Raport podatności WordPressa: listopad 2021, część 1

Opublikowany: 2021-11-03

Podatne wtyczki i motywy są głównym powodem ataków na witryny WordPress. Cotygodniowy raport na temat luk w zabezpieczeniach WordPress obsługiwany przez WPScan obejmuje najnowsze wtyczki WordPress, motywy i podstawowe luki w zabezpieczeniach oraz co zrobić, jeśli uruchomisz jedną z wrażliwych wtyczek lub motywów w swojej witrynie.

Każda podatność będzie miała wskaźnik ważności Niski , Średni , Wysoki lub Krytyczny . Odpowiedzialne ujawnianie i zgłaszanie luk w zabezpieczeniach jest integralną częścią zapewniania bezpieczeństwa społeczności WordPressa.

Udostępnij ten post swoim znajomym, aby pomóc w rozpowszechnianiu informacji i uczynić WordPress bezpieczniejszym dla wszystkich.

Chcesz co tydzień dostarczać ten raport do Twojej skrzynki odbiorczej?
Zapisz się do cotygodniowego e-maila

Główne luki w WordPressie

Najnowsza wersja rdzenia WordPressa to 5.8.1. W ramach najlepszej praktyki zawsze używaj najnowszej wersji rdzenia WordPressa!

Luki w zabezpieczeniach wtyczki WordPress

W tej sekcji ujawniono najnowsze luki w zabezpieczeniach wtyczki WordPress. Każda lista wtyczek zawiera rodzaj luki, numer wersji, jeśli została ona załatana, oraz ocenę ważności.

1. Recenzje Plus

Wtyczka: Recenzje Plus
Luka w zabezpieczeniach : Subskrybenci+ Recenzje DoS
Łatka w wersji : 1.2.14
Wynik ciężkości : niski

Luka została załatana, więc powinieneś zaktualizować ją do wersji 1.2.14.

2. Galeria pokazu slajdów

Wtyczka: Galeria pokazu slajdów
Luka w zabezpieczeniach: Admin+ Stored Cross-Site Scripting
Poprawione w wersji : 1.7.4
Wynik ciężkości : niski

Luka została załatana, więc powinieneś zaktualizować ją do wersji 1.7.4.

3. Główny WP Dziecko

Wtyczka: MainWP Child
Luka w zabezpieczeniach: Admin + wstrzyknięcie SQL
Poprawione w wersji : 4.1.8
Wynik ważności : średni

Luka została załatana, więc powinieneś zaktualizować ją do wersji 4.1.8.

4. Katalog produktów eCommerce dla WordPress

Wtyczka: Katalog produktów eCommerce dla WordPress
Luka w zabezpieczeniach: odbite skrypty między witrynami
Łatka w wersji : 3.0.39
Wynik ważności : wysoki

Luka została załatana, więc powinieneś zaktualizować ją do wersji 3.0.39.

5. Falang wielojęzyczny dla WordPress

Wtyczka: wielojęzyczny Falang dla WordPress
Luka w zabezpieczeniach: odbite skrypty między witrynami
Łatka w wersji : 1.3.18
Wynik ważności : wysoki

Luka została załatana, więc powinieneś zaktualizować ją do wersji 1.3.18.

6. Menedżer lekcji wideo

Wtyczka: Menedżer lekcji wideo
Luka w zabezpieczeniach: Admin+ Stored Cross-Site Scripting
Łatka w wersji : 1.7.2
Wynik ciężkości : niski

Luka została załatana, więc powinieneś zaktualizować ją do wersji 1.7.2.

7. Sprawdzanie pisowni WP

Wtyczka: Sprawdzanie pisowni WP
Luka w zabezpieczeniach: odbite skrypty między witrynami
Łatka w wersji : 9.3
Wynik ważności : wysoki

Luka została załatana, więc powinieneś zaktualizować ją do wersji 9.3.

8. E-commerce – uwierzytelnianie dwuetapowe

Wtyczka: E-commerce – uwierzytelnianie dwuetapowe
Luka w zabezpieczeniach: odbite skrypty między witrynami
Poprawione w wersji : 1.0.5
Wynik ważności : wysoki

Luka została załatana, więc powinieneś zaktualizować ją do wersji 1.0.5.

9. Ładowarka MAZ

Wtyczka: MAZ Loader
Luka w zabezpieczeniach: arbitralne usunięcie modułu ładującego za pośrednictwem CSRF
Poprawiona w wersji : brak znanej poprawki
Wynik ważności : wysoki

Ta luka NIE została załatana. Odinstaluj i usuń wtyczkę do czasu wydania poprawki.

10. Brama wieku

Wtyczka: Brama wieku
Luka w zabezpieczeniach: nieuwierzytelnione ustawienia importu
Łatka w wersji : 2.17.1
Ocena ważności : krytyczna

Luka została załatana, więc powinieneś zaktualizować ją do wersji 2.17.1.

11. Zduplikowany post

Wtyczka: zduplikowany post
Luka : uwierzytelniony wstrzyknięcie SQL
Łatka w wersji : 1.2.0
Wynik ważności : średni

Luka została załatana, więc powinieneś zaktualizować ją do wersji 1.2.0.

12. Powiadomienie

Wtyczka: Powiadomienie
Luka w zabezpieczeniach: Admin+ Stored Cross-Site Scripting
Poprawione w wersji : 8.0.0
Wynik ciężkości : niski

Luka została załatana, więc powinieneś zaktualizować ją do wersji 8.0.0.

13. Połączenia Katalog firm

Wtyczka: Połączenia Katalog Firm
Luka w zabezpieczeniach: Admin + wstrzyknięcie CSV
Poprawione w wersji : 9.7
Wynik ważności : średni

Luka została załatana, więc powinieneś zaktualizować ją do wersji 9.7.

14. Tagi mediów

Wtyczka: Media-Tagi
Luka w zabezpieczeniach: Admin+ Stored Cross-Site Scripting
Poprawiona w wersji : Brak znanej poprawki – wtyczka zamknięta
Wynik ciężkości : niski

Ta luka NIE została załatana. Ta wtyczka została zamknięta 28 września 2021 r. Odinstaluj i usuń.

15. O autorze Box

Wtyczka: O polu autora
Luka w zabezpieczeniach : Przechowywane skrypty między witrynami Contributor+
Poprawione w wersji : 1.0.2
Wynik ważności : średni

Luka została załatana, więc powinieneś zaktualizować ją do wersji 1.0.2.

16. Subskrypcje i członkostwo w systemie PayPal

Wtyczka: subskrypcje i członkostwo w systemie PayPal
Luka w zabezpieczeniach : Odzwierciedlenie skryptów między witrynami za pośrednictwem parametru strony
Łatka w wersji : 1.1.3
Wynik ważności : wysoki

Luka została załatana, więc powinieneś zaktualizować ją do wersji 1.1.3.

17. Przyjmuj darowizny za pomocą PayPal

Wtyczka: Akceptuj darowizny za pomocą PayPal
Luka w zabezpieczeniach : Odzwierciedlenie skryptów między witrynami za pośrednictwem parametru strony
Poprawione w wersji : 1.3.1
Wynik ważności : wysoki

Luka została załatana, więc powinieneś zaktualizować ją do wersji 1.3.1.

18. Łatwe wydarzenia PayPal

Wtyczka: Łatwe wydarzenia PayPal
Luka w zabezpieczeniach : Odzwierciedlenie skryptów między witrynami za pośrednictwem parametru strony
Poprawione w wersji : 1.1.2
Wynik ważności : wysoki

Luka została załatana, więc powinieneś zaktualizować ją do wersji 1.1.2.

19. Wyskakujące cokolwiek

Wtyczka: wyskakujące cokolwiek
Luka w zabezpieczeniach : Przechowywane skrypty między witrynami Contributor+
Łatka w wersji : 2.0.4
Wynik ważności : wysoki

Luka została załatana, więc powinieneś zaktualizować ją do wersji 2.0.4.

20. Menedżer pracy JS

Wtyczka: JS Job Manager
Luka w zabezpieczeniach: instalacja/aktywacja nieuwierzytelnionej arbitralnej wtyczki
Poprawione w wersji : 1.1.9
Ocena ważności : krytyczna

Luka została załatana, więc powinieneś zaktualizować ją do wersji 1.1.9.

21. Zbiorcza zmiana daty i godziny

Wtyczka: Zbiorcza zmiana daty i godziny
Luka w zabezpieczeniach: brak autoryzacji
Łatka w wersji : 1.12
Wynik ważności : średni

Luka została załatana, więc powinieneś zaktualizować ją do wersji 1.12.

22. Formy ninja

Wtyczka: Formularze Ninja
Luka w zabezpieczeniach: Admin + wstrzyknięcie SQL
Łatka w wersji : 3.6.4
Wynik ważności : średni

Luka została załatana, więc powinieneś zaktualizować ją do wersji 3.6.4.

23. Eksport załączników WP

Wtyczka: Eksport załączników WP
Luka w zabezpieczeniach: pobieranie nieuwierzytelnionych postów
Poprawione w wersji : 0.2.4
Wynik ważności : wysoki

Luka została załatana, więc powinieneś zaktualizować ją do wersji 0.2.4.

24. Suwak treści w poście

Wtyczka: suwak tekstu treści w poście
Luka w zabezpieczeniach: uwierzytelnione zapisane skrypty między witrynami (XSS)
Poprawione w wersji : 6.9
Wynik ważności : średni

Luka została załatana, więc powinieneś zaktualizować ją do wersji 6.9.

25. Importer wersji demonstracyjnych HashThemes

Wtyczka: Importer wersji demonstracyjnych HashThemes
Luka w zabezpieczeniach: niewłaściwa kontrola dostępu do resetowania bloga
Poprawione w wersji : 1.1.2
Ocena ważności : krytyczna

Luka została załatana, więc powinieneś zaktualizować ją do wersji 1.1.2.

26. Zapisy do kalendarza wydarzeń

Wtyczka: Rejestracje do kalendarza wydarzeń
Luka w zabezpieczeniach: odbite skrypty między witrynami
Łatka w wersji : 2.7.5
Wynik ważności : wysoki

Luka została załatana, więc powinieneś zaktualizować ją do wersji 2.7.5.

27. Tablica mang WP

Wtyczka: Mang Board WP
Luka : wstrzyknięcie SQL
Poprawione w wersji : 1.6.9
Wynik ważności : wysoki

Luka została załatana, więc powinieneś zaktualizować ją do wersji 1.6.9.

28. OptinMonster

Wtyczka: OptinMonster
Luka w zabezpieczeniach: niechronione punkty końcowe interfejsu API REST
Łatka w wersji : 2.6.5
Wynik ważności : wysoki

Luka została załatana, więc powinieneś zaktualizować ją do wersji 2.6.5.

29. NextScripts: Auto-plakat sieci społecznościowych

Wtyczka: NextScripts: Auto-plakat sieci społecznościowych
Luka w zabezpieczeniach: odbite skrypty między witrynami
Łatka w wersji : 4.3.21
Wynik ważności : wysoki

Luka została załatana, więc powinieneś zaktualizować ją do wersji 4.3.21.

30. Smash Balloon Social Post Feed

Wtyczka: Smash Balloon Social Post Feed
Luka w zabezpieczeniach: aktualizacja ustawień subskrybenta + arbitralnych wtyczek do zapisanych XSS
Łatka w wersji : 4.0.1
Wynik ważności : wysoki

Luka została załatana, więc powinieneś zaktualizować ją do wersji 4.0.1.

31. WP-Pro-Quiz

Wtyczka: WP-Pro-Quiz
Luka w zabezpieczeniach: usunięcie arbitralnego quizu przez CSRF
Poprawiona w wersji : Brak znanej poprawki – wtyczka zamknięta
Wynik ważności : średni

Ta luka NIE została załatana. Ta wtyczka została zamknięta 17 lipca 2020 r. Odinstaluj i usuń.

32. Formularz kontaktowy przez Supsystic

Wtyczka: Formularz kontaktowy przez Supsystic
Luka w zabezpieczeniach: Admin+ Stored Cross-Site Scripting
Poprawiona w wersji : brak znanej poprawki
Wynik ciężkości : niski

Ta luka NIE została załatana. Odinstaluj i usuń wtyczkę do czasu wydania poprawki.

33. Statystyki WP

Wtyczka: WP-Stats
Luka w zabezpieczeniach: CSRF do Stored Cross-Site Scripting (XSS)
Poprawione w wersji : 2.52
Wynik ważności : wysoki

Ta wtyczka nie została przetestowana z najnowszymi 3 głównymi wydaniami WordPressa. Może nie być już utrzymywany lub wspierany i może mieć problemy ze zgodnością, gdy jest używany z nowszymi wersjami WordPressa.
Ta luka NIE została załatana. Odinstaluj i usuń wtyczkę do czasu wydania poprawki.

Jak chronić swoją witrynę WordPress przed podatnymi wtyczkami i motywami?

Jak widać z tego raportu, co tydzień ujawnianych jest wiele nowych wtyczek WordPress i luk w motywach. Wiemy, że śledzenie każdego zgłoszonego ujawnienia luki w zabezpieczeniach może być trudne, więc wtyczka iThemes Security Pro ułatwia upewnienie się, że w Twojej witrynie nie jest uruchomiony motyw, wtyczka lub główna wersja WordPress ze znaną luką.

1. Zainstaluj wtyczkę iThemes Security Pro

Wtyczka iThemes Security Pro chroni Twoją witrynę WordPress przed najczęstszymi sposobami hakowania witryn. Dzięki ponad 30 sposobom zabezpieczenia witryny w jednej, łatwej w użyciu wtyczce.

2. Włącz skanowanie witryny w celu sprawdzenia znanych luk

Funkcja zarządzania wersjami w iThemes Security Pro integruje się ze skanowaniem witryny, aby chronić Twoją witrynę. Podatne motywy, wtyczki i podstawowe wersje WordPress zostaną automatycznie zaktualizowane.

3. Monitoruj zmiany plików

Kluczem do szybkiego wykrycia naruszenia bezpieczeństwa jest monitorowanie zmian w plikach w Twojej witrynie. Funkcja wykrywania zmian plików w iThemes Security Pro przeskanuje pliki Twojej witryny i powiadomi Cię, gdy nastąpią zmiany w Twojej witrynie.

Uzyskaj iThemes Security Pro z całodobowym monitorowaniem witryn

iThemes Security Pro, nasza wtyczka bezpieczeństwa WordPress, oferuje ponad 50 sposobów zabezpieczenia i ochrony Twojej witryny przed typowymi lukami w zabezpieczeniach WordPress. Dzięki WordPress, uwierzytelnianiu dwuskładnikowemu, ochronie przed brutalną siłą, silnemu egzekwowaniu haseł i nie tylko, możesz dodać dodatkowe warstwy bezpieczeństwa do swojej witryny.

  • Skaner witryn pod kątem luk w zabezpieczeniach wtyczek i motywów
  • Wykrywanie zmiany pliku
  • Pulpit bezpieczeństwa witryny w czasie rzeczywistym
  • Dzienniki bezpieczeństwa WordPress
  • Zaufane urządzenia
  • reCAPTCHA
  • Ochrona przed brutalną siłą
  • Uwierzytelnianie dwuskładnikowe
  • Magiczne linki logowania
  • Eskalacja uprawnień
  • Sprawdzanie i odmowa złamanych haseł

Uzyskaj iThemes Security Pro