Relatório de vulnerabilidade do WordPress: dezembro de 2021, parte 3
Publicados: 2021-12-16Plugins e temas vulneráveis são a razão número 1 pela qual os sites WordPress são invadidos. O relatório semanal de vulnerabilidades do WordPress, desenvolvido pela WPScan, abrange as vulnerabilidades recentes de plugins, temas e principais do WordPress, e o que fazer se você executar um dos plugins ou temas vulneráveis em seu site.
Cada vulnerabilidade terá uma classificação de gravidade baixa , média , alta ou crítica . A divulgação responsável e o relatório de vulnerabilidades são parte integrante de manter a comunidade WordPress segura. Novidade neste relatório: as vulnerabilidades agora são listadas em ordem pelo número de instalações ativas, em vez da data da divulgação.
Por favor, compartilhe este post com seus amigos para ajudar a divulgar e tornar o WordPress mais seguro para todos.
Notícias do WordPress
Como a época de compras online mais movimentada do ano está em pleno andamento, os cibercriminosos estão ocupados com tentativas de “hackear o planeta”. O Wordfence relatou recentemente uma enorme onda de ataques que atingiram 1,6 milhão de sites WordPress ao longo de apenas 36 horas!
Finalmente, o BleepingComputer relatou recentemente que os hackers estão instalando o código do skimmer em plugins aleatórios. Para aumentar a segurança dos sites de comércio eletrônico, recomendamos exigir autenticação de dois fatores para todos os usuários administradores, ativação de dispositivos confiáveis, detecção de alteração de arquivo e que os logs de segurança do WordPress sejam lidos e revisados regularmente.
Vulnerabilidades do WordPress Core
A versão mais recente do núcleo do WordPress é 5.8.2. Como prática recomendada, sempre execute a versão mais recente do núcleo do WordPress!
Vulnerabilidades de plugins do WordPress
Nesta seção, as vulnerabilidades mais recentes do plugin WordPress foram divulgadas. Cada listagem de plug-ins inclui o tipo de vulnerabilidade, o número da versão se corrigida e a classificação de gravidade.
1. Elementor
Plugin: Elementor
Vulnerabilidade : DOM Cross-Site-Scripting
Instalação ativa : 5+ milhões
Corrigido na versão : 3.4.8
Pontuação de gravidade : alta
2. UpdraftPlus
Plugin: UpdraftPlus
Vulnerabilidade : Script entre sites refletido
Instalação ativa : 3+ milhões
Corrigido na versão : 1.16.66
Pontuação de gravidade : alta
3. Faturas em PDF e guias de remessa do WooCommerce
Plugin: Faturas em PDF e guias de remessa do WooCommerce
Vulnerabilidade : Script entre sites refletido
Instalação ativa : 300.000+
Corrigido na versão : 2.10.5
Pontuação de gravidade : alta
4. Recursos do PublishPress
Plugin: Recursos do PublishPress
Vulnerabilidade : Atualização de opções arbitrárias não autenticadas para comprometimento do blog
Instalação ativa : 100.000+
Corrigido na versão : 2.3.1
Pontuação de gravidade : Crítico
Plugin: PublishPress Capabilities Pro
Vulnerabilidade : Atualização de opções arbitrárias não autenticadas para comprometimento do blog
Corrigido na versão : 2.3.1
Pontuação de gravidade : Crítico
5. Chaty Gratuito
Plugin: Chaty Gratuito
Vulnerabilidade : Script entre sites refletido
Instalação ativa : 100.000+
Corrigido na versão : 2.8.3
Pontuação de gravidade : alta
Plugin: Chaty Pro
Vulnerabilidade : Script entre sites refletido
Corrigido na versão : 2.8.2
Pontuação de gravidade : alta
6. Complementos do PowerPack para Elementor
Plugin: Complementos do PowerPack para Elementor
Vulnerabilidade : Script entre sites refletido
Instalação ativa : 60.000+
Corrigido na versão : 2.6.2
Pontuação de gravidade : alta
7. Calendário de reservas
Plug-in: Agenda de reservas
Vulnerabilidade : Script entre sites refletido
Instalação ativa : 60.000+
Corrigido na versão : 8.9.2
Pontuação de gravidade : alta
8. 10Feed de Fotos Sociais na Web
Plugin: 10Web Social Photo Feed
Vulnerabilidade : Script entre sites refletido (XSS)
Instalação ativa : 60.000+
Corrigido na versão : 1.4.29
Pontuação de gravidade : alta
9. Revisões do Site
Plug-in: Revisões do Site
Vulnerabilidade : script entre sites armazenado não autenticado
Instalação ativa : 40.000+
Corrigido na versão : 5.17.3
Pontuação de gravidade : alta
10. Pacote de reforço de velocidade
Plugin: Pacote Booster de Velocidade
Vulnerabilidade : Admin+ SQL Injection
Instalação ativa : 30.000+
Corrigido na versão : 4.3.3.1
Pontuação de gravidade : média
11. Solução de mercado de vários fornecedores para WooCommerce
Plugin: Solução de mercado de vários fornecedores para WooCommerce
Vulnerabilidade : chamadas AJAX não autenticadas
Instalação ativa : 10.000+
Corrigido na versão : 3.8.4
Pontuação de gravidade : alta
12. Janela Modal
Plugin: Janela Modal
Vulnerabilidade : RFI levando a RCE via CSRF
Instalação ativa : 10.000+
Corrigido na versão : 5.2.2
Pontuação de gravidade : alta
13. Codificador WP
Plugin: WP Coder
Vulnerabilidade : RFI levando a RCE via CSRF
Instalação ativa : 10.000+
Corrigido na versão : 2.5.2
Pontuação de gravidade : alta
14. Magia de Registro
Plugin: RegistrationMagic
Vulnerabilidade : Admin+ SQL Injection
Instalação ativa : 10.000+
Corrigido na versão : 5.0.1.6
Pontuação de gravidade : média
Plugin: RegistrationMagic
Vulnerabilidade : Bypass de autenticação
Instalação ativa : 10.000+
Corrigido na versão : 5.0.1.8
Pontuação de gravidade : Crítico
15. Eventos Facilitados
Plugin: Eventos Facilitados
Vulnerabilidade : Assinante + SQL Injection
Instalação ativa : 6.000+
Corrigido na versão : 2.2.36
Pontuação de gravidade : alta
16. Gerador de botões
Plugin: Gerador de botões
Vulnerabilidade : RFI levando a RCE via CSRF
Instalação ativa : 5.000+
Corrigido na versão : 2.3.3
Pontuação de gravidade : alta
17. Aba – Acordeão, FAQ
Plugin: Tab – Acordeão, FAQ
Vulnerabilidade : chamadas AJAX não autenticadas
Instalação ativa : 2000+
Corrigido na versão : 1.3.2
Pontuação de gravidade : Crítico
18. Classificação de estrelas
Plugin: Classificação por estrelas
Vulnerabilidade : Comentários Negação de Serviço
Instalação ativa : 800+
Corrigido na versão : 3.5.1
Pontuação de gravidade : média
19. WPcalc
Plugin: WPcalc
Vulnerabilidade : injeção de SQL autenticada
Corrigido na versão : Nenhuma correção conhecida – plug-in fechado
Pontuação de gravidade : média
Como proteger seu site WordPress de plugins e temas vulneráveis
Como você pode ver neste relatório, muitos novos plugins WordPress e vulnerabilidades de temas são divulgados a cada semana. Sabemos que pode ser difícil ficar por dentro de cada divulgação de vulnerabilidade relatada, portanto, o plug-in iThemes Security Pro facilita a verificação de que seu site não está executando um tema, plug-in ou versão principal do WordPress com uma vulnerabilidade conhecida.
1. Instale o plug-in iThemes Security Pro
O plug-in iThemes Security Pro protege seu site WordPress contra as formas mais comuns de invasão de sites. Com mais de 30 maneiras de proteger seu site em um plug-in fácil de usar.
2. Habilite a Verificação do Site para Verificar Vulnerabilidades Conhecidas
O recurso de gerenciamento de versão do iThemes Security Pro se integra ao Site Scan para proteger seu site. Temas vulneráveis, plugins e versões principais do WordPress serão atualizados automaticamente para você.
3. Ative a detecção de alteração de arquivo
A chave para detectar rapidamente uma violação de segurança é monitorar as alterações de arquivos em seu site. O recurso Detecção de alteração de arquivo no iThemes Security Pro verificará os arquivos do seu site e o alertará quando ocorrerem alterações em seu site.
Obtenha o iThemes Security Pro com monitoramento de segurança de sites 24 horas por dia, 7 dias por semana
O iThemes Security Pro, nosso plugin de segurança do WordPress, oferece mais de 50 maneiras de proteger seu site contra vulnerabilidades comuns de segurança do WordPress. Com o WordPress, autenticação de dois fatores, proteção de força bruta, aplicação de senha forte e muito mais, você pode adicionar camadas extras de segurança ao seu site.
