Relatório de vulnerabilidade do WordPress: janeiro de 2022, parte 1
Publicados: 2022-01-06Plugins e temas vulneráveis são a razão número 1 pela qual os sites WordPress são invadidos. O relatório semanal de vulnerabilidades do WordPress, desenvolvido pela WPScan, abrange as vulnerabilidades recentes de plugins, temas e principais do WordPress, e o que fazer se você executar um dos plugins ou temas vulneráveis em seu site.
Cada vulnerabilidade terá uma classificação de gravidade baixa , média , alta ou crítica . A divulgação responsável e o relatório de vulnerabilidades são parte integrante de manter a comunidade WordPress segura. Novidade neste relatório: as vulnerabilidades agora são listadas em ordem pelo número de instalações ativas, em vez da data da divulgação.
Por favor, compartilhe este post com seus amigos para ajudar a divulgar e tornar o WordPress mais seguro para todos !
Recapitulação do relatório de vulnerabilidades do WordPress de 2021: 1.263 vulnerabilidades divulgadas; 98% plug-ins
- Em 2021, um total de 1.263 vulnerabilidades de plugins e temas foram divulgados. As vulnerabilidades do plug-in do WordPress representaram 98% de todas as vulnerabilidades relatadas.
- Setembro de 2021 viu o maior número de vulnerabilidades relatadas, com um total de 323 vulnerabilidades divulgadas somente naquele mês.
- Os tipos mais comuns de vulnerabilidades de plugins divulgados em 2021 foram cross-site scripting (XSS) e injeções de SQL. A maioria dos autores de plugins lançou patches, enquanto alguns plugins ainda permanecem fechados.
- Devido ao aumento nas divulgações de vulnerabilidades, alteramos a frequência do relatório de vulnerabilidades para uma vez por semana, em vez de duas vezes por mês.
- Graças ao seu feedback, também começamos a listar as divulgações de plugins em ordem ou instalações ativas. Também começamos a agrupar plugins por free e pro, com uma seção separada para plugins fechados e plugins sem correção conhecida.
Vulnerabilidades do WordPress Core
A versão mais recente do núcleo do WordPress é 5.8.2. Como prática recomendada, sempre execute a versão mais recente do núcleo do WordPress!
Vulnerabilidades de plugins do WordPress
Nesta seção, as vulnerabilidades mais recentes do plugin WordPress foram divulgadas. Cada listagem de plug-ins inclui o tipo de vulnerabilidade, as instalações ativas, o número da versão se corrigida e a classificação de gravidade.
1. UpdraftPlus
Plugin: UpdraftPlus
Vulnerabilidade : Script entre sites refletido
Instalação ativa : 3+ milhões
Corrigido na versão : 1.16.569
Pontuação de gravidade : alta
Plugin: UpdraftPlus
Vulnerabilidade : Admin+ Stored Cross-Site Scripting
Instalação ativa : 3+ milhões
Corrigido na versão : 1.6.59
Pontuação de gravidade : baixa
Plugin: UpdraftPlus
Vulnerabilidade : Inclusão de Arquivo Local Admin+
Instalação ativa : 3+ milhões
Corrigido na versão : 1.16.59
Pontuação de gravidade : média
2. Conversor WebP para Mídia
Plugin: WebP Converter for Media
Vulnerabilidade : Redirecionamento aberto não autenticado
Instalação ativa : 100.000+
Corrigido na versão : 4.0.3
Pontuação de gravidade : média
3. WOOF – Filtro de Produtos para WooCommerce
Plugin: WOOF – Filtro de Produtos para WooCommerce
Vulnerabilidade : Script entre sites refletido
Instalação ativa : 100.000+
Corrigido na versão : 1.2.6.3
Pontuação de gravidade : alta
4. AprendaPressione
Plugin: LearnPress
Vulnerabilidade : Admin+ Stored Cross-Site Scripting
Instalação ativa : 100.000+
Corrigido na versão : 4.1.3.2
Pontuação de gravidade : média
5. Clone da página de postagem do WP
Plugin: WP Post Page Clone
Vulnerabilidade : Acesso de postagem não autorizado
Instalação ativa : 80.000+
Corrigido na versão : 1.2
Pontuação de gravidade : média
6. Tipos de arquivos extras do WP
Plugin: Tipos de arquivo extra WP
Vulnerabilidade : CSRF para scripts entre sites armazenados
Instalação ativa : 50.000+
Corrigido na versão : 0.5.1
Pontuação de gravidade : alta
7. Tutor LMS
Plugin: Tutor LMS
Vulnerabilidade : Assinante+ Script entre sites armazenado
Instalação ativa : 40.000+
Corrigido na versão : 1.9.12
Pontuação de gravidade : alta
Plugin: Tutor LMS
Vulnerabilidade : Script entre sites refletido
Instalação ativa : 40.000+
Corrigido na versão : 1.9.12
Pontuação de gravidade : alta
8. Painel personalizado e página de login
Plugin: painel personalizado e página de login
Vulnerabilidade : Admin+ Stored Cross-Site Scripting
Instalação ativa : 40.000+
Corrigido na versão : 7.0
Pontuação de gravidade : média
9. Perguntas frequentes finais
Plug-in: Perguntas frequentes finais
Vulnerabilidade : Assinante+ Criação de Perguntas Frequentes Arbitrárias
Instalação ativa : 30.000+
Corrigido na versão : 2.1.2
Pontuação de gravidade : média
10. Frontend de usuário WP
Plugin: WP User Frontend
Vulnerabilidade : injeção de SQL para scripts entre sites refletidos
Instalação ativa : 30.000+
Corrigido na versão : 3.5.26
Pontuação de gravidade : alta
11. myCred
Plugin: myCred
Vulnerabilidade : Script entre sites refletido
Instalação ativa : 20.000+
Corrigido na versão : 2.4
Pontuação de gravidade : alta
12. Efeitos de foco de imagem final
Plugin: Image Hover Effects Ultimate
Vulnerabilidade : Script entre sites refletido
Instalação ativa : 20.000+
Corrigido na versão : 9.7.1
Pontuação de gravidade : alta
13. Qubelly
Plugin: Qubelly
Vulnerabilidade : Assinante+ Criação de Perguntas Frequentes Arbitrárias
Instalação ativa : 10.000+
Corrigido na versão : 1.7.8
Pontuação de gravidade : média
14. Magia de Registro
Plugin: Registro Mágico
Vulnerabilidade : Script entre sites refletido
Instalação ativa : 10.000+
Corrigido na versão : 5.0.1.9
Pontuação de gravidade : alta
15. Rastreamento de pedidos para WooCommerce
Plugin: Rastreamento de Pedidos para WooCommerce
Vulnerabilidade : Script entre sites refletido
Instalação ativa : 10.000+
Corrigido na versão : 1.1.10
Pontuação de gravidade : alta
16. Biblioteca de links
Plug-in: Biblioteca de links
Vulnerabilidade : Script entre sites refletido
Instalação ativa : 10.000+
Corrigido na versão : 7.2.8
Pontuação de gravidade : média
Plug-in: Biblioteca de links
Vulnerabilidade : redefinição das configurações da biblioteca via CSRF
Instalação ativa : 10.000+
Corrigido na versão : 7.2.8
Pontuação de gravidade : média
Plug-in: Biblioteca de links
Vulnerabilidade : exclusão de links arbitrários não autenticados
Instalação ativa : 10.000+
Corrigido na versão : 7.2.8
Pontuação de gravidade : média
17. Acompanhante AF
Plugin: AF Companion
Vulnerabilidade : Instalação e ativação arbitrária de plug-in via CSRF
Instalação ativa : 9.000+
Corrigido na versão : 1.2.0
Pontuação de gravidade : alta
18. Widget de Lista de Autores KNR
Plugin: Widget de Lista de Autores KNR
Vulnerabilidade : injeção de SQL não autenticada
Instalação ativa : 200+
Corrigido na versão : 3.0.0
Pontuação de gravidade : Crítico
19. Informações do Usuário do WP Cookie
Plugin: WP Cookie User Info
Vulnerabilidade : Admin+ SQL Injection
Instalação ativa : 200+
Corrigido na versão : 1.0.9
Pontuação de gravidade : média
Vulnerabilidades do plug-in do WordPress: plug-in fechado
Nesta seção, as vulnerabilidades mais recentes do plugin WordPress foram divulgadas em plugins fechados. Cada listagem de plug-ins inclui o tipo de vulnerabilidade, a classificação de gravidade e a data de encerramento.
20. LabTools
Plugin: LabTools
Vulnerabilidade : Assinante+ Exclusão Arbitrária de Publicação
Corrigido na versão : Nenhuma correção conhecida – plug-in fechado
Pontuação de gravidade : média
21. Verificação de Domínio
Plugin: Verificação de Domínio
Vulnerabilidade : Script entre sites refletido
Corrigido na versão : Nenhuma correção conhecida – plug-in fechado
Pontuação de gravidade : alta
22. Visualizador de registro de erros
Plugin: Visualizador de log de erros
Vulnerabilidade : exclusão arbitrária de arquivo de texto via CSRF
Corrigido na versão : Nenhuma correção conhecida – plug-in fechado
Pontuação de gravidade : baixa
23. WP Visitados Países Recarregados
Plugin: WP Visitados Países Recarregados
Vulnerabilidade : Script entre sites refletido
Corrigido na versão : 3.1.1- plugin fechado
Pontuação de gravidade : alta
24. Cursos de Aprendizagem
Plug-in: Cursos de Aprendizagem
Vulnerabilidade : Admin+ Stored Cross-Site Scripting
Corrigido na versão : 5.0 – plugin fechado
Pontuação de gravidade : baixa
25. Levantamento Perfeito
Plugin: Pesquisa Perfeita
Vulnerabilidade : Chamada AJAX não autorizada para XSS armazenado / atualização de configurações de pesquisa
Corrigido na versão : 1.5.2 – plugin fechado
Pontuação de gravidade : alta
Plugin: Pesquisa Perfeita
Vulnerabilidade : Chamada AJAX não autorizada para XSS armazenado / atualização de configurações de pesquisa
Corrigido na versão : 1.5.2 – plugin fechado
Pontuação de gravidade : alta
Plugin: Pesquisa Perfeita
Vulnerabilidade : injeção de SQL não autenticada
Corrigido na versão : 1.5.2 – plugin fechado
Pontuação de gravidade : alta
Plugin: Pesquisa Perfeita
Vulnerabilidade : Script entre sites refletido
Corrigido na versão : 1.5.2 – plugin fechado
Pontuação de gravidade : alta
Plugin: Pesquisa Perfeita
Vulnerabilidade : script entre sites armazenado não autenticado
Corrigido na versão : Nenhuma correção conhecida – plug-in fechado
Pontuação de gravidade : alta
Vulnerabilidades do plug-in do WordPress: nenhuma correção conhecida
Nesta seção, as vulnerabilidades mais recentes do plugin WordPress foram divulgadas em plugins fechados. Cada listagem de plug-ins inclui o tipo de vulnerabilidade, a classificação de gravidade e a data de encerramento.
26. Mídias
Plugin: Mediamatic
Vulnerabilidade : Assinante + SQL Injection
Instalação ativa : 3.000+
Corrigido na versão : nenhuma correção conhecida
Pontuação de gravidade : alta
Como proteger seu site WordPress de plugins e temas vulneráveis
Como você pode ver neste relatório, muitos novos plugins WordPress e vulnerabilidades de temas são divulgados a cada semana. Sabemos que pode ser difícil ficar por dentro de cada divulgação de vulnerabilidade relatada, portanto, o plug-in iThemes Security Pro facilita a verificação de que seu site não está executando um tema, plug-in ou versão principal do WordPress com uma vulnerabilidade conhecida.
1. Instale o plug-in iThemes Security Pro
O plug-in iThemes Security Pro protege seu site WordPress contra as formas mais comuns de invasão de sites. Com mais de 30 maneiras de proteger seu site em um plug-in fácil de usar.
2. Habilite a Verificação do Site para Verificar Vulnerabilidades Conhecidas
O recurso de gerenciamento de versão do iThemes Security Pro se integra ao Site Scan para proteger seu site. Temas vulneráveis, plugins e versões principais do WordPress serão atualizados automaticamente para você.
3. Ative a detecção de alteração de arquivo
A chave para detectar rapidamente uma violação de segurança é monitorar as alterações de arquivos em seu site. O recurso Detecção de alteração de arquivo no iThemes Security Pro verificará os arquivos do seu site e o alertará quando ocorrerem alterações em seu site.
Obtenha o iThemes Security Pro com monitoramento de segurança de sites 24 horas por dia, 7 dias por semana
O iThemes Security Pro, nosso plugin de segurança do WordPress, oferece mais de 50 maneiras de proteger seu site contra vulnerabilidades comuns de segurança do WordPress. Com o WordPress, autenticação de dois fatores, proteção de força bruta, aplicação de senha forte e muito mais, você pode adicionar camadas extras de segurança ao seu site.
