Relatório de vulnerabilidade do WordPress: dezembro de 2021, parte 1
Publicados: 2021-12-02Plugins e temas vulneráveis são a razão número 1 pela qual os sites WordPress são invadidos. O relatório semanal de vulnerabilidades do WordPress, desenvolvido pela WPScan, abrange as vulnerabilidades recentes de plugins, temas e principais do WordPress, e o que fazer se você executar um dos plugins ou temas vulneráveis em seu site.
Cada vulnerabilidade terá uma classificação de gravidade baixa , média , alta ou crítica . A divulgação responsável e o relatório de vulnerabilidades são parte integrante de manter a comunidade WordPress segura.
Por favor, compartilhe este post com seus amigos para ajudar a divulgar e tornar o WordPress mais seguro para todos.
Hospedagem WordPress: GoDaddy Hackeado
Em uma divulgação de segurança publicada em 21 de novembro de 2021, a GoDaddy diz que até 1,2 milhão de clientes ativos e inativos foram expostos depois que hackers obtiveram acesso à sua plataforma de hospedagem WordPress gerenciada.
Escrevemos um post para descompactar alguns dos detalhes do hack GoDaddy recente, como isso afeta os clientes e nossas recomendações sobre o que fazer se você for um cliente de hospedagem WordPress na GoDaddy.
Vulnerabilidades do WordPress Core
A versão mais recente do núcleo do WordPress é 5.8.2. Como prática recomendada, sempre execute a versão mais recente do núcleo do WordPress!
Vulnerabilidades de plugins do WordPress
Nesta seção, as vulnerabilidades mais recentes do plugin WordPress foram divulgadas. Cada listagem de plug-ins inclui o tipo de vulnerabilidade, o número da versão se corrigida e a classificação de gravidade.
1. Carrossel de logotipos
Plugin: Logo Carrossel
Vulnerabilidade : Contributor+ Scripts entre sites armazenados
Corrigido na versão : 3.4.2
Pontuação de gravidade : média
Plugin: Logo Carrossel
Vulnerabilidade : Acesso privado não autorizado à postagem
Corrigido na versão : 3.4.2
Pontuação de gravidade : média
2. Status do pedido personalizado Ni WooCommerce
Plugin: Status do pedido personalizado Ni WooCommerce
Vulnerabilidade : Assinante + SQL Injection
Corrigido na versão : 1.9.7
Pontuação de gravidade : alta
3. WCFM
Plugin: WFM
Vulnerabilidade : injeção de SQL não autenticada
Corrigido na versão : 3.4.12
Pontuação de gravidade : alta
4. Formas do Everest
Plugin: Everest Forms
Vulnerabilidade : Script entre sites refletido
Corrigido na versão : 1.8.0
Pontuação de gravidade : média
5. Estatísticas de visitantes do WP (tráfego em tempo real)
Plugin: Estatísticas de visitantes do WP (tráfego em tempo real)
Vulnerabilidade : Assinante + SQL Injection
Corrigido na versão : 4.8
Pontuação de gravidade : alta
6. Doações de Kudos
Plugin: Kudos Doações
Vulnerabilidade : exclusão de itens arbitrários via CSRF
Corrigido na versão : 3.1.2
Pontuação de gravidade : alta
7. Icegrama
Plugin: Icegram
Vulnerabilidade : Script entre sites refletido
Corrigido na versão : 2.0.5
Pontuação de gravidade : média
8. Blog2Social
Plugin: Blog2Social
Vulnerabilidade : Script entre sites refletido
Corrigido na versão : 6.8.7
Pontuação de gravidade : alta
9. Assinaturas Pro pagas
Plugin: assinaturas pagas Pro
Vulnerabilidade : Script entre sites refletido
Corrigido na versão : 2.6.6
Pontuação de gravidade : alta
10. Editor de função de usuário do WPFront
Plugin: Editor de função de usuário WPFront
Vulnerabilidade : Script entre sites refletido
Corrigido na versão : 3.2.1.11184
Pontuação de gravidade : média
11. Ticker
Plugin: Ticker
Vulnerabilidade : script entre sites armazenado não autenticado
Corrigido na versão : 3.4.8.3
Pontuação de gravidade : alta
12. WP Guppy
Plugin: WP Guppy
Vulnerabilidade : Divulgação de informações confidenciais
Corrigido na versão : 1.3
Pontuação de gravidade : alta
13. Login JWT simples
Plugin: Login JWT Simples
Vulnerabilidade : criação de senha insegura
Corrigido na versão : 3.3.0
Pontuação de gravidade : baixa
14. myCRED
Plugin: myCRED
Vulnerabilidade : Script entre sites refletido
Corrigido na versão : 1.7.8
Pontuação de gravidade : alta
15. Ocultar meu WP
Plugin: Esconder meu WP
Vulnerabilidade : Desativação de plug-in não autenticado
Corrigido na versão : 6.2.4
Pontuação de gravidade : média
Plugin: Esconder meu WP
Vulnerabilidade : injeção de SQL não autenticada
Corrigido na versão : 6.2.4
Pontuação de gravidade : alta
16. Suporte incrível – WordPress HelpDesk & Plugin de Suporte
Plugin: Suporte incrível – WordPress HelpDesk & Plugin de Suporte
Vulnerabilidade : Script entre sites refletido
Corrigido na versão : 6.0.7
Pontuação de gravidade : alta
17. Exibir metadados de postagem
Plugin: Exibir metadados de postagem
Vulnerabilidade : Contributor+ Scripts entre sites armazenados
Corrigido na versão : 1.5.0
Pontuação de gravidade : média
18. Ícone flutuante de mídia social
Plugin: ícone de mídia social flutuante
Vulnerabilidade : Admin+ Stored Cross-Site Scripting
Corrigido na versão : Nenhuma correção conhecida – plug-in fechado
Pontuação de gravidade : baixa
19. Livro de visitas Gwolle
Plugin: Gwolle Guestbook
Vulnerabilidade : Script entre sites refletido
Corrigido na versão : 4.2.0
Pontuação de gravidade : média
Como proteger seu site WordPress de plugins e temas vulneráveis
Como você pode ver neste relatório, muitos novos plugins WordPress e vulnerabilidades de temas são divulgados a cada semana. Sabemos que pode ser difícil ficar por dentro de cada divulgação de vulnerabilidade relatada, portanto, o plug-in iThemes Security Pro facilita a verificação de que seu site não está executando um tema, plug-in ou versão principal do WordPress com uma vulnerabilidade conhecida.
1. Instale o plug-in iThemes Security Pro
O plug-in iThemes Security Pro protege seu site WordPress contra as formas mais comuns de invasão de sites. Com mais de 30 maneiras de proteger seu site em um plug-in fácil de usar.
2. Habilite a Verificação do Site para Verificar Vulnerabilidades Conhecidas
O recurso de gerenciamento de versão do iThemes Security Pro se integra ao Site Scan para proteger seu site. Temas vulneráveis, plugins e versões principais do WordPress serão atualizados automaticamente para você.
3. Ative a detecção de alteração de arquivo
A chave para detectar rapidamente uma violação de segurança é monitorar as alterações de arquivos em seu site. O recurso Detecção de alteração de arquivo no iThemes Security Pro verificará os arquivos do seu site e o alertará quando ocorrerem alterações em seu site.
Obtenha o iThemes Security Pro com monitoramento de segurança de sites 24 horas por dia, 7 dias por semana
O iThemes Security Pro, nosso plugin de segurança do WordPress, oferece mais de 50 maneiras de proteger seu site contra vulnerabilidades comuns de segurança do WordPress. Com o WordPress, autenticação de dois fatores, proteção de força bruta, aplicação de senha forte e muito mais, você pode adicionar camadas extras de segurança ao seu site.
