Relatório de vulnerabilidade do WordPress: novembro de 2021, parte 2
Publicados: 2021-11-10Plugins e temas vulneráveis são a razão número 1 pela qual os sites WordPress são invadidos. O relatório semanal de vulnerabilidades do WordPress, desenvolvido pela WPScan, abrange as vulnerabilidades recentes de plugins, temas e principais do WordPress, e o que fazer se você executar um dos plugins ou temas vulneráveis em seu site.
Cada vulnerabilidade terá uma classificação de gravidade baixa , média , alta ou crítica . A divulgação responsável e o relatório de vulnerabilidades são parte integrante de manter a comunidade WordPress segura.
Por favor, compartilhe este post com seus amigos para ajudar a divulgar e tornar o WordPress mais seguro para todos.
Vulnerabilidades do WordPress Core
A versão mais recente do núcleo do WordPress é 5.8.1. Como prática recomendada, sempre execute a versão mais recente do núcleo do WordPress!
Vulnerabilidades de plugins do WordPress
Nesta seção, as vulnerabilidades mais recentes do plugin WordPress foram divulgadas. Cada listagem de plug-ins inclui o tipo de vulnerabilidade, o número da versão se corrigida e a classificação de gravidade.
1. Galeria de concursos
Plugin: Galeria de concursos
Vulnerabilidade : Divulgação de endereço de e-mail do assinante+
Corrigido na versão : 13.1.0.7
Pontuação de gravidade : média
Plugin: Galeria de concursos
Vulnerabilidade : falta de controles de acesso para injeção de SQL não autenticada/divulgação de endereço de e-mail
Corrigido na versão : 13.1.0.6
Pontuação de gravidade : alta
2. Verifique e registre o e-mail
Plugin: Verificar e registrar e-mail
Vulnerabilidade : Script entre sites refletido
Corrigido na versão : 1.0.4
Pontuação de gravidade : alta
3. Gerenciador de PDF BSK
Plugin: Gerenciador de PDF BSK
Vulnerabilidade : Admin+ SQL Injection
Corrigido na versão : 3.1.2
Pontuação de gravidade : média
4. Calculadora de Custo Elegante
Plugin: Calculadora de Custo Elegante
Vulnerabilidade : Assinante+ Chamadas AJAX Não Autorizadas para XSS Armazenado
Corrigido na versão : 7.0.4
Pontuação de gravidade : alta
5. WP da página da loja
Plugin: Página da loja WP
Vulnerabilidade : Admin+ Stored Cross-Site Scripting
Corrigido na versão : 1.2.8
Pontuação de gravidade : média
6. Ibtana – Complementos de produtos de comércio eletrônico
Plugin: Ibtana – Complementos de produtos de comércio eletrônico
Vulnerabilidade : Script entre sites refletido
Corrigido na versão : 0.2.4
Pontuação de gravidade : alta
7. Agregador de RSS WP
Plugin: WP RSS Aggregator
Vulnerabilidade : Admin+ Stored Cross-Site Scripting
Corrigido na versão : 4.19.2
Pontuação de gravidade : baixa
8. Gerar Blocos
Plugin: GenerateBlocks
Vulnerabilidade : Contributor+ Scripts entre sites armazenados
Corrigido na versão : 1.4.0
Pontuação de gravidade : média
9. E-mail antes do download
Plugin: Email antes do download
Vulnerabilidade : Admin+ SQL Injection
Corrigido na versão : 6.8
Pontuação de gravidade : média
10. myCred
Plugin: myCred
Vulnerabilidade : Assinante + SQL Injection
Corrigido na versão : 2.3
Pontuação de gravidade : alta
11. Google Maps Fácil
Plug-in: Google Maps Fácil
Vulnerabilidade : Admin+ Stored Cross-Site Scripting
Corrigido na versão : 1.10.1
Pontuação de gravidade : baixa
12. Meu Calendário
Plugin: Meu Calendário
Vulnerabilidade : Assinante+ Reflected Cross-Site Scripting
Corrigido na versão : 3.2.18
Pontuação de gravidade : média
13. Construtor de formulários ARForms
Plugin: Construtor de formulários ARForms
Vulnerabilidade : Admin+ Stored Cross-Site Scripting
Corrigido na versão : 1.5
Pontuação de gravidade : baixa
14. Ferramentas WP DSGVO
Plugin: Ferramentas WP DSGVO
Vulnerabilidade : exclusão de postagem arbitrária não autenticada
Corrigido na versão : 3.1.24
Pontuação de gravidade : alta
15. WP Todas as Importações
Plugin: WP All Import
Vulnerabilidade : Admin+ Stored Cross-Site Scripting
Corrigido na versão : 3.6.3
Pontuação de gravidade : baixa
16. WPS Ocultar Login
Plugin: WPS Ocultar Login
Vulnerabilidade : Desvio de proteção com cabeçalho de referência
Corrigido na versão : 1.9.1
Pontuação de gravidade : média
17. WP Google Fonts
Plugin: WP Google Fonts
Vulnerabilidade : Script entre sites refletido
Corrigido na versão : 3.1.5
Pontuação de gravidade : média
18. Gerenciador de eventos para WooCommerce
Plugin: Gerenciador de Eventos para WooCommerce
Vulnerabilidade : importação de modelo de elemento arbitrário não autenticado
Corrigido na versão : 3.5.3
Pontuação de gravidade : média
Plugin: Gerenciador de Eventos para WooCommerce
Vulnerabilidade : Redefinição de opções arbitrárias não autenticadas
Corrigido na versão : 3.5.3
Pontuação de gravidade : alta
19. Automatizador WP
Plugin: AutomatorWP
Vulnerabilidade : autorização ausente e escalonamento de privilégios
Corrigido na versão : 1.7.6
Pontuação de gravidade : média
20. Controle deslizante de logotipo e vitrine
Plugin: Logo Slider e Showcase
Vulnerabilidade : Atualização de configurações do plug-in do editor
Corrigido na versão : 1.3.37
Pontuação de gravidade : baixa
21. Lista de Preços Elegante
Plugin: Lista de Preços Elegante
Vulnerabilidade : upload de imagem arbitrária não autenticada
Corrigido na versão : 6.9.0
Pontuação de gravidade : média
Plugin: Lista de Preços Elegante
Vulnerabilidade : Assinante+ Upload de imagem arbitrária
Corrigido na versão : 6.9.1
Pontuação de gravidade : média
22. Depuração WP
Plugin: Depuração WP
Vulnerabilidade : Atualização de configurações do plug-in não autenticado
Corrigido na versão : 2.11.0
Pontuação de gravidade : média
23. Listagem de hotéis
Plug-in: Listagem de hotéis
Vulnerabilidade : script entre sites armazenado autenticado
Corrigido na versão : 1.3.3
Pontuação de gravidade : média
24. Rastreador de e-mail
Plugin: Rastreador de e-mail
Vulnerabilidade : Script entre sites refletido
Corrigido na versão : 5.2.6
Pontuação de gravidade : alta
25. Formulário de contato da Supsystic
Plugin: Formulário de contato da Supsystic
Vulnerabilidade : Admin+ Stored Cross-Site Scripting
Corrigido na versão : 1.7.20
Pontuação de gravidade : baixa
26. Menu do Restaurante MotoPress
Plugin: Menu do Restaurante da MotoPress
Vulnerabilidade : Admin+ Stored Cross Site Scripting
Corrigido na versão : 2.4.2
Pontuação de gravidade : baixa
27. Redirecionamento de SEO
Plugin: Redirecionamento de SEO
Vulnerabilidade : Assinante + SQL Injection
Corrigido na versão : 8.2
Pontuação de gravidade : média
28. Tutor LMS
Plugin: Tutor LMS
Vulnerabilidade : Script entre sites refletido
Corrigido na versão : 1.9.11
Pontuação de gravidade : média
29. Formas Ninja
Plugin: Ninja Forms
Vulnerabilidade : Admin+ SQL Injection
Corrigido na versão : 3.6.4
Pontuação de gravidade : média
30. Inscrições para o Calendário de Eventos
Plugin: Inscrições para o Calendário de Eventos
Vulnerabilidade : Script entre sites refletido
Corrigido na versão : 2.7.5
Pontuação de gravidade : alta
Como proteger seu site WordPress de plugins e temas vulneráveis
Como você pode ver neste relatório, muitos novos plugins WordPress e vulnerabilidades de temas são divulgados a cada semana. Sabemos que pode ser difícil ficar por dentro de cada divulgação de vulnerabilidade relatada, portanto, o plug-in iThemes Security Pro facilita a verificação de que seu site não está executando um tema, plug-in ou versão principal do WordPress com uma vulnerabilidade conhecida.
1. Instale o plug-in iThemes Security Pro
O plug-in iThemes Security Pro protege seu site WordPress contra as formas mais comuns de invasão de sites. Com mais de 30 maneiras de proteger seu site em um plug-in fácil de usar.
2. Habilite a Verificação do Site para Verificar Vulnerabilidades Conhecidas
O recurso de gerenciamento de versão do iThemes Security Pro se integra ao Site Scan para proteger seu site. Temas vulneráveis, plugins e versões principais do WordPress serão atualizados automaticamente para você.
3. Monitorar alterações de arquivos
A chave para detectar rapidamente uma violação de segurança é monitorar as alterações de arquivos em seu site. O recurso Detecção de alteração de arquivo no iThemes Security Pro verificará os arquivos do seu site e o alertará quando ocorrerem alterações em seu site.
Obtenha o iThemes Security Pro com monitoramento de sites 24 horas por dia, 7 dias por semana
O iThemes Security Pro, nosso plugin de segurança do WordPress, oferece mais de 50 maneiras de proteger seu site contra vulnerabilidades comuns de segurança do WordPress. Com o WordPress, autenticação de dois fatores, proteção de força bruta, aplicação de senha forte e muito mais, você pode adicionar camadas extras de segurança ao seu site.