Relatório de vulnerabilidade do WordPress: novembro de 2021, parte 4

Publicados: 2021-11-25

Plugins e temas vulneráveis ​​são a razão número 1 pela qual os sites WordPress são invadidos. O relatório semanal de vulnerabilidades do WordPress, desenvolvido pela WPScan, abrange as vulnerabilidades recentes de plugins, temas e principais do WordPress, e o que fazer se você executar um dos plugins ou temas vulneráveis ​​em seu site.

Cada vulnerabilidade terá uma classificação de gravidade baixa , média , alta ou crítica . A divulgação responsável e o relatório de vulnerabilidades são parte integrante de manter a comunidade WordPress segura.

Por favor, compartilhe este post com seus amigos para ajudar a divulgar e tornar o WordPress mais seguro para todos.

Quer que este relatório seja entregue em sua caixa de entrada toda semana?
Assine o e-mail semanal

Hospedagem WordPress: GoDaddy Hackeado

Em uma divulgação de segurança publicada em 21 de novembro de 2021, a GoDaddy diz que até 1,2 milhão de clientes ativos e inativos foram expostos depois que hackers obtiveram acesso à sua plataforma de hospedagem WordPress gerenciada.

Escrevemos um post para descompactar alguns dos detalhes do hack GoDaddy recente, como isso afeta os clientes e nossas recomendações sobre o que fazer se você for um cliente de hospedagem WordPress na GoDaddy.

Leia a postagem

Vulnerabilidades do WordPress Core

A versão mais recente do núcleo do WordPress é 5.8.2. Como prática recomendada, sempre execute a versão mais recente do núcleo do WordPress!

Vulnerabilidades de plugins do WordPress

Nesta seção, as vulnerabilidades mais recentes do plugin WordPress foram divulgadas. Cada listagem de plug-ins inclui o tipo de vulnerabilidade, o número da versão se corrigida e a classificação de gravidade.

1. Pixel Cat Lite

Plugin: Pixel Cat Lite
Vulnerabilidade : Admin+ Stored Cross-Site Scripting
Corrigido na versão : 2.6.3
Pontuação de gravidade : baixa

A vulnerabilidade foi corrigida, então você deve atualizar para a versão 2.6.3.

Plugin: Pixel Cat Lite
Vulnerabilidade : CSRF para scripts entre sites armazenados
Corrigido na versão : 2.6.2
Pontuação de gravidade : alta

A vulnerabilidade foi corrigida, então você deve atualizar para a versão 2.6.2.

2. Galeria tudo-em-um

Plugin: Galeria tudo-em-um
Vulnerabilidade : Inclusão de Arquivo Local Admin+
Corrigido na versão : 2.5.0
Pontuação de gravidade : baixa

A vulnerabilidade foi corrigida, então você deve atualizar para a versão 2.5.0.

3. StopBadBots

Plugin: StopBadBots
Vulnerabilidade : Script entre sites refletido
Corrigido na versão : 6.67
Pontuação de gravidade : Crítico

A vulnerabilidade foi corrigida, então você deve atualizar para a versão 6.67.

4. Login temporário sem senha

Plugin: Login Temporário sem Senha
Vulnerabilidade : Atualização de configurações do plugin Subscriber+
Corrigido na versão : 1.7.1
Pontuação de gravidade : média

A vulnerabilidade foi corrigida, então você deve atualizar para a versão 1.7.1.

5. ProfilePress

Plugin: ProfilePress
Vulnerabilidade : Script entre sites refletido
Corrigido na versão : 3.2.3
Pontuação de gravidade : média

A vulnerabilidade foi corrigida, então você deve atualizar para a versão 3.2.3.

Plugin: ProfilePress
Vulnerabilidade : Script entre sites refletido
Corrigido na versão : 3.2.3
Pontuação de gravidade : alta

A vulnerabilidade foi corrigida, então você deve atualizar para a versão 3.2.3.

6. Calendário de eventos modernos

Plugin: Calendário de eventos modernos
Vulnerabilidade : Injeção de SQL cega não autenticada
Corrigido na versão : 6.1.5
Pontuação de gravidade : alta

A vulnerabilidade foi corrigida, então você deve atualizar para a versão 6.1.5.

Plugin: Calendário de eventos modernos
Vulnerabilidade : Script entre sites refletido
Corrigido na versão : 6.1.5
Pontuação de gravidade : alta

A vulnerabilidade foi corrigida, então você deve atualizar para a versão 6.1.5.

7. Imagem em destaque automática

Plug-in: imagem em destaque automático
Vulnerabilidade : Script entre sites refletido
Corrigido na versão : 3.9.3
Pontuação de gravidade : média

A vulnerabilidade foi corrigida, então você deve atualizar para a versão 3.9.3.

8. Ultimate NoFollow

Plugin: Ultimate NoFollow
Vulnerabilidade : Contributor+ Scripts entre sites armazenados
Corrigido na versão : Nenhuma correção conhecida – plug-in fechado
Pontuação de gravidade : média

Esta vulnerabilidade NÃO foi corrigida. Este plug-in foi fechado em 28 de setembro de 2021. Desinstale e exclua.

9. Formulários NEX

Plugin: NEX-Forms
Vulnerabilidade : Vários Admin+ Scripts entre Sites Armazenados
Corrigido na versão : Nenhuma correção conhecida – plug-in fechado
Pontuação de gravidade : baixa

Esta vulnerabilidade NÃO foi corrigida. Este plug-in foi fechado em 4 de outubro de 2021. Desinstale e exclua.

10. Impulsionador de SEO

Plugin: SEO Booster
Vulnerabilidade : Admin+ SQL Injection
Corrigido na versão : Nenhuma correção conhecida – plug-in fechado
Pontuação de gravidade : média

Esta vulnerabilidade NÃO foi corrigida. Este plug-in foi fechado em 5 de outubro de 2021. Desinstale e exclua.

11. Registro do Sistema WP

Plugin: Log do Sistema WP
Vulnerabilidade : script entre sites armazenado não autenticado
Corrigido na versão : 1.0.21
Pontuação de gravidade : Crítico

A vulnerabilidade foi corrigida, então você deve atualizar para a versão 1.0.21.

12. Rotador de citações inspiradoras

Plugin: Inspirational Quote Rotator
Vulnerabilidade : Admin+ Stored Cross-Site Scripting
Corrigido na versão : Nenhuma correção conhecida – plug-in fechado
Pontuação de gravidade : baixa

Esta vulnerabilidade NÃO foi corrigida. Este plug-in foi fechado em 23 de setembro de 2021. Desinstale e exclua.

13. Exportador de postagem única

Plugin: Exportador de postagem única
Vulnerabilidade : Atualização de configurações do plug-in via CSRF
Corrigido na versão : Nenhuma correção conhecida – plug-in fechado
Pontuação de gravidade : média

Esta vulnerabilidade NÃO foi corrigida. Este plug-in foi fechado em 23 de setembro de 2021. Desinstale e exclua.

14. Flexibilidade de fontes locais

Plugin: Flex Local Fonts
Vulnerabilidade : Admin+ Stored Cross-Site-Scripting
Corrigido na versão : Nenhuma correção conhecida – plug-in fechado
Pontuação de gravidade : baixa

Esta vulnerabilidade NÃO foi corrigida. Este plug-in foi fechado em 23 de setembro de 2021. Desinstale e exclua.

15. Trocador de Logo WP Admin

Plugin: WP Admin Logo Changer
Vulnerabilidade : Atualização de configurações do plug-in via CSRF
Corrigido na versão : Nenhuma correção conhecida – plug-in fechado
Pontuação de gravidade : média

Esta vulnerabilidade NÃO foi corrigida. Este plug-in foi fechado em 4 de outubro de 2021. Desinstale e exclua.

16. Banco de dados avançado do formulário de contato

Plugin: Banco de dados avançado do formulário de contato
Vulnerabilidade : chamadas AJAX não autorizadas
Corrigido na versão : nenhuma correção conhecida
Pontuação de gravidade : média

Este plug-in foi fechado em 27 de setembro de 2021 e não está disponível para download. Este encerramento é temporário e está pendente de uma revisão completa. Recomendamos que você desinstale e exclua até que uma correção seja encontrada.

17. Botões brilhantes

Plugin: Botões brilhantes
Vulnerabilidade : script entre sites armazenado não autenticado
Corrigido na versão : nenhuma correção conhecida
Pontuação de gravidade : alta

Este plug-in foi fechado em 27 de setembro de 2021 e não está disponível para download. Este encerramento é temporário e está pendente de uma revisão completa. Recomendamos que você desinstale e exclua até que uma correção seja encontrada.

18. Galeria de portfólio de filtros

Plugin: Filtrar Galeria de Portfólio
Vulnerabilidade : exclusão arbitrária da galeria via CSRF
Corrigido na versão : nenhuma correção conhecida
Pontuação de gravidade : média

Este plug-in foi fechado em 27 de setembro de 2021 e não está disponível para download. Este encerramento é temporário e está pendente de uma revisão completa. Recomendamos que você desinstale e exclua até que uma correção seja encontrada.

19. Limites WP

Plugin: WP Limits
Vulnerabilidade : Atualização de configurações do plug-in via CSRF
Corrigido na versão : nenhuma correção conhecida
Pontuação de gravidade : média

Este plug-in foi fechado em 4 de outubro de 2021 e não está disponível para download. Este encerramento é temporário e está pendente de uma revisão completa. Recomendamos que você desinstale e exclua até que uma correção seja encontrada.

20. Shortcode do conteúdo da página/post

Plugin: Shortcode do conteúdo da página/post
Vulnerabilidade : Contribuidor+ Acesso arbitrário a postagens/páginas
Corrigido na versão : nenhuma correção conhecida
Pontuação de gravidade : média

Este plug-in foi fechado em 4 de outubro de 2021 e não está disponível para download. Este encerramento é temporário e está pendente de uma revisão completa. Recomendamos que você desinstale e exclua até que uma correção seja encontrada.

21. Página de inclusão aprimorada

Plugin: página de inclusão aprimorada
Vulnerabilidade : Contribuidor+ Acesso arbitrário a postagens/páginas
Corrigido na versão : nenhuma correção conhecida
Pontuação de gravidade : média

Este plug-in foi fechado em 8 de outubro de 2021 e não está disponível para download. Este encerramento é temporário e está pendente de uma revisão completa. Recomendamos que você desinstale e exclua até que uma correção seja encontrada.

22. Mídias

Plugin: Mediamatic
Vulnerabilidade : Assinante + SQL Injection
Corrigido na versão : nenhuma correção conhecida
Pontuação de gravidade : alta

Este plug-in foi fechado em 11 de outubro de 2021 e não está disponível para download. Este encerramento é temporário e está pendente de uma revisão completa. Recomendamos que você desinstale e exclua até que uma correção seja encontrada.

23. Exibir metadados de postagem

Plugin: Exibir metadados de postagem
Vulnerabilidade : Contributor+ Scripts entre sites armazenados
Corrigido na versão : nenhuma correção conhecida
Pontuação de gravidade : média

Este plug-in foi fechado em 21 de outubro de 2021 e não está disponível para download. Este encerramento é temporário e está pendente de uma revisão completa. Recomendamos que você desinstale e exclua até que uma correção seja encontrada.

24. Topo Link

Plugin: Top Link
Vulnerabilidade : injeção de objeto PHP não autenticada
Corrigido na versão : nenhuma correção conhecida
Pontuação de gravidade : média

Este plug-in foi fechado em 21 de outubro de 2021 e não está disponível para download. Este encerramento é temporário e está pendente de uma revisão completa. Recomendamos que você desinstale e exclua até que uma correção seja encontrada.

25. Metacódigos de acesso do usuário

Plugin: Códigos de acesso Meta do usuário
Vulnerabilidade : Contribuidor+ Acesso arbitrário não autorizado aos metadados do usuário
Corrigido na versão : nenhuma correção conhecida
Pontuação de gravidade : alta

Este plug-in foi fechado em 12 de outubro de 2021 e não está disponível para download. Este encerramento é temporário e está pendente de uma revisão completa. Recomendamos que você desinstale e exclua até que uma correção seja encontrada.

26. Coleção de Cotações

Plugin: Coleção de Cotações
Vulnerabilidade : Admin+ SQL Injection
Corrigido na versão : nenhuma correção conhecida
Pontuação de gravidade : média

Este plug-in foi fechado em 13 de outubro de 2021 e não está disponível para download. Este encerramento é temporário e está pendente de uma revisão completa. Recomendamos que você desinstale e exclua até que uma correção seja encontrada.

27. Notificações push para WordPress (Lite)

Plugin: Push Notifications for WordPress (Lite)
Vulnerabilidade : Atualização de configurações via CSRF
Corrigido na versão : 6.0.1
Pontuação de gravidade : média

A vulnerabilidade foi corrigida, portanto, você deve atualizar para a versão 6.0.1.

28. Imprensa Esportiva

Plugin: SportsPress
Vulnerabilidade : Script entre sites refletido
Corrigido na versão : 2.7.9
Pontuação de gravidade : alta

A vulnerabilidade foi corrigida, então você deve atualizar para a versão 2.7.9.

29. Pop-up de login/inscrição

Plugin: pop-up de login/inscrição
Vulnerabilidade : Script entre sites refletido
Corrigido na versão : 2.2
Pontuação de gravidade : alta

A vulnerabilidade foi corrigida, então você deve atualizar para a versão 2.2.

30. Visualização de e-mails para WooCommerce

Plugin: Visualizar e-mails para WooCommerce
Vulnerabilidade : Script entre sites refletido
Corrigido na versão : 2.0.0
Pontuação de gravidade : média

A vulnerabilidade foi corrigida, então você deve atualizar para a versão 3.0.0.5.

31. Frontend de usuário WP

Plugin: WP User Frontend
Vulnerabilidade : Plugin de associação, perfil, registro e envio de postagem para WordPress
Corrigido na versão : 3.5.25
Pontuação de gravidade : média

A vulnerabilidade foi corrigida, então você deve atualizar para a versão 3.5.25.

32. Diretor – Plugin de Diretório de Negócios

Plugin: Directorist – Plugin de diretório de negócios
Vulnerabilidade : CSRF para upload de arquivo remoto
Corrigido na versão : 7.0.6.2
Pontuação de gravidade : Crítico

A vulnerabilidade foi corrigida, portanto, você deve atualizar para a versão 7.0.6.2.

33. Formulários de registro fáceis

Plugin: Formulários de registro fáceis
Vulnerabilidade : CSRF para scripts entre sites armazenados
Corrigido na versão : nenhuma correção conhecida
Pontuação de gravidade : alta

Este plug-in foi fechado em 12 de novembro de 2021 e não está disponível para download. Este encerramento é temporário e está pendente de uma revisão completa. Recomendamos que você desinstale e exclua até que uma correção seja encontrada.

34. WP Reset Pro

Plugin: WP Reset Pro
Vulnerabilidade : Assinante+ Redefinição do Banco de Dados
Corrigido na versão : 5.99
Pontuação de gravidade : Crítico

A vulnerabilidade foi corrigida, então você deve atualizar para a versão 5.99.

Plugin: WP Reset Pro
Vulnerabilidade : Redefinição de banco de dados via CSRF
Corrigido na versão : 5.99
Pontuação de gravidade : Crítico

A vulnerabilidade foi corrigida, então você deve atualizar para a versão 5.99.

35. WordPress + Microsoft Office 365

Plugin: WordPress + Microsoft Office 365
Vulnerabilidade : script entre sites armazenado não autenticado
Corrigido na versão : 15.4
Pontuação de gravidade : Crítico

A vulnerabilidade foi corrigida, então você deve atualizar para a versão 15.4.

36. Postagem duplicada

Plugin: Post duplicado
Vulnerabilidade : injeção de SQL autenticada
Corrigido na versão : 1.2.0
Pontuação de gravidade : média

A vulnerabilidade foi corrigida, então você deve atualizar para a versão 1.2.0.

37. Migração de Backup

Plugin: Migração de Backup
Vulnerabilidade : Admin+ Stored Cross-Site Scripting
Corrigido na versão : 1.1.6
Pontuação de gravidade : média

A vulnerabilidade foi corrigida, então você deve atualizar para a versão 1.1.6.

Como proteger seu site WordPress de plugins e temas vulneráveis

Como você pode ver neste relatório, muitos novos plugins WordPress e vulnerabilidades de temas são divulgados a cada semana. Sabemos que pode ser difícil ficar por dentro de cada divulgação de vulnerabilidade relatada, portanto, o plug-in iThemes Security Pro facilita a verificação de que seu site não está executando um tema, plug-in ou versão principal do WordPress com uma vulnerabilidade conhecida.

1. Instale o plug-in iThemes Security Pro

O plug-in iThemes Security Pro protege seu site WordPress contra as formas mais comuns de invasão de sites. Com mais de 30 maneiras de proteger seu site em um plug-in fácil de usar.

2. Habilite a Verificação do Site para Verificar Vulnerabilidades Conhecidas

O recurso de gerenciamento de versão do iThemes Security Pro se integra ao Site Scan para proteger seu site. Temas vulneráveis, plugins e versões principais do WordPress serão atualizados automaticamente para você.

3. Monitorar alterações de arquivos

A chave para detectar rapidamente uma violação de segurança é monitorar as alterações de arquivos em seu site. O recurso Detecção de alteração de arquivo no iThemes Security Pro verificará os arquivos do seu site e o alertará quando ocorrerem alterações em seu site.

Obtenha o iThemes Security Pro com monitoramento de segurança de sites 24 horas por dia, 7 dias por semana

O iThemes Security Pro, nosso plugin de segurança do WordPress, oferece mais de 50 maneiras de proteger seu site contra vulnerabilidades comuns de segurança do WordPress. Com o WordPress, autenticação de dois fatores, proteção de força bruta, aplicação de senha forte e muito mais, você pode adicionar camadas extras de segurança ao seu site.

  • Verificador de site para vulnerabilidades de plugins e temas
  • Detecção de alteração de arquivo
  • Painel de segurança do site em tempo real
  • Registros de segurança do WordPress
  • Dispositivos confiáveis
  • reCAPTCHA
  • Proteção de força bruta
  • Autenticação de dois fatores
  • Links de login mágicos
  • Escalonamento de privilégios
  • Verificação e recusa de senhas comprometidas

Economize 40% de desconto no iThemes Security Pro