Raport podatności WordPressa: październik 2021, część 2
Opublikowany: 2021-10-13Podatne wtyczki i motywy są głównym powodem ataków na witryny WordPress. Cotygodniowy raport na temat luk w zabezpieczeniach WordPress obsługiwany przez WPScan obejmuje najnowsze wtyczki WordPress, motywy i podstawowe luki w zabezpieczeniach oraz co zrobić, jeśli uruchomisz jedną z wrażliwych wtyczek lub motywów w swojej witrynie.
Każda podatność będzie miała wskaźnik ważności Niski , Średni , Wysoki lub Krytyczny . Odpowiedzialne ujawnianie i zgłaszanie luk w zabezpieczeniach jest integralną częścią zapewniania bezpieczeństwa społeczności WordPressa.
Udostępnij ten post swoim znajomym, aby pomóc w rozpowszechnianiu informacji i uczynić WordPress bezpieczniejszym dla wszystkich.
Główne luki w WordPressie
Najnowsza wersja rdzenia WordPress to 5.8.1 została wydana jako wydanie zabezpieczające i konserwacyjne. W ramach najlepszej praktyki zawsze używaj najnowszej wersji rdzenia WordPressa!
Luki w zabezpieczeniach wtyczki WordPress
W tej sekcji ujawniono najnowsze luki w zabezpieczeniach wtyczki WordPress. Każda lista wtyczek zawiera rodzaj luki, numer wersji, jeśli została ona załatana, oraz ocenę ważności.
1. Łatwy przycisk PayPal Kup teraz
Wtyczka: Łatwy przycisk Kup teraz w systemie PayPal
Luka w zabezpieczeniach : CSRF do przechowywanych skryptów między witrynami
Łatka w wersji : 1.7.3
Wynik ważności : wysoki
2. Łatwe wydarzenia
Wtyczka: Łatwe wydarzenia
Luka w zabezpieczeniach: Admin+ Stored Cross-Site Scripting
Łatka w wersji : 2.2.24
Wynik ciężkości : niski
3. Lepsze wiadomości BP
Wtyczka: BP lepsze wiadomości
Luka w zabezpieczeniach: odbite skrypty między witrynami
Łatka w wersji : 1.9.9.41
Wynik ważności : wysoki
Wtyczka: BP lepsze wiadomości
Podatność : wiele CSRF
Łatka w wersji : 1.9.9.41
Wynik ważności : średni
4. Konstruktor Themify
Wtyczka: Themify Builder
Luka w zabezpieczeniach: odbite skrypty między witrynami
Łatka w wersji : 5.3.2
Wynik ważności : wysoki
5. Nagłówek wygasania Dalekiej Przyszłości
Wtyczka: Nagłówek wygasania w dalekiej przyszłości
Luka : Aktualizacja ustawień wtyczki przez CSRF
Poprawione w wersji : 1,5
Wynik ważności : średni
6. Kontrola źródła obrazu
Wtyczka: Kontrola źródła obrazu
Luka w zabezpieczeniach: Contributor+ Dowolna zmiana meta wartości posta
Poprawione w wersji : 2.3.1
Wynik ważności : średni
7. Suwak logo i prezentacja
Wtyczka: suwak logo i prezentacja
Luka : Aktualizacja ustawień wtyczki edytora
Łatka w wersji : 1.3.37
Wynik ciężkości : niski
8. Bramka płatności Cardinity dla WooCommerce
Wtyczka: Bramka płatności Cardinity dla WooCommerce
Luka w zabezpieczeniach: odbite skrypty między witrynami
Poprawione w wersji : 3.0.7
Wynik ważności : wysoki
9. Odtwarzacz audio MP3 do muzyki, radia i podcastów firmy Sonaar
Wtyczka: odtwarzacz audio MP3 do muzyki, radia i podcastów firmy Sonaar
Luka w zabezpieczeniach: wielu administratorów + skrypty między witrynami
Łatka w wersji : 2.4.2
Wynik ciężkości : niski
10. Darowizna Paypal
Wtyczka: Darowizna Paypal
Podatność : CSRF do arbitralnego usunięcia postu
Poprawione w wersji : 1.3.1
Wynik ważności : średni
Wtyczka: Darowizna Paypal
Luka w zabezpieczeniach : CSRF do przechowywanych skryptów między witrynami
Poprawione w wersji : 1.3.1
Wynik ważności : wysoki
11. Już wkrótce, w trybie budowy i konserwacji autorstwa Dazzler
Wtyczka: Wkrótce, w trybie budowy i konserwacji autorstwa Dazzler
Luka w zabezpieczeniach: Admin+ Stored Cross-Site Scripting
Poprawione w wersji : 1.6.7
Wynik ciężkości : niski
12. Przetłumacz WordPress – Tłumacz języka Google
Wtyczka: Tłumacz WordPress – Tłumacz języka Google
Luka w zabezpieczeniach: Admin+ Stored Cross-Site Scripting
Łatka w wersji : 6.0.12
Wynik ciężkości : niski
13. Pomocnik produktu Booking.com
Wtyczka: Pomoc produktu Booking.com
Luka w zabezpieczeniach: Admin+ Stored Cross-Site Scripting
Poprawiona w wersji : Brak znanej poprawki – wtyczka zamknięta
Wynik ciężkości : niski
14. Kreator banerów Booking.com
Wtyczka: Kreator banerów Booking.com
Luka w zabezpieczeniach: Admin+ Stored Cross-Site Scripting
Poprawiona w wersji : Brak znanej poprawki – wtyczka zamknięta
Wynik ciężkości : niski
15. Prosty monitor pobierania
Wtyczka: Prosty monitor pobierania
Luka w zabezpieczeniach: nieautoryzowany reset dziennika
Łatka w wersji : 3.9.6
Wynik ważności : średni
Wtyczka: Prosty monitor pobierania
Luka w zabezpieczeniach: arbitralne usuwanie miniatur
Łatka w wersji : 3.9.6
Wynik ważności : średni
Wtyczka: Prosty monitor pobierania
Luka w zabezpieczeniach: nieuwierzytelniony dostęp do dziennika
Łatka w wersji : 3.9.6
Wynik ważności : średni
Wtyczka: Prosty monitor pobierania
Luka w zabezpieczeniach: odbite skrypty między witrynami
Łatka w wersji : 3.9.5
Wynik ważności : wysoki
Wtyczka: Prosty monitor pobierania
Luka w zabezpieczeniach : Przechowywane skrypty między witrynami Contributor+ za pośrednictwem miniatury plików
Łatka w wersji : 3.9.5
Wynik ważności : wysoki
16. Dwukierunkowy czat
Wtyczka: dwukierunkowy czat
Podatność : wiele CSRF
Poprawione w wersji : 3.1.5
Wynik ważności : średni
Wtyczka: dwukierunkowy czat
Luka w zabezpieczeniach: włączenie administratora + plików lokalnych
Poprawione w wersji : 3.1.5
Wynik ciężkości : niski
17. WP-Recall
Wtyczka: WP-Recall
Luka w zabezpieczeniach: odbite skrypty między witrynami
Łatka w wersji : 16.24.48
Wynik ważności : wysoki
18. JobSearch WP Job Board
Wtyczka: JobSearch WP Job Board
Luka w zabezpieczeniach: Subskrybent + arbitralna aktualizacja opcji bloga
Łatka w wersji : 1.8.2
Wynik ważności : wysoki
Wtyczka: JobSearch WP Job Board
Luka : Aktualizacja ustawień nieuwierzytelnionej wtyczki
Łatka w wersji : 1.8.2
Wynik ważności : średni
Wtyczka: JobSearch WP Job Board
Luka w zabezpieczeniach : Abonent + Dodaj/zaktualizuj harmonogram połączeń
Łatka w wersji : 1.8.2
Wynik ważności : średni
19. Koszyk e-commerce TheCartPress
Wtyczka: Koszyk e-commerce TheCartPress
Luka w zabezpieczeniach : CSRF do przechowywanych skryptów między witrynami
Poprawiona w wersji : Brak znanej poprawki – wtyczka zamknięta
Wynik ważności : wysoki
20. API MS Store
Wtyczka: MSstore API
Luka w zabezpieczeniach: przesyłanie nieuwierzytelnionego pliku PHP
Poprawiona w wersji : Brak znanej poprawki – wtyczka zamknięta
Ocena ważności : krytyczna
21. Zmiana nazwy pliku multimedialnego – automatyczna i ręczna zmiana nazwy
Wtyczka: Zmiana nazwy pliku multimedialnego – automatyczna i ręczna zmiana nazwy
Luka w zabezpieczeniach: aktualizacja tytułu/nazwy pliku/stanu blokady przez CSRF
Poprawione w wersji : 5.2.7
Wynik ważności : średni
22. Partia Kot
Wtyczka: Batch Cat
Luka w zabezpieczeniach: Subskrybent+ Dowolne kategorie Dodaj/Ustaw/Usuń w postach
Poprawiona w wersji : Brak znanej poprawki – wtyczka zamknięta
Wynik ważności : średni
23. qTłumacz X
Wtyczka: qTranslate X
Luka w zabezpieczeniach: wielu administratorów + przechowywane skrypty między witrynami
Poprawiona w wersji : Brak znanej poprawki – wtyczka zamknięta
Wynik ciężkości : niski
24. Informacje o podróżach po świecie
Wtyczka: Informacje o podróżach po świecie
Luka w zabezpieczeniach: odbite skrypty między witrynami
Poprawiona w wersji : Brak znanej poprawki – wtyczka zamknięta
Wynik ważności : wysoki
25. Ankieta WP Plus
Wtyczka: Ankieta WP Plus
Luka w zabezpieczeniach : połączenia subskrybenta + połączenia AJAX
Poprawiona w wersji : Brak znanej poprawki – wtyczka zamknięta
Wynik ważności : wysoki
26. Strona mapy witryny WP
Wtyczka: Strona mapy witryny WP
Luka w zabezpieczeniach: Admin+ Stored Cross Site Scripting
Poprawiona w wersji : brak znanej poprawki
Wynik ciężkości : niski
27. WP Bannerize 2.0.0
Wtyczka: WP Bannerize 2.0.0
Luka : uwierzytelniony wstrzyknięcie SQL
Poprawiona w wersji : Brak znanej poprawki – wtyczka zamknięta
Wynik ważności : wysoki
28. Genie WP Favicon
Wtyczka: Genie WP Favicon
Luka w zabezpieczeniach: arbitralna zmiana favicon za pośrednictwem CSRF
Poprawiona w wersji : Brak znanej poprawki – wtyczka zamknięta
Wynik ważności : średni
29. Zmiana nazwy Phoenix Media
Wtyczka: Phoenix Media Zmień nazwę
Luka w zabezpieczeniach: zmiana nazwy dowolnego pliku multimedialnego przez autora
Poprawione w wersji : 3.4.4
Wynik ważności : średni
30. Statystyki ruchu odwiedzających w czasie rzeczywistym
Wtyczka: Statystyki ruchu odwiedzających w czasie rzeczywistym
Luka w zabezpieczeniach : subskrybent + wstrzyknięcie SQL
Poprawione w wersji : 3.9
Wynik ważności : wysoki
31. Dodaj do dowolnych przycisków udostępniania
Wtyczka: przyciski udostępniania AddToAny
Luka w zabezpieczeniach: Admin+ Stored Cross-Site Scripting
Łatka w wersji : 1.7.48
Wynik ciężkości : niski
32. Niesamowity kreator formularzy
Wtyczka: potężny kreator formularzy
Luka w zabezpieczeniach: Admin+ Stored Cross-Site Scripting
Poprawione w wersji : 5.0.07
Wynik ciężkości : niski
33. Bezpieczeństwo kuloodporne
Wtyczka: Bezpieczeństwo kuloodporne
Luka w zabezpieczeniach: ujawnianie informacji wrażliwych
Poprawione w wersji : 5.2
Wynik ważności : średni
34. WP Cały eksport
Wtyczka: WP All Export
Luka w zabezpieczeniach: Admin+ Stored Cross-Site Scripting
Poprawione w wersji : 1.3.1
Wynik ciężkości : niski
35. Przekieruj stronę błędu 404 na stronę główną lub niestandardową stronę z dziennikami
Wtyczka: Przekieruj stronę błędu 404 na stronę główną lub niestandardową stronę z dziennikami
Luka w zabezpieczeniach: usuwanie dziennika przez CSRF
Poprawione w wersji : 1.7.9
Wynik ważności : średni
36. Uzyskaj dostęp do importera wersji demonstracyjnych
Wtyczka: Dostęp do importera wersji demonstracyjnych
Luka w zabezpieczeniach: Subskrybent + arbitralne przesyłanie plików
Poprawione w wersji : 1.0.7
Wynik ważności : wysoki
37. Pobierz Monitor
Wtyczka: Pobierz Monitor
Luka w zabezpieczeniach: nieuwierzytelnione pobieranie dzienników
Poprawione w wersji : 1.9.7
Wynik ważności : średni
Wtyczka: Pobierz Monitor
Luka w zabezpieczeniach: odbite skrypty między witrynami (XSS)
Łatka w wersji : 1.7.1
Wynik ważności : średni
Wtyczka: Pobierz Monitor
Luka w zabezpieczeniach : uwierzytelniony wykaz katalogu
Łatka w wersji : 1.6.4
Wynik ważności : średni
Wtyczka: Pobierz Monitor
Luka w zabezpieczeniach: wielokrotne odbijane skrypty między witrynami
Łatka w wersji : 3.3.6.2
Wynik ważności : średni
38. Nieograniczone wyskakujące okienka
Wtyczka: Nieograniczone wyskakujące okienka
Luka w zabezpieczeniach : autor + wstrzyknięcie SQL
Poprawiona w wersji : Brak znanej poprawki – wtyczka zamknięta
Wynik ważności : wysoki
39. Schreikasten
Wtyczka: Schreikasten
Luka w zabezpieczeniach : autor + wstrzyknięcia SQL
Poprawiona w wersji : Brak znanej poprawki – wtyczka zamknięta
Wynik ważności : wysoki
40. Opublikuj zawartość XMLRPC
Wtyczka: publikuj zawartość XMLRPC
Luka w zabezpieczeniach : autor + wstrzyknięcia SQL
Poprawiona w wersji : Brak znanej poprawki – wtyczka zamknięta
Wynik ważności : wysoki
41. Wow formy!
Wtyczka: Wow Forms
Luka w zabezpieczeniach : autor + wstrzyknięcia SQL
Poprawiona w wersji : Brak znanej poprawki – wtyczka zamknięta
Wynik ważności : wysoki
42. Automatyczne hiperłącze
Wtyczka: G Auto-hiperłącze
Luka w zabezpieczeniach : autor + wstrzyknięcie SQL
Poprawiona w wersji : Brak znanej poprawki – wtyczka zamknięta
Wynik ważności : średni
43. Kameleon CSS
Wtyczka: Chameleon CSS
Luka w zabezpieczeniach : subskrybent + wstrzyknięcie SQL
Poprawiona w wersji : Brak znanej poprawki – wtyczka zamknięta
Ocena ważności : krytyczna
44. PająkKatalog
Wtyczka: SpiderCatalog
Luka w zabezpieczeniach : autor + wstrzyknięcie SQL
Poprawiona w wersji : Brak znanej poprawki – wtyczka zamknięta
Wynik ważności : średni
45. Rada Wsparcia
Wtyczka: płyta wsparcia
Luka w zabezpieczeniach: Przechowywane skrypty między witrynami agenta+
Łatka w wersji : 3.3.5
Wynik ważności : średni
46. Brama wieku
Wtyczka: Brama wieku
Luka w zabezpieczeniach: uwierzytelnione przechowywane przechowywane skrypty między witrynami
Łatka w wersji : 2.16.4
Wynik ważności : średni
47. Wbudowane posty powiązane
Wtyczka: wbudowane posty powiązane
Luka w zabezpieczeniach: Admin + Cross-Site Scripting
Poprawione w wersji : 3.0.5
Wynik ciężkości : niski
Jak chronić swoją witrynę WordPress przed podatnymi wtyczkami i motywami?
Jak widać z tego raportu, co tydzień ujawnianych jest wiele nowych wtyczek WordPress i luk w motywach. Wiemy, że śledzenie każdego zgłoszonego ujawnienia luki w zabezpieczeniach może być trudne, więc wtyczka iThemes Security Pro ułatwia upewnienie się, że w Twojej witrynie nie jest uruchomiony motyw, wtyczka lub główna wersja WordPress ze znaną luką.
1. Skanuj w poszukiwaniu znanych luk w zabezpieczeniach witryn
Wtyczka iThemes Security Pro skanuje w poszukiwaniu pierwszego powodu hakowania witryn WordPress: nieaktualnych wtyczek i motywów ze znanymi lukami w zabezpieczeniach.
2. Automatyczna aktualizacja do bezpiecznych wersji
Funkcja zarządzania wersjami w iThemes Security Pro integruje się ze skanowaniem witryny, aby chronić Twoją witrynę. Podatne motywy, wtyczki i podstawowe wersje WordPress zostaną automatycznie zaktualizowane.
3. Monitoruj zmiany plików
Kluczem do szybkiego wykrycia naruszenia bezpieczeństwa jest monitorowanie zmian w plikach w Twojej witrynie. Funkcja wykrywania zmian plików w iThemes Security Pro przeskanuje pliki Twojej witryny i powiadomi Cię, gdy nastąpią zmiany w Twojej witrynie.
Uzyskaj iThemes Security Pro z całodobowym monitorowaniem witryn
iThemes Security Pro, nasza wtyczka bezpieczeństwa WordPress, oferuje ponad 50 sposobów zabezpieczenia i ochrony Twojej witryny przed typowymi lukami w zabezpieczeniach WordPress. Dzięki WordPress, uwierzytelnianiu dwuskładnikowemu, ochronie przed brutalną siłą, silnemu egzekwowaniu haseł i nie tylko, możesz dodać dodatkowe warstwy bezpieczeństwa do swojej witryny.