Raport podatności WordPressa: listopad 2021, część 3

Opublikowany: 2021-11-20

Podatne wtyczki i motywy są głównym powodem ataków na witryny WordPress. Cotygodniowy raport na temat luk w zabezpieczeniach WordPress obsługiwany przez WPScan obejmuje najnowsze wtyczki WordPress, motywy i podstawowe luki w zabezpieczeniach oraz co zrobić, jeśli uruchomisz jedną z wrażliwych wtyczek lub motywów w swojej witrynie.

Każda podatność będzie miała wskaźnik ważności Niski , Średni , Wysoki lub Krytyczny . Odpowiedzialne ujawnianie i zgłaszanie luk w zabezpieczeniach jest integralną częścią zapewniania bezpieczeństwa społeczności WordPressa.

Udostępnij ten post swoim znajomym, aby pomóc w rozpowszechnianiu informacji i uczynić WordPress bezpieczniejszym dla wszystkich.

Chcesz co tydzień dostarczać ten raport do Twojej skrzynki odbiorczej?
Zapisz się do cotygodniowego e-maila

Główne luki w WordPressie

Najnowsza wersja rdzenia WordPressa to 5.8.2. W ramach najlepszej praktyki zawsze używaj najnowszej wersji rdzenia WordPressa!

1. WordPress

Luka w zabezpieczeniach: wygasł certyfikat DST Root CA X3
Łatka w wersji : 5.8.2
Objaśnienie: Plik wp-includes/certificates/ca-bundle.crt zawiera DST Root CA X3, który utracił ważność 30 września 2021 r., powodując w niektórych przypadkach ostrzeżenie o zabezpieczeniach.

Luka została załatana, więc upewnij się, że korzystasz z WordPress 5.8.2.

Luki w zabezpieczeniach wtyczki WordPress

W tej sekcji ujawniono najnowsze luki w zabezpieczeniach wtyczki WordPress. Każda lista wtyczek zawiera rodzaj luki, numer wersji, jeśli została ona załatana, oraz ocenę ważności.

1. Zapisy do kalendarza wydarzeń

Wtyczka: Rejestracje do kalendarza wydarzeń
Luka : nieuwierzytelniony wstrzyknięcie SQL
Łatka w wersji : 2.7.6
Wynik ważności : wysoki

Luka została załatana, więc powinieneś zaktualizować ją do wersji 2.7.6.

2. Zaloguj sięWP

Wtyczka: LoginWP
Luka w zabezpieczeniach: odbite skrypty między witrynami
Poprawione w wersji : 3.0.0.5
Wynik ważności : wysoki

Luka została załatana, dlatego należy zaktualizować ją do wersji 3.0.0.5.

3. Przełącznik walut WooCommerce

Wtyczka: Przełącznik walut WooCommerce
Luka w zabezpieczeniach: odbite skrypty między witrynami
Łatka w wersji : 1.3.7.1
Wynik ważności : średni

Luka została załatana, więc powinieneś zaktualizować ją do wersji 1.3.7.1.

4. Bezpieczna ochrona zawartości kopii i blokowanie zawartości

Wtyczka: Bezpieczna ochrona zawartości kopii i blokowanie zawartości
Luka w zabezpieczeniach : ujawnienie adresu e-mail subskrybenta+
Łatka w wersji : 2.8.2
Wynik ważności : wysoki

Luka została załatana, więc powinieneś zaktualizować ją do wersji 2.8.2.

5. Książka

Wtyczka: Bookly
Luka w zabezpieczeniach: skrypty cross-site przechowywane przez członków personelu
Poprawione w wersji : 20.3.1
Wynik ważności : średni

Luka została załatana, więc powinieneś zaktualizować ją do wersji 20.3.1.

6. Dziennik e-mail

Wtyczka: Dziennik e-mail
Luka w zabezpieczeniach: odbite skrypty między witrynami
Łatka w wersji : 2.4.8
Wynik ważności : wysoki

Luka została załatana, więc powinieneś zaktualizować ją do wersji 2.4.8.

7. Tawk.to czat na żywo

Wtyczka: Tawk.to czat na żywo
Luka w zabezpieczeniach : monitorowanie subskrybentów + odwiedzających i usuwanie czatu
Poprawione w wersji : 0.6.0
Wynik ważności : wysoki

Luka została załatana, więc powinieneś zaktualizować ją do wersji 0.6.0.

8. Dostęp do danych WP

Wtyczka: dostęp do danych WP
Luka w zabezpieczeniach: Admin + wstrzyknięcie SQL
Poprawione w wersji : 5.0.0
Wynik ważności : wysoki

Luka została załatana, więc powinieneś zaktualizować ją do wersji 5.0.0.

9. Przeglądarka PDF.js

Wtyczka: przeglądarka PDF.js
Luka w zabezpieczeniach : Przechowywane skrypty między witrynami Contributor+
Łatka w wersji : 2.0.2
Wynik ważności : średni

Luka została załatana, więc powinieneś zaktualizować ją do wersji 2.0.2.

10. Kopia zapasowa i przywracanie

Wtyczka: Kopia zapasowa i przywracanie
Luka w zabezpieczeniach: Admin + arbitralne usunięcie pliku
Poprawiona w wersji : brak znanej poprawki
Wynik ważności : średni

Ta luka NIE została załatana. Odinstaluj i usuń wtyczkę do czasu wydania poprawki.

11. Dowiedz się Naciśnij

Wtyczka: LearnPress
Luka w zabezpieczeniach: Admin + wstrzyknięcie SQL
Poprawiony w wersji : 4.1.4
Wynik ważności : średni

Luka została załatana, więc powinieneś zaktualizować ją do wersji 4.1.4.

12. Uzyskaj niestandardowe wartości pól

Wtyczka: Uzyskaj niestandardowe wartości pól
Luka w zabezpieczeniach : Przechowywane skrypty między witrynami Contributor+
Łatka w wersji : 4.0.1
Wynik ważności : średni

Luka została załatana, więc powinieneś zaktualizować ją do wersji 4.0.1.

13. Rezerwacja pakietu

Wtyczka: Rezerwacja pakietu
Luka w zabezpieczeniach: odbite skrypty między witrynami
Łatka w wersji : 1.5.11
Wynik ważności : średni

Luka została załatana, więc powinieneś zaktualizować ją do wersji 1.5.11.

14. Jak ocena przycisku

Wtyczka: Jak ocena przycisku
Luka w zabezpieczeniach: nieautoryzowany eksport głosów na adres e-mail i ujawnienie adresów IP
Poprawione w wersji : 2.6.38
Wynik ważności : wysoki

Luka została załatana, więc powinieneś zaktualizować ją do wersji 2.6.38.

15. Formy kaldery

Wtyczka: formularze kaldery
Luka w zabezpieczeniach: Admin+ Stored Cross-Site Scripting
Poprawione w wersji : 1.9.5
Wynik ciężkości : niski

Luka została załatana, więc powinieneś zaktualizować ją do wersji 1.9.5.

16. Szablony startowe

Wtyczka: Szablony startowe
Luka w zabezpieczeniach: blokowanie importu Contributor+ do zapisanego XSS
Łatka w wersji : 2.7.1
Wynik ważności : wysoki

Luka została załatana, więc powinieneś zaktualizować ją do wersji 2.7.1.

17. Formularz kontaktowy E-mail

Wtyczka: Formularz kontaktowy E-mail
Luka w zabezpieczeniach: Admin+ Stored Cross-Site Scripting
Łatka w wersji : 1.3.25
Wynik ciężkości : niski

Luka została załatana, więc powinieneś zaktualizować ją do wersji 1.3.25.

18. Galeria wideo – Vimeo i galeria YouTube

Wtyczka: Galeria wideo – Vimeo i Galeria YouTube
Luka w zabezpieczeniach: Admin+ Stored Cross-Site Scripting
Poprawione w wersji : 1.1.5
Wynik ciężkości : niski

Luka została załatana, więc powinieneś zaktualizować ją do wersji 1.1.5.

19. Popularne posty WordPress

Wtyczka: Popularne posty WordPress
Luka w zabezpieczeniach: Admin+ Stored Cross-Site Scripting
Poprawione w wersji : 5.3.4
Wynik ciężkości : niski

Luka została załatana, więc powinieneś zaktualizować ją do wersji 5.3.4.

Jak chronić swoją witrynę WordPress przed podatnymi wtyczkami i motywami?

Jak widać z tego raportu, co tydzień ujawnianych jest wiele nowych wtyczek WordPress i luk w motywach. Wiemy, że śledzenie każdego zgłoszonego ujawnienia luk w zabezpieczeniach może być trudne, więc wtyczka iThemes Security Pro ułatwia upewnienie się, że w Twojej witrynie nie jest uruchomiony motyw, wtyczka lub główna wersja WordPress ze znaną luką.

1. Zainstaluj wtyczkę iThemes Security Pro

Wtyczka iThemes Security Pro chroni Twoją witrynę WordPress przed najczęstszymi sposobami hakowania witryn. Dzięki ponad 30 sposobom zabezpieczenia witryny w jednej, łatwej w użyciu wtyczce.

2. Włącz skanowanie witryny w celu sprawdzenia znanych luk

Funkcja zarządzania wersjami w iThemes Security Pro integruje się ze skanowaniem witryny, aby chronić Twoją witrynę. Podatne motywy, wtyczki i podstawowe wersje WordPress zostaną automatycznie zaktualizowane.

3. Monitoruj zmiany plików

Kluczem do szybkiego wykrycia naruszenia bezpieczeństwa jest monitorowanie zmian w plikach w Twojej witrynie. Funkcja wykrywania zmian plików w iThemes Security Pro przeskanuje pliki Twojej witryny i powiadomi Cię, gdy nastąpią zmiany w Twojej witrynie.

Uzyskaj iThemes Security Pro z całodobowym monitorowaniem bezpieczeństwa witryn

iThemes Security Pro, nasza wtyczka bezpieczeństwa WordPress, oferuje ponad 50 sposobów zabezpieczenia i ochrony Twojej witryny przed typowymi lukami w zabezpieczeniach WordPress. Dzięki WordPress, uwierzytelnianiu dwuskładnikowemu, ochronie przed brutalną siłą, silnemu egzekwowaniu haseł i nie tylko, możesz dodać dodatkowe warstwy bezpieczeństwa do swojej witryny.

  • Skaner witryn pod kątem luk w zabezpieczeniach wtyczek i motywów
  • Wykrywanie zmiany pliku
  • Pulpit bezpieczeństwa witryny w czasie rzeczywistym
  • Dzienniki bezpieczeństwa WordPress
  • Zaufane urządzenia
  • reCAPTCHA
  • Ochrona przed brutalną siłą
  • Uwierzytelnianie dwuskładnikowe
  • Magiczne linki logowania
  • Eskalacja uprawnień
  • Sprawdzanie i odmowa złamanych haseł

Uzyskaj iThemes Security Pro