Relatório de vulnerabilidade do WordPress: novembro de 2021, parte 3
Publicados: 2021-11-20Plugins e temas vulneráveis são a razão número 1 pela qual os sites WordPress são invadidos. O relatório semanal de vulnerabilidades do WordPress, desenvolvido pela WPScan, abrange as vulnerabilidades recentes de plugins, temas e principais do WordPress, e o que fazer se você executar um dos plugins ou temas vulneráveis em seu site.
Cada vulnerabilidade terá uma classificação de gravidade baixa , média , alta ou crítica . A divulgação responsável e o relatório de vulnerabilidades são parte integrante de manter a comunidade WordPress segura.
Por favor, compartilhe este post com seus amigos para ajudar a divulgar e tornar o WordPress mais seguro para todos.
Vulnerabilidades do WordPress Core
A versão mais recente do núcleo do WordPress é 5.8.2. Como prática recomendada, sempre execute a versão mais recente do núcleo do WordPress!
1. WordPress
Vulnerabilidade : Certificado DST Root CA X3 expirado
Corrigido na versão : 5.8.2
Explicação: O arquivo wp-includes/certificates/ca-bundle.crt contém um DST Root CA X3 que expirou em 30 de setembro de 2021, gerando um aviso de segurança em alguns casos.
Vulnerabilidades de plugins do WordPress
Nesta seção, as vulnerabilidades mais recentes do plugin WordPress foram divulgadas. Cada listagem de plug-ins inclui o tipo de vulnerabilidade, o número da versão se corrigida e a classificação de gravidade.
1. Inscrições para o Calendário de Eventos
Plugin: Inscrições para o Calendário de Eventos
Vulnerabilidade : injeção de SQL não autenticada
Corrigido na versão : 2.7.6
Pontuação de gravidade : alta
2. LoginWP
Plugin: LoginWP
Vulnerabilidade : Script entre sites refletido
Corrigido na versão : 3.0.0.5
Pontuação de gravidade : alta
3. Trocador de moeda WooCommerce
Plugin: Trocador de moeda WooCommerce
Vulnerabilidade : Script entre sites refletido
Corrigido na versão : 1.3.7.1
Pontuação de gravidade : média
4. Proteção de conteúdo de cópia segura e bloqueio de conteúdo
Plugin: Proteção de conteúdo de cópia segura e bloqueio de conteúdo
Vulnerabilidade : Divulgação de endereço de e-mail do assinante+
Corrigido na versão : 2.8.2
Pontuação de gravidade : alta
5. Livremente
Plugin: Bookly
Vulnerabilidade : Scripts entre sites armazenados por membros da equipe
Corrigido na versão : 20.3.1
Pontuação de gravidade : média
6. Registro de e-mail
Plugin: Log de e-mail
Vulnerabilidade : Script entre sites refletido
Corrigido na versão : 2.4.8
Pontuação de gravidade : alta
7. Tawk.to Live Chat
Plugin: Tawk.to Live Chat
Vulnerabilidade : Monitoramento de assinante+ visitante e remoção de bate-papo
Corrigido na versão : 0.6.0
Pontuação de gravidade : alta
8. Acesso a Dados WP
Plugin: WP Data Access
Vulnerabilidade : Admin+ SQL Injection
Corrigido na versão : 5.0.0
Pontuação de gravidade : alta
9. Visualizador de PDF.js
Plugin: Visualizador de PDF.js
Vulnerabilidade : Contributor+ Scripts entre sites armazenados
Corrigido na versão : 2.0.2
Pontuação de gravidade : média
10. Backup e restauração
Plugin: Backup e restauração
Vulnerabilidade : Exclusão Arbitrária de Arquivo Admin+
Corrigido na versão : nenhuma correção conhecida
Pontuação de gravidade : média
11. AprendaPressione
Plugin: LearnPress
Vulnerabilidade : Admin+ SQL Injection
Corrigido na versão : 4.1.4
Pontuação de gravidade : média
12. Obtenha valores de campo personalizados
Plug-in: obter valores de campo personalizados
Vulnerabilidade : Contributor+ Scripts entre sites armazenados
Corrigido na versão : 4.0.1
Pontuação de gravidade : média
13. Pacote de Reservas
Plugin: Pacote de Reservas
Vulnerabilidade : Script entre sites refletido
Corrigido na versão : 1.5.11
Pontuação de gravidade : média
14. Avaliação do botão Curtir
Plugin: Avaliação do botão Curtir
Vulnerabilidade : Exportação de votos não autorizados para divulgação de endereços de e-mail e IP
Corrigido na versão : 2.6.38
Pontuação de gravidade : alta
15. Formas de Caldeira
Plugin: Caldera Forms
Vulnerabilidade : Admin+ Stored Cross-Site Scripting
Corrigido na versão : 1.9.5
Pontuação de gravidade : baixa
16. Modelos Iniciais
Plug-in: modelos iniciais
Vulnerabilidade : Contributor+ Block Import to Stored XSS
Corrigido na versão : 2.7.1
Pontuação de gravidade : alta
17. E-mail do formulário de contato
Plugin: E-mail do formulário de contato
Vulnerabilidade : Admin+ Stored Cross-Site Scripting
Corrigido na versão : 1.3.25
Pontuação de gravidade : baixa
18. Galeria de Vídeos – Galeria do Vimeo e YouTube
Plugin: Galeria de Vídeos – Vimeo e Galeria do YouTube
Vulnerabilidade : Admin+ Stored Cross-Site Scripting
Corrigido na versão : 1.1.5
Pontuação de gravidade : baixa
19. Postagens populares do WordPress
Plugin: Postagens populares do WordPress
Vulnerabilidade : Admin+ Stored Cross-Site Scripting
Corrigido na versão : 5.3.4
Pontuação de gravidade : baixa
Como proteger seu site WordPress de plugins e temas vulneráveis
Como você pode ver neste relatório, muitos novos plugins WordPress e vulnerabilidades de temas são divulgados a cada semana. Sabemos que pode ser difícil ficar por dentro de cada divulgação de vulnerabilidade relatada, portanto, o plug-in iThemes Security Pro facilita a verificação de que seu site não está executando um tema, plug-in ou versão principal do WordPress com uma vulnerabilidade conhecida.
1. Instale o plug-in iThemes Security Pro
O plug-in iThemes Security Pro protege seu site WordPress contra as formas mais comuns de invasão de sites. Com mais de 30 maneiras de proteger seu site em um plug-in fácil de usar.
2. Habilite a Verificação do Site para Verificar Vulnerabilidades Conhecidas
O recurso de gerenciamento de versão do iThemes Security Pro se integra ao Site Scan para proteger seu site. Temas vulneráveis, plugins e versões principais do WordPress serão atualizados automaticamente para você.
3. Monitorar alterações de arquivos
A chave para detectar rapidamente uma violação de segurança é monitorar as alterações de arquivos em seu site. O recurso Detecção de alteração de arquivo no iThemes Security Pro verificará os arquivos do seu site e o alertará quando ocorrerem alterações em seu site.
Obtenha o iThemes Security Pro com monitoramento de segurança de sites 24 horas por dia, 7 dias por semana
O iThemes Security Pro, nosso plugin de segurança do WordPress, oferece mais de 50 maneiras de proteger seu site contra vulnerabilidades comuns de segurança do WordPress. Com o WordPress, autenticação de dois fatores, proteção de força bruta, aplicação de senha forte e muito mais, você pode adicionar camadas extras de segurança ao seu site.