Relatório de vulnerabilidade do WordPress: dezembro de 2021, parte 2
Publicados: 2021-12-15Plugins e temas vulneráveis são a razão número 1 pela qual os sites WordPress são invadidos. O relatório semanal de vulnerabilidades do WordPress, desenvolvido pela WPScan, abrange as vulnerabilidades recentes de plugins, temas e principais do WordPress, e o que fazer se você executar um dos plugins ou temas vulneráveis em seu site.
Cada vulnerabilidade terá uma classificação de gravidade baixa , média , alta ou crítica . A divulgação responsável e o relatório de vulnerabilidades são parte integrante de manter a comunidade WordPress segura.
Por favor, compartilhe este post com seus amigos para ajudar a divulgar e tornar o WordPress mais seguro para todos.
Notícias do WordPress: vazamento de dados do Gravatar
Esta semana o Gravatar, um serviço global para avatares únicos, foi violado – embora o Gravatar garanta que não houve hack.
Os dados foram raspados, o que não é uma violação porque as senhas e outras informações privadas não foram tomadas. Em vez disso, as informações publicamente disponíveis foram coletadas de uma maneira que normalmente não é fácil de obter. Teoricamente, alguém teria que saber o nome de usuário do usuário do Gravatar para acessar o endereço de e-mail desse usuário. A raspagem permitiu que o invasor baixasse os nomes de usuário e os e-mails ao mesmo tempo.
Vulnerabilidades do WordPress Core
A versão mais recente do núcleo do WordPress é 5.8.2. Como prática recomendada, sempre execute a versão mais recente do núcleo do WordPress!
Vulnerabilidades de plugins do WordPress
Nesta seção, as vulnerabilidades mais recentes do plugin WordPress foram divulgadas. Cada listagem de plug-ins inclui o tipo de vulnerabilidade, o número da versão se corrigida e a classificação de gravidade.
1. Gerente de Eventos
Plugin: Gerenciador de Eventos
Vulnerabilidade : Admin+ SQL Injection
Corrigido na versão : 5.9.8
Pontuação de gravidade : média
Plugin: Gerenciador de Eventos
Vulnerabilidade : Cross-Site Scripting (XSS)
Corrigido na versão : 5.9.8
Pontuação de gravidade : baixa
2. Críticas ricas da Starfish
Plugin: Rich Reviews by Starfish
Vulnerabilidade : Admin+ SQL Injection
Corrigido na versão : 1.9.6
Pontuação de gravidade : média
3. Typebot
Plugin: Typebot
Vulnerabilidade : Admin+ Stored Cross Site Scripting
Corrigido na versão : 1.4.3
Pontuação de gravidade : baixa
4. Construtor de Elementor de Formulário de Contato e Formulário de Lead
Plugin: Contact Form & Lead Form Elementor Builder
Vulnerabilidade : script entre sites armazenado não autenticado
Corrigido na versão : 1.6.4
Pontuação de gravidade : alta
5. Gerenciador de downloads
Plugin: Gerenciador de downloads
Vulnerabilidade : Assinante+ Script entre sites armazenado
Corrigido na versão : 3.2.22
Pontuação de gravidade : alta
6. Agregador de RSS WP
Plugin: Assinante+ Script entre sites armazenado
Vulnerabilidade : Admin+ SQL Injection
Corrigido na versão : 4.19.3
Pontuação de gravidade : alta
7. Buttonizer - Botão de ação flutuante inteligente
Plugin: Buttonizer - Botão de ação flutuante inteligente
Vulnerabilidade : Admin+ Stored Cross-Site Scripting
Corrigido na versão : 2.5.5
Pontuação de gravidade : baixa
8. Registro de e-mail WP
Plugin: WP Mail Logging
Vulnerabilidade : Estrutura Redux desatualizada
Corrigido na versão : 1.10.0
Pontuação de gravidade : média
9. Estética
Plugin: Stetic
Vulnerabilidade : CSRF para scripts entre sites armazenados
Corrigido na versão : Nenhuma correção conhecida – plug-in fechado
Pontuação de gravidade : alta
10. Formulário de Contato com Captcha
Plugin: Formulário de contato com Captcha
Vulnerabilidade : CSRF para scripts entre sites armazenados
Corrigido na versão : Nenhuma correção conhecida – plug-in fechado
Pontuação de gravidade : alta
11. Suporte incrível
Plugin: Suporte incrível
Vulnerabilidade : Script entre sites refletido
Corrigido na versão : 6.0.7
Pontuação de gravidade : alta
12. Fóruns Asgaros
Plugin: Fóruns Asgaros
Vulnerabilidade : Admin+ Stored Cross-Site Scripting
Corrigido na versão : 1.15.14
Pontuação de gravidade : baixa
13. Cache LiteSpeed
Plugin: LiteSpeed Cache
Vulnerabilidade : Ignorar verificação de IP para XSS armazenado não autenticado
Corrigido na versão : 4.4.4
Pontuação de gravidade : alta
Plugin: LiteSpeed Cache
Vulnerabilidade : Admin+ Reflected Cross-Site Scripting
Corrigido na versão : 4.4.4
Pontuação de gravidade : alta
14. Videoconferência com Zoom
Plugin: Videoconferência com Zoom
Vulnerabilidade : Script entre sites refletido
Corrigido na versão : 3.8.16
Pontuação de gravidade : alta
15. Booster para Woocommerce
Plugin: Booster para Woocommerce
Vulnerabilidade : Script entre sites refletido no módulo de faturamento em PDF
Corrigido na versão : 5.4.9
Pontuação de gravidade : alta
Plugin: Booster para Woocommerce
Vulnerabilidade : Script entre sites refletido no módulo geral
Corrigido na versão : 5.4.9
Pontuação de gravidade : alta
Plugin: Booster para Woocommerce
Vulnerabilidade : Script entre sites refletido no módulo de feeds XML do produto
Corrigido na versão : 5.4.9
Pontuação de gravidade : alta
16. Pacote de reforço de velocidade
Plugin: Pacote Booster de Velocidade
Vulnerabilidade : Admin+ SQL Injection
Corrigido na versão : 4.3.3.1
Pontuação de gravidade : média
17. OMGF
Plugin: OMGF
Vulnerabilidade : Exclusão de pasta arbitrária de Admin+ via caminho de travessia
Corrigido na versão : 4.5.12
Pontuação de gravidade : média
18. CAOS
Plugin: CAOS
Vulnerabilidade : Exclusão de pasta arbitrária de Admin+ via caminho de travessia
Corrigido na versão : 4.1.9
Pontuação de gravidade : média
19. Motor de Viagem WP
Plugin: WP Travel Engine
Vulnerabilidade : Editor+ Scripts entre sites armazenados
Corrigido na versão : 5.3.1
Pontuação de gravidade : baixa
20. Baixe o Monitor
Plugin: Baixar Monitor
Vulnerabilidade : Admin+ SQL Injection
Corrigido na versão : 4.4.5
Pontuação de gravidade : média
21. Calculadora de Hipoteca / Calculadora de Empréstimos
Plugin: Calculadora de Hipoteca / Calculadora de Empréstimo
Vulnerabilidade : Contributor+ Scripts entre sites armazenados
Corrigido na versão : 1.5.17
Pontuação de gravidade : média
22. Amostras de variação para WooCommerce
Plugin: amostras de variação para WooCommerce
Vulnerabilidade : Assinante+ Script entre sites armazenado
Corrigido na versão : 2.1.2
Pontuação de gravidade : alta
23. Anúncios de afiliados do ClickBank
Plugin: Anúncios de afiliados do ClickBank
Vulnerabilidade : CSRF para scripts entre sites armazenados
Corrigido na versão : Nenhuma correção conhecida – plug-in fechado
Pontuação de gravidade : alta
Plugin: Anúncios de afiliados do ClickBank
Vulnerabilidade : Admin+ Stored Cross-Site Scripting
Corrigido na versão : Nenhuma correção conhecida – plug-in fechado
Pontuação de gravidade : baixa
24. Campos personalizados avançados
Plugin: Campos personalizados avançados
Vulnerabilidade : Assinante+ ACF Arbitrário Dados/Grupos de Campos Exibição e Movimento de Campos
Corrigido na versão : 5.11
Pontuação de gravidade : média
25. Canto
Plugin: Canto
Vulnerabilidade : SSRF cego não autenticado
Corrigido na versão : nenhuma correção conhecida
Pontuação de gravidade : média
26. Galeria tudo-em-um
Plugin: Galeria tudo-em-um
Vulnerabilidade : Inclusão de Arquivo Local Admin+
Corrigido na versão : 2.5.0
Pontuação de gravidade : baixa
Como proteger seu site WordPress de plugins e temas vulneráveis
Como você pode ver neste relatório, muitos novos plugins WordPress e vulnerabilidades de temas são divulgados a cada semana. Sabemos que pode ser difícil ficar por dentro de cada divulgação de vulnerabilidade relatada, portanto, o plug-in iThemes Security Pro facilita a verificação de que seu site não está executando um tema, plug-in ou versão principal do WordPress com uma vulnerabilidade conhecida.
1. Instale o plug-in iThemes Security Pro
O plug-in iThemes Security Pro protege seu site WordPress contra as formas mais comuns de invasão de sites. Com mais de 30 maneiras de proteger seu site em um plug-in fácil de usar.
2. Habilite a Verificação do Site para Verificar Vulnerabilidades Conhecidas
O recurso de gerenciamento de versão do iThemes Security Pro se integra ao Site Scan para proteger seu site. Temas vulneráveis, plugins e versões principais do WordPress serão atualizados automaticamente para você.
3. Ative a detecção de alteração de arquivo
A chave para detectar rapidamente uma violação de segurança é monitorar as alterações de arquivos em seu site. O recurso Detecção de alteração de arquivo no iThemes Security Pro verificará os arquivos do seu site e o alertará quando ocorrerem alterações em seu site.
Obtenha o iThemes Security Pro com monitoramento de segurança de sites 24 horas por dia, 7 dias por semana
O iThemes Security Pro, nosso plugin de segurança do WordPress, oferece mais de 50 maneiras de proteger seu site contra vulnerabilidades comuns de segurança do WordPress. Com o WordPress, autenticação de dois fatores, proteção de força bruta, aplicação de senha forte e muito mais, você pode adicionar camadas extras de segurança ao seu site.
