Relatório de vulnerabilidade do WordPress: dezembro de 2021, parte 5
Publicados: 2021-12-29Plugins e temas vulneráveis são a razão número 1 pela qual os sites WordPress são invadidos. O relatório semanal de vulnerabilidades do WordPress, desenvolvido pela WPScan, abrange as vulnerabilidades recentes de plugins, temas e principais do WordPress, e o que fazer se você executar um dos plugins ou temas vulneráveis em seu site.
Cada vulnerabilidade terá uma classificação de gravidade baixa , média , alta ou crítica . A divulgação responsável e o relatório de vulnerabilidades são parte integrante de manter a comunidade WordPress segura. Novidade neste relatório: as vulnerabilidades agora são listadas em ordem pelo número de instalações ativas, em vez da data da divulgação.
Por favor, compartilhe este post com seus amigos para ajudar a divulgar e tornar o WordPress mais seguro para todos !
Vulnerabilidades do WordPress Core
A versão mais recente do núcleo do WordPress é 5.8.2. Como prática recomendada, sempre execute a versão mais recente do núcleo do WordPress!
Vulnerabilidades de plugins do WordPress
Nesta seção, as vulnerabilidades mais recentes do plugin WordPress foram divulgadas. Cada listagem de plug-ins inclui o tipo de vulnerabilidade, as instalações ativas, o número da versão se corrigida e a classificação de gravidade.
1. Complemento de banco de dados do Formulário de contato 7
Plugin: Complemento de banco de dados do formulário de contato 7
Vulnerabilidade : script entre sites armazenado não autenticado
Instalação ativa : 400.000+
Corrigido na versão : 1.2.6.2
Pontuação de gravidade : média
Plugin: Complemento de banco de dados do formulário de contato 7
Vulnerabilidade : Exclusão de formulário arbitrário via CSRF
Instalação ativa : 400.000+
Corrigido na versão : 1.2.6.2
Pontuação de gravidade : média
2. Formulários fáceis para Mailchimp
Plugin: Easy Forms para Mailchimp
Vulnerabilidade : Script entre sites refletido
Instalação ativa : 100.000+
Corrigido na versão : 6.8.6
Pontuação de gravidade : média
3. Relevanssi – Uma Busca Melhor
Plugin: Relevanssi – Uma Busca Melhor
Vulnerabilidade : script entre sites armazenado não autenticado
Instalação ativa : 100.000+
Corrigido na versão : 4.14.3
Pontuação de gravidade : alta
4. Formulários de Newsletter, SMTP, Email marketing e Assinatura da Sendinblue
Plugin: Newsletter, SMTP, Email marketing e Formulários de assinatura da Sendinblue
Vulnerabilidade : Script entre sites refletido
Instalação ativa : 90.000+
Corrigido na versão : 3.1.25
Pontuação de gravidade : alta
5. Feed de produtos PRO para WooCommerce
Plugin: Product Feed PRO para WooCommerce
Vulnerabilidade : Atualização de configurações do Subscriber+ para XSS armazenado
Instalação ativa : 80.000+
Corrigido na versão : 11.0.7
Pontuação de gravidade : alta
6. Postar Grade
Plugin: Post Grid
Vulnerabilidade : Contribuidor + SQL Injection
Instalação ativa : 60.000+
Corrigido na versão : 2.1.13
Pontuação de gravidade : média
7. Inscrições do Formulário de Contato
Plugin: Entradas de formulário de contato
Vulnerabilidade : script entre sites armazenado não autenticado
Instalação ativa : 40.000+
Corrigido na versão : 1.2.4
Pontuação de gravidade : alta
8. Ingressos para eventos
Plugin: Ingressos para eventos
Vulnerabilidade : Redirecionamento Aberto
Instalação ativa : 40.000+
Corrigido na versão : 5.2.2
Pontuação de gravidade : média
9. Campos personalizados avançados: estendidos
Plugin: Campos personalizados avançados: estendidos
Vulnerabilidade : Admin+ SQL Injection
Instalação ativa : 40.000+
Corrigido na versão : 0.8.8.7
Pontuação de gravidade : média
10. Aceite Doações com PayPal
Plugin: Aceite Doações com PayPal
Vulnerabilidade : exclusão arbitrária de postagem via CSRF
Instalação ativa : 30.000+
Corrigido na versão : 1.3.4
Pontuação de gravidade : alta
11. Campo da Galeria de Fotos ACF
Plugin: Campo da Galeria de Fotos do ACF
Vulnerabilidade : Script entre sites refletido
Instalação ativa : 30.000+
Corrigido na versão : 1.7.5
Pontuação de gravidade : média
12. Monitor de download simples
Plugin: Monitor de download simples
Vulnerabilidade : Vários CSRF
Instalação ativa : 30.000+
Corrigido na versão : 3.9.11
Pontuação de gravidade : média
13. Proteger WP Admin
Plugin: Proteger WP Admin
Vulnerabilidade : Desativação de plug-in não autenticado
Instalação ativa : 30.000+
Corrigido na versão : 3.6.2
Pontuação de gravidade : média
14. Backup e preparação pelo WP Time Capsule
Plugin: Backup e preparação por WP Time Capsule
Vulnerabilidade : Script entre sites refletido
Instalação ativa : 20.000+
Corrigido na versão : 1.22.7
Pontuação de gravidade : alta
15. Calendário de eventos
Plugin: Calendário de Eventos
Vulnerabilidade : Script entre sites refletido
Instalação ativa : 20.000+
Corrigido na versão : 1.1.51
Pontuação de gravidade : alta
Plugin: Calendário de Eventos
Vulnerabilidade : Criação de Eventos Assinante+
Instalação ativa : 20.000+
Corrigido na versão : 1.1.51
Pontuação de gravidade : média
16. Reservas em Restaurantes Cinco Estrelas
Plugin: Reservas de restaurante cinco estrelas
Vulnerabilidade : Assinante+ Script entre sites armazenado
Instalação ativa : 20.000+
Corrigido na versão : 2.4.8
Pontuação de gravidade : alta
17. Fórum Asgaros
Plugin: Fórum Asgaros
Vulnerabilidade : Admin+ SQL Injection via forum_id
Instalação ativa : 20.000+
Corrigido na versão : 1.15.15
Pontuação de gravidade : média
18. WP125
Plugin: WP125
Vulnerabilidade : exclusão arbitrária de anúncio via CSRF
Instalação ativa : 10.000+
Corrigido na versão : 1.5.5
Pontuação de gravidade : média
19. Gerente de Afiliados
Plugin: Gerenciador de Afiliados
Vulnerabilidade : script entre sites armazenado não autenticado
Instalação ativa : 10.000+
Corrigido na versão : 2.9.0
Pontuação de gravidade : alta
20. Ferramenta de SEO inteligente
Plugin: ferramenta de SEO inteligente
Vulnerabilidade : Script entre sites refletido
Instalação ativa : 9.000+
Corrigido na versão : 3.0.6
Pontuação de gravidade : média
21. tarteaucitron.js – Legislação sobre cookies e GDPR
Plugin: tarteaucitron.js – Legislação sobre cookies e GDPR
Vulnerabilidade : CSRF para scripts entre sites armazenados
Instalação ativa : 7.000+
Corrigido na versão : 1.6
Pontuação de gravidade : média
Plugin: tarteaucitron.js – Legislação sobre cookies e GDPR
Vulnerabilidade : Admin + Scripts entre sites armazenados
Instalação ativa : 7.000+
Corrigido na versão : 1.6.1
Pontuação de gravidade : baixa
22. Impulsionador de SEO
Plugin: SEO Booster
Vulnerabilidade : Admin+ SQL Injection
Instalação ativa : 4.000+
Corrigido na versão : 3.8
Pontuação de gravidade : média
23. Criador de Banner Booking.com
Plugin: Criador de Banner Booking.com
Vulnerabilidade : Admin+ Stored Cross-Site Scripting
Instalação ativa : 3.000+
Corrigido na versão : 1.4.3
Pontuação de gravidade : baixa
24. Campos Extras do Perfil
Plugin: Campos extras de perfil
Vulnerabilidade : Script entre sites refletido
Instalação ativa : 2.000+
Corrigido na versão : 1.2.4
Pontuação de gravidade : alta
25. Assistente de Produto Booking.com
Plugin: Assistente de Produto Booking.com
Vulnerabilidade : Admin+ Stored Cross-Site Scripting
Instalação ativa : 2.000+
Corrigido na versão : 1.0.2
Pontuação de gravidade : baixa
26. SEUR Oficial
Plugin: SEUR Oficial
Vulnerabilidade : Admin+ Stored Cross-Site Scripting
Instalação ativa : 1.000+
Corrigido na versão : 1.7.0
Pontuação de gravidade : média
27. Integração de planilhas
Plugin: Integração de planilhas
Vulnerabilidade : Bypass CSRF
Instalação ativa : 1.000+
Corrigido na versão : 3.6.0
Pontuação de gravidade : média
Plugin: Integração de planilhas
Vulnerabilidade : Script entre sites refletido
Instalação ativa : 1.000+
Corrigido na versão : 3.6.0
Pontuação de gravidade : alta
28. Anúncios de afiliados do ClickBank
Plugin: Anúncios de afiliados do ClickBank
Vulnerabilidade : Admin+ Stored Cross-Site Scripting
Instalação ativa : 700+
Corrigido na versão : 1.35
Pontuação de gravidade : baixa
Plugin: Anúncios de afiliados do ClickBank
Vulnerabilidade : CSRF para scripts entre sites armazenados
Instalação ativa : 700+
Corrigido na versão : 1.35
Pontuação de gravidade : alta
29. Estética
Plugin: Stetic
Vulnerabilidade : CSRF para scripts entre sites armazenados
Instalação ativa : 300+
Corrigido na versão : 1.0.9
Pontuação de gravidade : alta
30. Gerente de eventos móveis
Plug-in: Gerenciador de eventos móveis
Vulnerabilidade : Admin+ Stored Cross-Site Scripting
Instalação ativa : 20+
Corrigido na versão : 1.4.4
Pontuação de gravidade : baixa
Vulnerabilidades do plug-in do WordPress: nenhuma correção conhecida
Nesta seção, as vulnerabilidades mais recentes do plugin WordPress foram divulgadas em plugins fechados. Cada listagem de plug-ins inclui o tipo de vulnerabilidade, a classificação de gravidade e a data de encerramento.
31. Qualquer Comentário
Plugin: AnyComment
Vulnerabilidade : Script entre sites refletido
Instalação ativa : 4.000+
Corrigido na versão : nenhuma correção conhecida
Pontuação de gravidade : média
Vulnerabilidades do plug-in do WordPress: plug-in fechado
Nesta seção, as vulnerabilidades mais recentes do plugin WordPress foram divulgadas em plugins fechados. Cada listagem de plug-ins inclui o tipo de vulnerabilidade, a classificação de gravidade e a data de encerramento.
32. Abas
Plug-in: guias
Vulnerabilidade : Atualização de opção arbitrária não autenticada
Corrigido na versão : 3.6.0 – plugin fechado
Pontuação de gravidade : Crítico
33. Complementos de código de acesso
Plug-in: complementos de código de acesso
Vulnerabilidade : Atualização de opção arbitrária não autenticada
Corrigido na versão : 3.1.0 – plugin fechado
Pontuação de gravidade : Crítico
Como proteger seu site WordPress de plugins e temas vulneráveis
Como você pode ver no relatório semanal de vulnerabilidades do WordPress, muitos novos plugins do WordPress e vulnerabilidades de temas são divulgados a cada semana. Sabemos que pode ser difícil ficar por dentro de cada divulgação de vulnerabilidade relatada, portanto, o plug-in iThemes Security Pro facilita a verificação de que seu site não está executando um tema, plug-in ou versão principal do WordPress com uma vulnerabilidade conhecida.
1. Instale o plug-in iThemes Security Pro
O plug-in iThemes Security Pro protege seu site WordPress contra as formas mais comuns de invasão de sites. Com mais de 30 maneiras de proteger seu site em um plug-in fácil de usar.
2. Habilite a Verificação do Site para Verificar Vulnerabilidades Conhecidas
O recurso de gerenciamento de versão do iThemes Security Pro se integra ao Site Scan para proteger seu site. Temas vulneráveis, plugins e versões principais do WordPress serão atualizados automaticamente para você.
3. Ative a detecção de alteração de arquivo
A chave para detectar rapidamente uma violação de segurança é monitorar as alterações de arquivos em seu site. O recurso Detecção de alteração de arquivo no iThemes Security Pro verificará os arquivos do seu site e o alertará quando ocorrerem alterações em seu site.
Obtenha o iThemes Security Pro com verificação de sites
O iThemes Security Pro, nosso plugin de segurança do WordPress, oferece mais de 50 maneiras de proteger seu site contra vulnerabilidades comuns de segurança do WordPress. Com o WordPress, autenticação de dois fatores, proteção de força bruta, aplicação de senha forte e muito mais, você pode adicionar camadas extras de segurança ao seu site.
