Raport podatności WordPressa: listopad 2021, część 4

Opublikowany: 2021-11-25

Podatne wtyczki i motywy są głównym powodem ataków na witryny WordPress. Cotygodniowy raport na temat luk w zabezpieczeniach WordPress obsługiwany przez WPScan obejmuje najnowsze wtyczki WordPress, motywy i podstawowe luki w zabezpieczeniach oraz co zrobić, jeśli uruchomisz jedną z wrażliwych wtyczek lub motywów w swojej witrynie.

Każda podatność będzie miała wskaźnik ważności Niski , Średni , Wysoki lub Krytyczny . Odpowiedzialne ujawnianie i zgłaszanie luk w zabezpieczeniach jest integralną częścią zapewniania bezpieczeństwa społeczności WordPressa.

Udostępnij ten post swoim znajomym, aby pomóc w rozpowszechnianiu informacji i uczynić WordPress bezpieczniejszym dla wszystkich.

Chcesz co tydzień dostarczać ten raport do Twojej skrzynki odbiorczej?
Zapisz się do cotygodniowego e-maila

Hosting WordPress: zhakowanie GoDaddy

W ujawnieniu bezpieczeństwa opublikowanym 21 listopada 2021 r. GoDaddy twierdzi, że do 1,2 miliona aktywnych i nieaktywnych klientów zostało ujawnionych po tym, jak hakerzy uzyskali dostęp do zarządzanej platformy hostingowej WordPress.

Napisaliśmy post, aby rozpakować kilka szczegółów niedawnego hacka GoDaddy, jego wpływu na klientów oraz naszych zaleceń, co zrobić, jeśli jesteś klientem hostingu WordPress w GoDaddy.

Przeczytaj post

Główne luki w WordPressie

Najnowsza wersja rdzenia WordPressa to 5.8.2. W ramach najlepszej praktyki zawsze używaj najnowszej wersji rdzenia WordPressa!

Luki w zabezpieczeniach wtyczki WordPress

W tej sekcji ujawniono najnowsze luki w zabezpieczeniach wtyczki WordPress. Każda lista wtyczek zawiera rodzaj luki, numer wersji, jeśli została ona załatana, oraz ocenę ważności.

1. Pixel Cat Lite

Wtyczka: Pixel Cat Lite
Luka w zabezpieczeniach: Admin+ Stored Cross-Site Scripting
Poprawione w wersji : 2.6.3
Wynik ciężkości : niski

Luka została załatana, więc powinieneś zaktualizować ją do wersji 2.6.3.

Wtyczka: Pixel Cat Lite
Luka w zabezpieczeniach : CSRF do przechowywanych skryptów między witrynami
Poprawione w wersji : 2.6.2
Wynik ważności : wysoki

Luka została załatana, więc powinieneś zaktualizować ją do wersji 2.6.2.

2. Galeria „wszystko w jednym”

Wtyczka: All-In-One-Galeria
Luka w zabezpieczeniach: włączenie administratora + plików lokalnych
Poprawione w wersji : 2.5.0
Wynik ciężkości : niski

Luka została załatana, więc powinieneś zaktualizować ją do wersji 2.5.0.

3. ZatrzymajBadBoty

Wtyczka: StopBadBots
Luka w zabezpieczeniach: odbite skrypty między witrynami
Łatka w wersji : 6.67
Ocena ważności : krytyczna

Luka została załatana, więc powinieneś zaktualizować ją do wersji 6.67.

4. Tymczasowe logowanie bez hasła

Wtyczka: Tymczasowe logowanie bez hasła
Luka w zabezpieczeniach: Aktualizacja ustawień Subskrybenta + wtyczki
Łatka w wersji : 1.7.1
Wynik ważności : średni

Luka została załatana, więc powinieneś zaktualizować ją do wersji 1.7.1.

5. Profil Naciśnij

Wtyczka: ProfilePress
Luka w zabezpieczeniach: odbite skrypty między witrynami
Łatka w wersji : 3.2.3
Wynik ważności : średni

Luka została załatana, więc powinieneś zaktualizować ją do wersji 3.2.3.

Wtyczka: ProfilePress
Luka w zabezpieczeniach: odbite skrypty między witrynami
Łatka w wersji : 3.2.3
Wynik ważności : wysoki

Luka została załatana, więc powinieneś zaktualizować ją do wersji 3.2.3.

6. Nowoczesny kalendarz wydarzeń

Wtyczka: nowoczesny kalendarz wydarzeń
Luka w zabezpieczeniach: nieuwierzytelniony, ślepy wstrzyknięcie SQL
Łatka w wersji : 6.1.5
Wynik ważności : wysoki

Luka została załatana, więc powinieneś zaktualizować ją do wersji 6.1.5.

Wtyczka: nowoczesny kalendarz wydarzeń
Luka w zabezpieczeniach: odbite skrypty między witrynami
Łatka w wersji : 6.1.5
Wynik ważności : wysoki

Luka została załatana, więc powinieneś zaktualizować ją do wersji 6.1.5.

7. Automatycznie polecany obraz

Wtyczka: Automatycznie polecany obraz
Luka w zabezpieczeniach: odbite skrypty między witrynami
Łatka w wersji : 3.9.3
Wynik ważności : średni

Luka została załatana, więc powinieneś zaktualizować ją do wersji 3.9.3.

8. Ostateczny NoFollow

Wtyczka: Ultimate NoFollow
Luka w zabezpieczeniach : Przechowywane skrypty między witrynami Contributor+
Poprawiona w wersji : Brak znanej poprawki – wtyczka zamknięta
Wynik ważności : średni

Ta luka NIE została załatana. Ta wtyczka została zamknięta 28 września 2021 r. Odinstaluj i usuń.

9. Formularze NEX

Wtyczka: Formularze NEX
Luka w zabezpieczeniach: wielu administratorów + przechowywane skrypty między witrynami
Poprawiona w wersji : Brak znanej poprawki – wtyczka zamknięta
Wynik ciężkości : niski

Ta luka NIE została załatana. Ta wtyczka została zamknięta 4 października 2021 r. Odinstaluj i usuń.

10. Wzmacniacz SEO

Wtyczka: SEO Booster
Luka w zabezpieczeniach: Admin + wstrzyknięcie SQL
Poprawiona w wersji : Brak znanej poprawki – wtyczka zamknięta
Wynik ważności : średni

Ta luka NIE została załatana. Ta wtyczka została zamknięta 5 października 2021 r. Odinstaluj i usuń.

11. Dziennik systemu WP

Wtyczka: Dziennik systemu WP
Luka w zabezpieczeniach: nieuwierzytelnione zapisane skrypty między witrynami
Łatka w wersji : 1.0.21
Ocena ważności : krytyczna

Luka została załatana, więc powinieneś zaktualizować ją do wersji 1.0.21.

12. Inspirujący rotator cytatów

Wtyczka: rotator inspirujących cytatów
Luka w zabezpieczeniach: Admin+ Stored Cross-Site Scripting
Poprawiona w wersji : Brak znanej poprawki – wtyczka zamknięta
Wynik ciężkości : niski

Ta luka NIE została załatana. Ta wtyczka została zamknięta 23 września 2021 r. Odinstaluj i usuń.

13. Pojedynczy eksporter poczty

Wtyczka: Eksporter pojedynczych postów
Luka : Aktualizacja ustawień wtyczki przez CSRF
Poprawiona w wersji : Brak znanej poprawki – wtyczka zamknięta
Wynik ważności : średni

Ta luka NIE została załatana. Ta wtyczka została zamknięta 23 września 2021 r. Odinstaluj i usuń.

14. Czcionki lokalne Flex

Wtyczka: Flex Local Fonts
Luka w zabezpieczeniach: Admin+ Stored Cross-Site-Scripting
Poprawiona w wersji : Brak znanej poprawki – wtyczka zamknięta
Wynik ciężkości : niski

Ta luka NIE została załatana. Ta wtyczka została zamknięta 23 września 2021 r. Odinstaluj i usuń.

15. Zmieniacz logo administratora WP

Wtyczka: Zmieniacz logo administratora WP
Luka : Aktualizacja ustawień wtyczki przez CSRF
Poprawiona w wersji : Brak znanej poprawki – wtyczka zamknięta
Wynik ważności : średni

Ta luka NIE została załatana. Ta wtyczka została zamknięta 4 października 2021 r. Odinstaluj i usuń.

16. Formularz kontaktowy Zaawansowana baza danych

Wtyczka: Zaawansowana baza danych formularza kontaktowego
Luka w zabezpieczeniach: nieautoryzowane połączenia AJAX
Poprawiona w wersji : brak znanej poprawki
Wynik ważności : średni

Ta wtyczka została zamknięta 27 września 2021 r. i nie jest dostępna do pobrania. To zamknięcie jest tymczasowe i oczekuje na pełną ocenę. Zalecamy odinstalowanie i usunięcie, dopóki nie zostanie znaleziona poprawka.

17. Błyszczące guziki

Wtyczka: błyszczące przyciski
Luka w zabezpieczeniach: nieuwierzytelnione zapisane skrypty między witrynami
Poprawiona w wersji : brak znanej poprawki
Wynik ważności : wysoki

Ta wtyczka została zamknięta 27 września 2021 r. i nie jest dostępna do pobrania. To zamknięcie jest tymczasowe i oczekuje na pełną ocenę. Zalecamy odinstalowanie i usunięcie, dopóki nie zostanie znaleziona poprawka.

18. Filtruj galerię portfolio

Wtyczka: Filtruj galerię portfolio
Luka w zabezpieczeniach: arbitralne usunięcie galerii za pośrednictwem CSRF
Poprawiona w wersji : brak znanej poprawki
Wynik ważności : średni

Ta wtyczka została zamknięta 27 września 2021 r. i nie jest dostępna do pobrania. To zamknięcie jest tymczasowe i oczekuje na pełną ocenę. Zalecamy odinstalowanie i usunięcie, dopóki nie zostanie znaleziona poprawka.

19. Ograniczenia WP

Wtyczka: Limity WP
Luka : Aktualizacja ustawień wtyczki przez CSRF
Poprawiona w wersji : brak znanej poprawki
Wynik ważności : średni

Ta wtyczka została zamknięta 4 października 2021 r. i nie jest dostępna do pobrania. To zamknięcie jest tymczasowe i oczekuje na pełną ocenę. Zalecamy odinstalowanie i usunięcie, dopóki nie zostanie znaleziona poprawka.

20. Skrócony kod strony/postu

Wtyczka: Krótki kod treści strony/postu
Luka w zabezpieczeniach : Contributor + arbitralne posty/dostęp do stron
Poprawiona w wersji : brak znanej poprawki
Wynik ważności : średni

Ta wtyczka została zamknięta 4 października 2021 r. i nie jest dostępna do pobrania. To zamknięcie jest tymczasowe i oczekuje na pełną ocenę. Zalecamy odinstalowanie i usunięcie, dopóki nie zostanie znaleziona poprawka.

21. Ulepszona strona dołączania

Wtyczka: ulepszona strona dołączania
Luka w zabezpieczeniach : Contributor + arbitralne posty/dostęp do stron
Poprawiona w wersji : brak znanej poprawki
Wynik ważności : średni

Ta wtyczka została zamknięta 8 października 2021 r. i nie jest dostępna do pobrania. To zamknięcie jest tymczasowe i oczekuje na pełną ocenę. Zalecamy odinstalowanie i usunięcie, dopóki nie zostanie znaleziona poprawka.

22. Mediamatic

Wtyczka: Mediamatic
Luka w zabezpieczeniach : subskrybent + wstrzyknięcie SQL
Poprawiona w wersji : brak znanej poprawki
Wynik ważności : wysoki

Ta wtyczka została zamknięta 11 października 2021 r. i nie jest dostępna do pobrania. To zamknięcie jest tymczasowe i oczekuje na pełną ocenę. Zalecamy odinstalowanie i usunięcie, dopóki nie zostanie znaleziona poprawka.

23. Wyświetl metadane postu

Wtyczka: Wyświetlaj metadane postu
Luka w zabezpieczeniach : Przechowywane skrypty między witrynami Contributor+
Poprawiona w wersji : brak znanej poprawki
Wynik ważności : średni

Ta wtyczka została zamknięta 21 października 2021 r. i nie jest dostępna do pobrania. To zamknięcie jest tymczasowe i oczekuje na pełną ocenę. Zalecamy odinstalowanie i usunięcie, dopóki nie zostanie znaleziona poprawka.

24. Link do góry

Wtyczka: ToTop Link
Luka : wstrzyknięcie nieuwierzytelnionego obiektu PHP
Poprawiona w wersji : brak znanej poprawki
Wynik ważności : średni

Ta wtyczka została zamknięta 21 października 2021 r. i nie jest dostępna do pobrania. To zamknięcie jest tymczasowe i oczekuje na pełną ocenę. Zalecamy odinstalowanie i usunięcie, dopóki nie zostanie znaleziona poprawka.

25. Skróty do meta użytkownika

Wtyczka: skróty do meta użytkownika
Luka w zabezpieczeniach : nieautoryzowany, arbitralny dostęp do metadanych użytkownika Contributor+
Poprawiona w wersji : brak znanej poprawki
Wynik ważności : wysoki

Ta wtyczka została zamknięta 12 października 2021 r. i nie jest dostępna do pobrania. To zamknięcie jest tymczasowe i oczekuje na pełną ocenę. Zalecamy odinstalowanie i usunięcie, dopóki nie zostanie znaleziona poprawka.

26. Kolekcja cytatów

Wtyczka: kolekcja cytatów
Luka w zabezpieczeniach: Admin + wstrzyknięcie SQL
Poprawiona w wersji : brak znanej poprawki
Wynik ważności : średni

Ta wtyczka została zamknięta 13 października 2021 r. i nie jest dostępna do pobrania. To zamknięcie jest tymczasowe i oczekuje na pełną ocenę. Zalecamy odinstalowanie i usunięcie, dopóki nie zostanie znaleziona poprawka.

27. Powiadomienia push dla WordPress (Lite)

Wtyczka: Powiadomienia push dla WordPress (Lite)
Luka w zabezpieczeniach: aktualizacja ustawień przez CSRF
Łatka w wersji : 6.0.1
Wynik ważności : średni

Luka została załatana, więc powinieneś zaktualizować ją do wersji 6.0.1.

28. Prasa sportowa

Wtyczka: SportsPress
Luka w zabezpieczeniach: odbite skrypty między witrynami
Poprawione w wersji : 2.7.9
Wynik ważności : wysoki

Luka została załatana, więc powinieneś zaktualizować ją do wersji 2.7.9.

29. Wyskakujące okienko logowania/rejestracji

Wtyczka: wyskakujące okienko logowania/rejestracji
Luka w zabezpieczeniach: odbite skrypty między witrynami
Poprawione w wersji : 2.2
Wynik ważności : wysoki

Luka została załatana, więc powinieneś zaktualizować ją do wersji 2.2.

30. Podgląd e-maili dla WooCommerce

Wtyczka: Podgląd wiadomości e-mail dla WooCommerce
Luka w zabezpieczeniach: odbite skrypty między witrynami
Poprawione w wersji : 2.0.0
Wynik ważności : średni

Luka została załatana, dlatego należy zaktualizować ją do wersji 3.0.0.5.

31. Interfejs użytkownika WP

Wtyczka: interfejs użytkownika WP
Luka w zabezpieczeniach: Wtyczka członkostwa, profilu, rejestracji i przesyłania postów dla WordPress
Łatka w wersji : 3.5.25
Wynik ważności : średni

Luka została załatana, więc powinieneś zaktualizować ją do wersji 3.5.25.

32. Dyrektor – wtyczka katalogu biznesowego

Wtyczka: Dyrektor – Wtyczka katalogu biznesowego
Luka : CSRF do zdalnego przesyłania plików
Łatka w wersji : 7.0.6.2
Ocena ważności : krytyczna

Luka została załatana, dlatego należy zaktualizować ją do wersji 7.0.6.2.

33. Łatwe formularze rejestracyjne

Wtyczka: Łatwe formularze rejestracyjne
Luka w zabezpieczeniach : CSRF do przechowywanych skryptów między witrynami
Poprawiona w wersji : brak znanej poprawki
Wynik ważności : wysoki

Ta wtyczka została zamknięta 12 listopada 2021 r. i nie jest dostępna do pobrania. To zamknięcie jest tymczasowe i oczekuje na pełną ocenę. Zalecamy odinstalowanie i usunięcie, dopóki nie zostanie znaleziona poprawka.

34. WP Reset Pro

Wtyczka: WP Reset Pro
Luka w zabezpieczeniach : Subskrybent + Reset bazy danych
Poprawione w wersji : 5.99
Ocena ważności : krytyczna

Luka została załatana, więc powinieneś zaktualizować ją do wersji 5.99.

Wtyczka: WP Reset Pro
Luka w zabezpieczeniach: resetowanie bazy danych przez CSRF
Poprawione w wersji : 5.99
Ocena ważności : krytyczna

Luka została załatana, więc powinieneś zaktualizować ją do wersji 5.99.

35. WordPress + Microsoft Office 365

Wtyczka: WordPress + Microsoft Office 365
Luka w zabezpieczeniach: nieuwierzytelnione zapisane skrypty między witrynami
Poprawione w wersji : 15.4
Ocena ważności : krytyczna

Luka została załatana, więc powinieneś zaktualizować ją do wersji 15.4.

36. Zduplikowany post

Wtyczka: zduplikowany post
Luka : uwierzytelniony wstrzyknięcie SQL
Łatka w wersji : 1.2.0
Wynik ważności : średni

Luka została załatana, więc powinieneś zaktualizować ją do wersji 1.2.0.

37. Migracja kopii zapasowej

Wtyczka: migracja kopii zapasowej
Luka w zabezpieczeniach: Admin+ Stored Cross-Site Scripting
Łatka w wersji : 1.1.6
Wynik ważności : średni

Luka została załatana, więc powinieneś zaktualizować ją do wersji 1.1.6.

Jak chronić swoją witrynę WordPress przed podatnymi wtyczkami i motywami?

Jak widać z tego raportu, co tydzień ujawnianych jest wiele nowych wtyczek WordPress i luk w motywach. Wiemy, że śledzenie każdego zgłoszonego ujawnienia luk w zabezpieczeniach może być trudne, więc wtyczka iThemes Security Pro ułatwia upewnienie się, że w Twojej witrynie nie jest uruchomiony motyw, wtyczka lub główna wersja WordPress ze znaną luką.

1. Zainstaluj wtyczkę iThemes Security Pro

Wtyczka iThemes Security Pro chroni Twoją witrynę WordPress przed najczęstszymi sposobami hakowania witryn. Dzięki ponad 30 sposobom zabezpieczenia witryny w jednej, łatwej w użyciu wtyczce.

2. Włącz skanowanie witryny w celu sprawdzenia znanych luk

Funkcja zarządzania wersjami w iThemes Security Pro integruje się ze skanowaniem witryny, aby chronić Twoją witrynę. Podatne motywy, wtyczki i podstawowe wersje WordPress zostaną automatycznie zaktualizowane.

3. Monitoruj zmiany plików

Kluczem do szybkiego wykrycia naruszenia bezpieczeństwa jest monitorowanie zmian w plikach w Twojej witrynie. Funkcja wykrywania zmian plików w iThemes Security Pro przeskanuje pliki Twojej witryny i powiadomi Cię, gdy nastąpią zmiany w Twojej witrynie.

Uzyskaj iThemes Security Pro z całodobowym monitorowaniem bezpieczeństwa witryn

iThemes Security Pro, nasza wtyczka bezpieczeństwa WordPress, oferuje ponad 50 sposobów zabezpieczenia i ochrony Twojej witryny przed typowymi lukami w zabezpieczeniach WordPress. Dzięki WordPress, uwierzytelnianiu dwuskładnikowemu, ochronie przed brutalną siłą, silnemu egzekwowaniu haseł i nie tylko, możesz dodać dodatkowe warstwy bezpieczeństwa do swojej witryny.

  • Skaner witryn pod kątem luk w zabezpieczeniach wtyczek i motywów
  • Wykrywanie zmiany pliku
  • Pulpit bezpieczeństwa witryny w czasie rzeczywistym
  • Dzienniki bezpieczeństwa WordPress
  • Zaufane urządzenia
  • reCAPTCHA
  • Ochrona przed brutalną siłą
  • Uwierzytelnianie dwuskładnikowe
  • Magiczne linki logowania
  • Eskalacja uprawnień
  • Sprawdzanie i odmowa złamanych haseł

Zaoszczędź 40% na iThemes Security Pro