Raport de vulnerabilitate WordPress: decembrie 2021, partea 2
Publicat: 2021-12-15Pluginurile și temele vulnerabile sunt principalul motiv pentru care site-urile WordPress sunt sparte. Raportul săptămânal de vulnerabilitate WordPress dezvoltat de WPScan acoperă plugin-ul WordPress recent, tema și vulnerabilitățile principale și ce trebuie să faceți dacă rulați unul dintre pluginurile sau temele vulnerabile de pe site-ul dvs. web.
Fiecare vulnerabilitate va avea un rating de severitate scăzut , mediu , ridicat sau critic . Dezvăluirea și raportarea responsabilă a vulnerabilităților este o parte integrantă a menținerii în siguranță a comunității WordPress.
Vă rugăm să împărtășiți această postare prietenilor dvs. pentru a ajuta la difuzarea cuvântului și pentru a face WordPress mai sigur pentru toată lumea.
Știri WordPress: Gravatar Data Leak
Săptămâna aceasta, Gravatar, un serviciu global pentru avatare unice, a fost încălcat – deși Gravatar asigură că nu a existat niciun hack.
Datele au fost răzuite, ceea ce nu reprezintă o încălcare deoarece parolele și alte informații private nu au fost preluate. În schimb, informațiile disponibile publicului au fost adunate într-un mod care în mod normal nu este ușor de obținut. Teoretic, cineva ar trebui să cunoască numele de utilizator al utilizatorului Gravatar pentru a accesa adresa de e-mail a acelui utilizator. Scraping-ul a permis atacatorului să descarce numele de utilizator și e-mailurile în același timp.
Vulnerabilitățile de bază ale WordPress
Cea mai recentă versiune de nucleu WordPress este 5.8.2. Ca cea mai bună practică, asigurați-vă întotdeauna că rulați cea mai recentă versiune de bază WordPress!
Vulnerabilități în pluginul WordPress
În această secțiune, au fost dezvăluite cele mai recente vulnerabilități ale pluginului WordPress. Fiecare listă de plugin include tipul de vulnerabilitate, numărul versiunii, dacă este corectat și gradul de severitate.
1. Manager de evenimente
Plugin: Manager de evenimente
Vulnerabilitate : Admin+ SQL Injection
Patched în versiunea : 5.9.8
Scor de severitate : mediu
Plugin: Manager de evenimente
Vulnerabilitate : Cross-Site Scripting (XSS)
Patched în versiunea : 5.9.8
Scor de severitate : scăzut
2. Recenzii bogate de Starfish
Plugin: recenzii bogate de Starfish
Vulnerabilitate : Admin+ SQL Injection
Patched în versiunea : 1.9.6
Scor de severitate : mediu
3. Typebot
Plugin: Typebot
Vulnerabilitate : Administrator+ Stocat Cross Site Scripting
Patched în versiunea : 1.4.3
Scor de severitate : scăzut
4. Formular de contact și formular pentru clienți potențiali Elementor Builder
Plugin: Formular de contact și Formular de clienți potențiali Elementor Builder
Vulnerabilitate : Scripturi între site-uri stocate neautentificate
Patched în versiunea : 1.6.4
Scor de severitate : mare
5. Manager de descărcare
Plugin: Manager de descărcare
Vulnerabilitate : Abonat+ Stocat Cross-Site Scripting
Patched în versiunea : 3.2.22
Scor de severitate : mare
6. WP RSS Aggregator
Plugin: Abonat+ Stocat Cross-Site Scripting
Vulnerabilitate : Admin+ SQL Injection
Patched în versiunea : 4.19.3
Scor de severitate : mare
7. Buttonizer – Buton de acțiune plutitor inteligent
Plugin: Buttonizer – Buton de acțiune plutitor inteligent
Vulnerabilitate : Administrator+ Scripturi între site-uri stocate
Patched în versiunea : 2.5.5
Scor de severitate : scăzut
8. WP Mail Logging
Plugin: WP Mail Logging
Vulnerabilitate : Cadrul Redux depășit
Patched în versiunea : 1.10.0
Scor de severitate : mediu
9. Stetică
Plugin: Stetic
Vulnerabilitate : CSRF la Scripturi stocate între site-uri
Corectat în versiune : Nicio remediere cunoscută – pluginul închis
Scor de severitate : mare
10. Formular de contact cu Captcha
Plugin: Formular de contact cu Captcha
Vulnerabilitate : CSRF la Scripturi stocate între site-uri
Corectat în versiune : Nicio remediere cunoscută – pluginul închis
Scor de severitate : mare
11. Suport extraordinar
Plugin: Asistență extraordinară
Vulnerabilitate : Scripturi reflectate între site-uri
Patched în versiunea : 6.0.7
Scor de severitate : mare
12. Forumuri Asgaros
Plugin: Forumuri Asgaros
Vulnerabilitate : Administrator+ Scripturi între site-uri stocate
Patched în versiunea : 1.15.14
Scor de severitate : scăzut
13. LiteSpeed Cache
Plugin: LiteSpeed Cache
Vulnerabilitate : Verificare IP Bypass la XSS stocat neautentificat
Patched în versiunea : 4.4.4
Scor de severitate : mare
Plugin: LiteSpeed Cache
Vulnerabilitate : Admin+ Reflected Cross-Site Scripting
Patched în versiunea : 4.4.4
Scor de severitate : mare
14. Videoconferință cu Zoom
Plugin: Videoconferință cu Zoom
Vulnerabilitate : Scripturi reflectate între site-uri
Patched în versiunea : 3.8.16
Scor de severitate : mare
15. Booster pentru Woocommerce
Plugin: Booster pentru Woocommerce
Vulnerabilitate : Scripturi încrucișate reflectate în modulul de facturare PDF
Patched în versiunea : 5.4.9
Scor de severitate : mare
Plugin: Booster pentru Woocommerce
Vulnerabilitate : Scripturi încrucișate reflectate în modulul general
Patched în versiunea : 5.4.9
Scor de severitate : mare
Plugin: Booster pentru Woocommerce
Vulnerabilitate : Scripturi încrucișate reflectate în modulul Fluxuri XML pentru produse
Patched în versiunea : 5.4.9
Scor de severitate : mare
16. Pachet de amplificare a vitezei
Plugin: pachet Speed Booster
Vulnerabilitate : Admin+ SQL Injection
Patched în versiunea : 4.3.3.1
Scor de severitate : mediu
17. OMGF
Plugin: OMGF
Vulnerabilitate : Administrator+ Ștergerea dosarului arbitrar prin Traversarea căii
Patched în versiunea : 4.5.12
Scor de severitate : mediu
18. CAOS
Plugin: CAOS
Vulnerabilitate : Administrator+ Ștergerea dosarului arbitrar prin Traversarea căii
Patched în versiunea : 4.1.9
Scor de severitate : mediu
19. WP Travel Engine
Plugin: WP Travel Engine
Vulnerabilitate : Editor+ Stocat Cross-Site Scripting
Patched în versiunea : 5.3.1
Scor de severitate : scăzut
20. Descărcați Monitor
Plugin: Descărcați Monitor
Vulnerabilitate : Admin+ SQL Injection
Patched în versiunea : 4.4.5
Scor de severitate : mediu
21. Calculator ipotecare / Calculator împrumut
Plugin: Calculator ipotecare / Calculator împrumut
Vulnerabilitate : Contributor+ Stocat Cross-Site Scripting
Patched în versiunea : 1.5.17
Scor de severitate : mediu
22. Variante de mostre pentru WooCommerce
Plugin: Variation Swatches pentru WooCommerce
Vulnerabilitate : Abonat+ Stocat Cross-Site Scripting
Patched în versiunea : 2.1.2
Scor de severitate : mare
23. Anunțuri afiliate ClickBank
Plugin: anunțuri afiliate ClickBank
Vulnerabilitate : CSRF la Scripturi stocate între site-uri
Corectat în versiune : Nicio remediere cunoscută – pluginul închis
Scor de severitate : mare
Plugin: anunțuri afiliate ClickBank
Vulnerabilitate : Administrator+ Scripturi între site-uri stocate
Corectat în versiune : Nicio remediere cunoscută – pluginul închis
Scor de severitate : scăzut
24. Câmpuri personalizate avansate
Plugin: Câmpuri personalizate avansate
Vulnerabilitate : Abonat+ Arbitrare ACF Date/Field Groups View and Fields Move
Patched în versiunea : 5.11
Scor de severitate : mediu
25. Canto
Plugin: Canto
Vulnerabilitate : SSRF orb neautentificat
Patched in Version : Nicio remediere cunoscută
Scor de severitate : mediu
26. Galerie All-In-One
Plugin: galerie All-In-One
Vulnerabilitate : Admin+ Includere fișier local
Patched în versiunea : 2.5.0
Scor de severitate : scăzut
Cum să vă protejați site-ul WordPress de pluginuri și teme vulnerabile
După cum puteți vedea din acest raport, o mulțime de noi vulnerabilități ale pluginurilor WordPress și temelor sunt dezvăluite în fiecare săptămână. Știm că poate fi dificil să rămâi la curent cu fiecare dezvăluire a vulnerabilităților raportate, așa că pluginul iThemes Security Pro vă ajută să vă asigurați că site-ul dvs. nu rulează o temă, un plugin sau o versiune de bază WordPress cu o vulnerabilitate cunoscută.
1. Instalați pluginul iThemes Security Pro
Pluginul iThemes Security Pro întărește site-ul dvs. WordPress împotriva celor mai comune moduri prin care site-urile web sunt piratate. Cu peste 30 de moduri de a vă securiza site-ul într-un singur plugin ușor de utilizat.
2. Activați scanarea site-ului pentru a verifica dacă există vulnerabilități cunoscute
Funcția de gestionare a versiunilor din iThemes Security Pro se integrează cu Scanarea site-ului pentru a vă proteja site-ul. Temele vulnerabile, pluginurile și versiunile de bază WordPress vor fi actualizate automat pentru dvs.
3. Activați Detectarea modificării fișierelor
Cheia pentru identificarea rapidă a unei breșe de securitate este monitorizarea modificărilor fișierelor de pe site-ul dvs. Funcția de detectare a modificării fișierelor din iThemes Security Pro va scana fișierele site-ului dvs. web și vă va avertiza când apar modificări pe site-ul dvs.
Obțineți iThemes Security Pro cu monitorizarea securității site-ului web 24/7
iThemes Security Pro, pluginul nostru de securitate WordPress, oferă peste 50 de moduri de a vă securiza și proteja site-ul dvs. de vulnerabilități obișnuite de securitate WordPress. Cu WordPress, autentificare în doi factori, protecție împotriva forței brute, aplicare puternică a parolelor și multe altele, puteți adăuga straturi suplimentare de securitate site-ului dvs.
