Raport podatności WordPressa: listopad 2021, część 2
Opublikowany: 2021-11-10Podatne wtyczki i motywy są głównym powodem ataków na witryny WordPress. Cotygodniowy raport na temat luk w zabezpieczeniach WordPress obsługiwany przez WPScan obejmuje najnowsze wtyczki WordPress, motywy i podstawowe luki w zabezpieczeniach oraz co zrobić, jeśli uruchomisz jedną z wrażliwych wtyczek lub motywów w swojej witrynie.
Każda podatność będzie miała wskaźnik ważności Niski , Średni , Wysoki lub Krytyczny . Odpowiedzialne ujawnianie i zgłaszanie luk w zabezpieczeniach jest integralną częścią zapewniania bezpieczeństwa społeczności WordPressa.
Udostępnij ten post swoim znajomym, aby pomóc w rozpowszechnianiu informacji i uczynić WordPress bezpieczniejszym dla wszystkich.
Główne luki w WordPressie
Najnowsza wersja rdzenia WordPressa to 5.8.1. W ramach najlepszej praktyki zawsze używaj najnowszej wersji rdzenia WordPressa!
Luki w zabezpieczeniach wtyczki WordPress
W tej sekcji ujawniono najnowsze luki w zabezpieczeniach wtyczki WordPress. Każda lista wtyczek zawiera rodzaj luki, numer wersji, jeśli została ona załatana, oraz ocenę ważności.
1. Galeria konkursowa
Wtyczka: Galeria konkursowa
Luka w zabezpieczeniach : ujawnienie adresu e-mail subskrybenta+
Łatka w wersji : 13.1.0.7
Wynik ważności : średni
Wtyczka: Galeria konkursowa
Luka w zabezpieczeniach: brak kontroli dostępu do nieuwierzytelnionego wstrzyknięcia SQL / ujawnienie adresu e-mail
Łatka w wersji : 13.1.0.6
Wynik ważności : wysoki
2. Sprawdź i zarejestruj e-mail
Wtyczka: Sprawdź i zarejestruj e-mail
Luka w zabezpieczeniach: odbite skrypty między witrynami
Poprawione w wersji : 1.0.4
Wynik ważności : wysoki
3. Menedżer PDF BSK
Wtyczka: Menedżer PDF BSK
Luka w zabezpieczeniach: Admin + wstrzyknięcie SQL
Poprawione w wersji : 3.1.2
Wynik ważności : średni
4. Stylowy kalkulator kosztów
Wtyczka: Stylowy Kalkulator Kosztów
Luka w zabezpieczeniach: subskrybent + nieautoryzowane połączenia AJAX z przechowywanymi XSS
Łatka w wersji : 7.0.4
Wynik ważności : wysoki
5. Strona sklepu WP
Wtyczka: Strona sklepu WP
Luka w zabezpieczeniach: Admin+ Stored Cross-Site Scripting
Poprawione w wersji : 1.2.8
Wynik ważności : średni
6. Ibtana – dodatki do produktów e-commerce
Wtyczka: Ibtana – dodatki do produktów e-commerce
Luka w zabezpieczeniach: odbite skrypty między witrynami
Poprawione w wersji : 0.2.4
Wynik ważności : wysoki
7. Agregator RSS WP
Wtyczka: agregator RSS WP
Luka w zabezpieczeniach: Admin+ Stored Cross-Site Scripting
Łatka w wersji : 4.19.2
Wynik ciężkości : niski
8. Generuj bloki
Wtyczka: Generuj bloki
Luka w zabezpieczeniach : Przechowywane skrypty między witrynami Contributor+
Poprawione w wersji : 1.4.0
Wynik ważności : średni
9. Wyślij e-mailem przed pobraniem
Wtyczka: e-mail przed pobraniem
Luka w zabezpieczeniach: Admin + wstrzyknięcie SQL
Poprawione w wersji : 6.8
Wynik ważności : średni
10. mój kredyt
Wtyczka: myCred
Luka w zabezpieczeniach : subskrybent + wstrzyknięcie SQL
Łatka w wersji : 2.3
Wynik ważności : wysoki
11. Łatwe Mapy Google
Wtyczka: Łatwe Mapy Google
Luka w zabezpieczeniach: Admin+ Stored Cross-Site Scripting
Łatka w wersji : 1.10.1
Wynik ciężkości : niski
12. Mój kalendarz
Wtyczka: Mój kalendarz
Luka w zabezpieczeniach: subskrybent + odbijane skrypty między witrynami
Łatka w wersji : 3.2.18
Wynik ważności : średni
13. Kreator formularzy ARForms
Wtyczka: Kreator formularzy ARForms
Luka w zabezpieczeniach: Admin+ Stored Cross-Site Scripting
Poprawione w wersji : 1,5
Wynik ciężkości : niski
14. Narzędzia WP DSGVO
Wtyczka: Narzędzia WP DSGVO
Luka w zabezpieczeniach: nieuwierzytelnione arbitralne usunięcie posta
Łatka w wersji : 3.1.24
Wynik ważności : wysoki
15. WP Cały import
Wtyczka: WP All Import
Luka w zabezpieczeniach: Admin+ Stored Cross-Site Scripting
Poprawione w wersji : 3.6.3
Wynik ciężkości : niski
16. WPS Ukryj logowanie
Wtyczka: WPS Ukryj Login
Luka w zabezpieczeniach: obejście ochrony z nagłówkiem odsyłającym
Łatka w wersji : 1.9.1
Wynik ważności : średni
17. Czcionki WP Google
Wtyczka: Czcionki WP Google
Luka w zabezpieczeniach: odbite skrypty między witrynami
Poprawione w wersji : 3.1.5
Wynik ważności : średni
18. Event Manager dla WooCommerce
Wtyczka: Menedżer zdarzeń dla WooCommerce
Luka w zabezpieczeniach: import nieuwierzytelnionego arbitralnego szablonu elementu Elementor
Łatka w wersji : 3.5.3
Wynik ważności : średni
Wtyczka: Menedżer zdarzeń dla WooCommerce
Luka w zabezpieczeniach: nieuwierzytelnione arbitralne opcje resetowania
Łatka w wersji : 3.5.3
Wynik ważności : wysoki
19. AutomatorWP
Wtyczka: AutomatorWP
Luka w zabezpieczeniach: brakująca autoryzacja i eskalacja uprawnień
Łatka w wersji : 1.7.6
Wynik ważności : średni
20. Suwak logo i prezentacja
Wtyczka: suwak logo i prezentacja
Luka : Aktualizacja ustawień wtyczki edytora
Łatka w wersji : 1.3.37
Wynik ciężkości : niski
21. Stylowy cennik
Wtyczka: stylowy cennik
Luka w zabezpieczeniach: przesyłanie nieuwierzytelnionego arbitralnego obrazu
Łatka w wersji : 6.9.0
Wynik ważności : średni
Wtyczka: stylowy cennik
Luka w zabezpieczeniach: subskrybent + arbitralne przesyłanie obrazu
Łatka w wersji : 6.9.1
Wynik ważności : średni
22. Debugowanie WP
Wtyczka: Debugowanie WP
Luka : Aktualizacja ustawień nieuwierzytelnionej wtyczki
Łatka w wersji : 2.11.0
Wynik ważności : średni
23. Lista hoteli
Wtyczka: Lista hoteli
Luka w zabezpieczeniach: uwierzytelnione przechowywane przechowywane skrypty między witrynami
Łatka w wersji : 1.3.3
Wynik ważności : średni
24. Śledzenie e-maili
Wtyczka: Śledzenie poczty e-mail
Luka w zabezpieczeniach: odbite skrypty między witrynami
Łatka w wersji : 5.2.6
Wynik ważności : wysoki
25. Formularz kontaktowy przez Supsystic
Wtyczka: Formularz kontaktowy przez Supsystic
Luka w zabezpieczeniach: Admin+ Stored Cross-Site Scripting
Łatka w wersji : 1.7.20
Wynik ciężkości : niski
26. Menu Restauracji MotoPress
Wtyczka: Menu restauracji MotoPress
Luka w zabezpieczeniach: Admin+ Stored Cross Site Scripting
Łatka w wersji : 2.4.2
Wynik ciężkości : niski
27. Przekierowanie SEO
Wtyczka: Przekierowanie SEO
Luka w zabezpieczeniach : subskrybent + wstrzyknięcie SQL
Poprawione w wersji : 8.2
Wynik ważności : średni
28. Nauczyciel LMS
Wtyczka: Tutor LMS
Luka w zabezpieczeniach: odbite skrypty między witrynami
Łatka w wersji : 1.9.11
Wynik ważności : średni
29. Formy ninja
Wtyczka: Formularze Ninja
Luka w zabezpieczeniach: Admin + wstrzyknięcie SQL
Łatka w wersji : 3.6.4
Wynik ważności : średni
30. Zapisy do kalendarza wydarzeń
Wtyczka: Rejestracje do kalendarza wydarzeń
Luka w zabezpieczeniach: odbite skrypty między witrynami
Łatka w wersji : 2.7.5
Wynik ważności : wysoki
Jak chronić swoją witrynę WordPress przed podatnymi wtyczkami i motywami?
Jak widać z tego raportu, co tydzień ujawnianych jest wiele nowych wtyczek WordPress i luk w motywach. Wiemy, że śledzenie każdego zgłoszonego ujawnienia luki w zabezpieczeniach może być trudne, więc wtyczka iThemes Security Pro ułatwia upewnienie się, że w Twojej witrynie nie jest uruchomiony motyw, wtyczka lub główna wersja WordPress ze znaną luką.
1. Zainstaluj wtyczkę iThemes Security Pro
Wtyczka iThemes Security Pro chroni Twoją witrynę WordPress przed najczęstszymi sposobami hakowania witryn. Dzięki ponad 30 sposobom zabezpieczenia witryny w jednej, łatwej w użyciu wtyczce.
2. Włącz skanowanie witryny w celu sprawdzenia znanych luk
Funkcja zarządzania wersjami w iThemes Security Pro integruje się ze skanowaniem witryny, aby chronić Twoją witrynę. Podatne motywy, wtyczki i podstawowe wersje WordPress zostaną automatycznie zaktualizowane.
3. Monitoruj zmiany plików
Kluczem do szybkiego wykrycia naruszenia bezpieczeństwa jest monitorowanie zmian w plikach w Twojej witrynie. Funkcja wykrywania zmian plików w iThemes Security Pro przeskanuje pliki Twojej witryny i powiadomi Cię, gdy nastąpią zmiany w Twojej witrynie.
Uzyskaj iThemes Security Pro z całodobowym monitorowaniem witryn
iThemes Security Pro, nasza wtyczka bezpieczeństwa WordPress, oferuje ponad 50 sposobów zabezpieczenia i ochrony Twojej witryny przed typowymi lukami w zabezpieczeniach WordPress. Dzięki WordPress, uwierzytelnianiu dwuskładnikowemu, ochronie przed brutalną siłą, silnemu egzekwowaniu haseł i nie tylko, możesz dodać dodatkowe warstwy bezpieczeństwa do swojej witryny.