalacja : 20 000+
Poprawione w wersji : 4.8
Wynik ważności : wysoki
12. Niegodziwe foldery
Wtyczka: Złe foldery
Luka w zabezpieczeniach : subskrybent + wstrzyknięcie SQL
Aktywna instalacja : ponad 10 000
Poprawione w wersji : 2.8.10
Wynik ważności : wysoki
13. WsparcieCandy
Wtyczka: SupportCandy
Luka w zabezpieczeniach : Przechowywane skrypty między witrynami Contributor+
Aktywna instalacja : ponad 10 000
Poprawione w wersji : 2.2.7
Wynik ważności : średni
Wtyczka: SupportCandy
Luka : CSRF do skryptów między witrynami
Aktywna instalacja : ponad 10 000
Poprawione w wersji : 2.2.7
Wynik ważności : średni
Wtyczka: SupportCandy
Luka w zabezpieczeniach: arbitralne usunięcie zgłoszenia za pośrednictwem CSRF
Aktywna instalacja : ponad 10 000
Poprawione w wersji : 2.2.7
Wynik ważności : wysoki
Wtyczka: SupportCandy
Luka w zabezpieczeniach: usunięcie nieuwierzytelnionego arbitralnego zgłoszenia
Aktywna instalacja : ponad 10 000
Poprawione w wersji : 2.2.7
Wynik ważności : wysoki
Wtyczka: SupportCandy
Luka w zabezpieczeniach: odbite skrypty między witrynami
Aktywna instalacja : ponad 10 000
Poprawione w wersji : 2.2.7
Wynik ważności : średni
14. Zmień rozmieszczenie produktów Woocommerce
Wtyczka: Zmień rozmieszczenie produktów Woocommerce
Luka w zabezpieczeniach : subskrybent + wstrzyknięcie SQL
Aktywna instalacja : ponad 10 000
Poprawione w wersji : 3.0.8
Wynik ważności : wysoki
15. Blokowanie kraju lokalizacji IP2
Wtyczka: Blokowanie kraju lokalizacji IP2
Luka w zabezpieczeniach: arbitralny zakaz kraju przez CSRF
Aktywna instalacja : ponad 10 000
Łatka w wersji : 2.26.6
Wynik ważności : średni
Wtyczka: blokowanie kraju lokalizacji IP2
Luka w zabezpieczeniach: Abonent + arbitralny zakaz kraju
Aktywna instalacja : ponad 10 000
Łatka w wersji : 2.26.6
Wynik ważności : średni
Wtyczka: Blokowanie kraju lokalizacji IP2
Luka w zabezpieczeniach: obejście zakazu
Aktywna instalacja : ponad 10 000
Łatka w wersji : 2.26.6
Wynik ważności : średni
16. Niesamowite wsparcie – WordPress HelpDesk i wtyczka wsparcia
Wtyczka: Niesamowite wsparcie – Titan Framework
Luka w zabezpieczeniach: odbite skrypty między witrynami (XSS)
Aktywna instalacja : ponad 10 000
Łatka w wersji : 6.0.11
Wynik ważności : wysoki
17. Najlepszy katalog produktów
Wtyczka: ostateczny katalog produktów
Luka w zabezpieczeniach: Subskrybent + dowolne tworzenie produktu i aktualizacja ustawień
Aktywna instalacja : 10 000
Poprawione w wersji : 5.0.26
Wynik ważności : średni
18. Osadzanie dokumentów
Wtyczka: Osadzanie dokumentów
Luka w zabezpieczeniach: Subskrybent + arbitralne ujawnienie tytułu prywatnego/projektu postu
Aktywna instalacja : 9000+
Poprawione w wersji : 1.7.9
Wynik ważności : średni
Wtyczka: Osadzanie dokumentów
Luka w zabezpieczeniach: Ujawnienie nieuwierzytelnionego arbitralnego prywatnego/projektu tytułu wpisu
Aktywna instalacja : 9000+
Poprawione w wersji : 1.7.9
Wynik ważności : średni
19. RVM – responsywne mapy wektorowe
Wtyczka: RVM – Responsywne mapy wektorowe
Luka w zabezpieczeniach: Abonent + odczyt dowolnego pliku
Aktywna instalacja : 6000+
Łatka w wersji : 6.4.2
Wynik ważności : wysoki
20. Mediamatic
Wtyczka: Mediamatic
Luka w zabezpieczeniach : subskrybent + wstrzyknięcie SQL
Aktywna instalacja : 3000+
Łatka w wersji : 2.8.1
Wynik ważności : wysoki
21. Woopra
Wtyczka: Woopra
Luka w zabezpieczeniach: przesyłanie nieuwierzytelnionego arbitralnego pliku
Aktywna instalacja : 2000+
Poprawione w wersji : 1.4.3.2
Ocena ważności : krytyczna
22. Menedżer dostępu do praw użytkownika
Wtyczka: Menedżer dostępu do praw użytkownika
Luka w zabezpieczeniach : Obejście ograniczeń dostępu
Aktywna instalacja : 900+
Łatka w wersji : 1.0.8
Wynik ważności : średni
23. Przycisk YuMoney
Wtyczka: przycisk YuMoney – Titan Framework
Luka w zabezpieczeniach: odbite skrypty między witrynami (XSS)
Aktywna instalacja : 900+
Poprawione w wersji : 2.4.0
Wynik ważności : wysoki
24. Integracja TrustMate.io dla WooCommerce
Wtyczka: Integracja TrustMate.io dla WooCommerce
Luka w zabezpieczeniach: aktualizacja ustawień subskrybenta + arbitralnej wtyczki
Aktywna instalacja : 300+
Łatka w wersji : 1.8.12
Wynik ważności : wysoki
Wtyczka: Integracja TrustMate.io dla WooCommerce
Luka w zabezpieczeniach: Subskrybent + arbitralna aktualizacja opcji bloga
Aktywna instalacja : 300+
Łatka w wersji : 1.7.1
Wynik ważności : wysoki
25. Prawdziwy Ranker
Wtyczka: True Ranker
Luka w zabezpieczeniach: nieuwierzytelniony, arbitralny dostęp do plików za pośrednictwem przechodzenia ścieżki
Aktywna instalacja : 300+
Poprawiona w wersji : 2.2.4
Wynik ważności : wysoki
26. WebHotelier dla WordPress
Wtyczka: WebHotelier dla WordPress – Titan Framework
Luka w zabezpieczeniach: odbite skrypty między witrynami (XSS)
Aktywna instalacja : 200+
Łatka w wersji : 1.6.1
Wynik ważności : wysoki
Luki w zabezpieczeniach wtyczek Premium
W tej sekcji ujawniono najnowsze luki w zabezpieczeniach wtyczki WordPress premium. Każda lista wtyczek zawiera rodzaj luki, numer wersji, jeśli została ona załatana, oraz ocenę ważności.
27. Zaawansowany Cron Manager Pro
Wtyczka: Advanced Cron Manager Pro
Luka w zabezpieczeniach: Subskrybent + arbitralne zdarzenia/tworzenie/usuwanie harmonogramów
Łatka w wersji : 2.5.3
Wynik ważności : średni
Luki w zabezpieczeniach wtyczki WordPress: brak znanej poprawki
W tej sekcji najnowsze luki w zabezpieczeniach wtyczek do WordPressa zostały ujawnione w zamkniętych wtyczkach. Każda lista wtyczek zawiera rodzaj luki, ocenę ważności i datę zamknięcia.
28. Formularz kontaktowy 7 skórek
Wtyczka: Formularz kontaktowy 7 skórek
Luka w zabezpieczeniach: odbite skrypty między witrynami (XSS)
Aktywna instalacja : 30 000+
Poprawiona w wersji : brak znanej poprawki
Wynik ważności : średni
29. WooRockets Nitro
Wtyczka: WooRockets Nitro
Luka w zabezpieczeniach: instalacja nieuwierzytelnionej arbitralnej wtyczki
Poprawiona w wersji : brak znanej poprawki
Ocena ważności : krytyczna
30. Partner Amazon
Wtyczka: Partner Amazon
Luka w zabezpieczeniach: odbite skrypty między witrynami
Poprawiona w wersji : brak znanej poprawki
Wynik ważności : średni
Jak chronić swoją witrynę WordPress przed podatnymi wtyczkami i motywami?
Jak widać z tego raportu, co tydzień ujawnianych jest wiele nowych wtyczek WordPress i luk w motywach. Wiemy, że śledzenie każdego zgłoszonego ujawnienia luk w zabezpieczeniach może być trudne, więc wtyczka iThemes Security Pro ułatwia upewnienie się, że w Twojej witrynie nie jest uruchomiony motyw, wtyczka lub główna wersja WordPress ze znaną luką.
1. Zainstaluj wtyczkę iThemes Security Pro
Wtyczka iThemes Security Pro chroni Twoją witrynę WordPress przed najczęstszymi sposobami hakowania witryn. Dzięki ponad 30 sposobom zabezpieczenia witryny w jednej, łatwej w użyciu wtyczce.
2. Włącz skanowanie witryny w celu sprawdzenia znanych luk
Funkcja zarządzania wersjami w iThemes Security Pro integruje się ze skanowaniem witryny, aby chronić Twoją witrynę. Podatne motywy, wtyczki i podstawowe wersje WordPress zostaną automatycznie zaktualizowane.
3. Aktywuj wykrywanie zmian plików
Kluczem do szybkiego wykrycia naruszenia bezpieczeństwa jest monitorowanie zmian w plikach w Twojej witrynie. Funkcja wykrywania zmian plików w iThemes Security Pro przeskanuje pliki Twojej witryny i powiadomi Cię, gdy nastąpią zmiany w Twojej witrynie.
Uzyskaj iThemes Security Pro z całodobowym monitorowaniem bezpieczeństwa witryn
iThemes Security Pro, nasza wtyczka bezpieczeństwa WordPress, oferuje ponad 50 sposobów zabezpieczenia i ochrony Twojej witryny przed typowymi lukami w zabezpieczeniach WordPress. Dzięki WordPress, uwierzytelnianiu dwuskładnikowemu, ochronie przed brutalną siłą, silnemu egzekwowaniu haseł i nie tylko, możesz dodać dodatkowe warstwy bezpieczeństwa do swojej witryny.
