Raport de vulnerabilitate WordPress: decembrie 2021, partea 3
Publicat: 2021-12-16Pluginurile și temele vulnerabile sunt principalul motiv pentru care site-urile WordPress sunt sparte. Raportul săptămânal de vulnerabilitate WordPress dezvoltat de WPScan acoperă plugin-ul WordPress recent, tema și vulnerabilitățile principale și ce trebuie să faceți dacă rulați unul dintre pluginurile sau temele vulnerabile de pe site-ul dvs. web.
Fiecare vulnerabilitate va avea un rating de severitate scăzut , mediu , ridicat sau critic . Dezvăluirea și raportarea responsabilă a vulnerabilităților este o parte integrantă a menținerii în siguranță a comunității WordPress. Nou în acest raport: vulnerabilitățile sunt acum listate în ordinea numărului de instalări active, mai degrabă decât a datei dezvăluirii.
Vă rugăm să împărtășiți această postare prietenilor dvs. pentru a ajuta la difuzarea cuvântului și pentru a face WordPress mai sigur pentru toată lumea.
Știri WordPress
Întrucât cea mai aglomerată perioadă de cumpărături online din an este în plină desfășurare, infractorii cibernetici au fost ocupați cu încercările de a „pirata planeta”. Wordfence a raportat recent un val masiv de atacuri care au vizat 1,6 milioane de site-uri WordPress pe parcursul a doar 36 de ore!
În cele din urmă, BleepingComputer a raportat recent că hackerii au instalat cod skimmer în pluginuri aleatorii. Pentru a întări securitatea site-urilor de comerț electronic, vă recomandăm să solicitați autentificarea cu doi factori pentru toți utilizatorii administratori, activarea dispozitivelor de încredere, detectarea modificărilor fișierelor și ca jurnalele de securitate WordPress să fie citite și revizuite în mod regulat.
Vulnerabilitățile de bază ale WordPress
Cea mai recentă versiune de nucleu WordPress este 5.8.2. Ca cea mai bună practică, asigurați-vă întotdeauna că rulați cea mai recentă versiune de bază WordPress!
Vulnerabilități în pluginul WordPress
În această secțiune, au fost dezvăluite cele mai recente vulnerabilități ale pluginului WordPress. Fiecare listă de plugin include tipul de vulnerabilitate, numărul versiunii, dacă este corectat și gradul de severitate.
1. Elementor
Plugin: Elementor
Vulnerabilitate : DOM Cross-Site-Scripting
Instalare activă : peste 5 milioane
Patched în versiunea : 3.4.8
Scor de severitate : mare
2. UpdraftPlus
Plugin: UpdraftPlus
Vulnerabilitate : Scripturi reflectate între site-uri
Instalare activă : 3+ milioane
Patched în versiunea : 1.16.66
Scor de severitate : mare
3. Facturi PDF WooCommerce și borderouri de ambalare
Plugin: Facturi PDF WooCommerce și borderouri de ambalare
Vulnerabilitate : Scripturi reflectate între site-uri
Instalare activă : 300.000+
Patched în versiunea : 2.10.5
Scor de severitate : mare
4. Capacități PublishPress
Plugin: funcții PublishPress
Vulnerabilitate : Opțiuni arbitrare neautentificate Actualizare la compromisul blogului
Instalare activă : 100.000+
Patched în versiunea : 2.3.1
Scor de severitate : critic
Plugin: PublishPress Capabilities Pro
Vulnerabilitate : Opțiuni arbitrare neautentificate Actualizare la compromisul blogului
Patched în versiunea : 2.3.1
Scor de severitate : critic
5. Chaty Free
Plugin: Chaty Free
Vulnerabilitate : Scripturi reflectate între site-uri
Instalare activă : 100.000+
Patched în versiunea : 2.8.3
Scor de severitate : mare
Plugin: Chaty Pro
Vulnerabilitate : Scripturi reflectate între site-uri
Patched în versiunea : 2.8.2
Scor de severitate : mare
6. Suplimente PowerPack pentru Elementor
Plugin: suplimente PowerPack pentru Elementor
Vulnerabilitate : Scripturi reflectate între site-uri
Instalare activă : 60.000+
Patched în versiunea : 2.6.2
Scor de severitate : mare
7. Calendar de rezervări
Plugin: Calendar de rezervări
Vulnerabilitate : Scripturi reflectate între site-uri
Instalare activă : 60.000+
Patched în versiunea : 8.9.2
Scor de severitate : mare
8. 10Web Social Photo Feed
Plugin: 10Web Social Photo Feed
Vulnerabilitate : Reflected Cross-Site Scripting (XSS)
Instalare activă : 60.000+
Patched în versiunea : 1.4.29
Scor de severitate : mare
9. Recenzii de site
Plugin: Recenzii site
Vulnerabilitate : Scripturi între site-uri stocate neautentificate
Instalare activă : 40.000+
Patched în versiunea : 5.17.3
Scor de severitate : mare
10. Pachet de amplificare a vitezei
Plugin: pachet Speed Booster
Vulnerabilitate : Admin+ SQL Injection
Instalare activă : 30.000+
Patched în versiunea : 4.3.3.1
Scor de severitate : mediu
11. Soluție Multivendor Marketplace pentru WooCommerce
Plugin: Soluție de piață multivendor pentru WooCommerce
Vulnerabilitate : Apeluri AJAX neautentificate
Instalare activă : 10.000+
Patched în versiunea : 3.8.4
Scor de severitate : mare
12. Fereastra modală
Plugin: fereastră modală
Vulnerabilitate : RFI care duce la RCE prin CSRF
Instalare activă : 10.000+
Patched în versiunea : 5.2.2
Scor de severitate : mare
13. WP Coder
Plugin: WP Coder
Vulnerabilitate : RFI care duce la RCE prin CSRF
Instalare activă : 10.000+
Patched în versiunea : 2.5.2
Scor de severitate : mare
14. RegistrationMagic
Plugin: RegistrationMagic
Vulnerabilitate : Admin+ SQL Injection
Instalare activă : 10.000+
Patched în versiunea : 5.0.1.6
Scor de severitate : mediu
Plugin: RegistrationMagic
Vulnerabilitate : Bypass autentificare
Instalare activă : 10.000+
Patched în versiunea : 5.0.1.8
Scor de severitate : critic
15. Evenimente simplificate
Plugin: Evenimente simplificate
Vulnerabilitate : Abonat+ SQL Injection
Instalare activă : 6.000+
Patched în versiunea : 2.2.36
Scor de severitate : mare
16. Generator de butoane
Plugin: Generator de butoane
Vulnerabilitate : RFI care duce la RCE prin CSRF
Instalare activă : 5.000+
Patched în versiunea : 2.3.3
Scor de severitate : mare
17. Tab – Acordeon, Întrebări frecvente
Plugin: Tab – Acordeon, Întrebări frecvente
Vulnerabilitate : Apeluri AJAX neautentificate
Instalare activă : 2000+
Patched în versiunea : 1.3.2
Scor de severitate : critic
18. Evaluare cu stele
Plugin: Evaluare cu stele
Vulnerabilitate : Comentarii Refuzarea serviciului
Instalare activă : 800+
Patched în versiunea : 3.5.1
Scor de severitate : mediu
19. WPcalc
Plugin: WPcalc
Vulnerabilitate : Injecție SQL autentificată
Corectat în versiune : Nicio remediere cunoscută – pluginul închis
Scor de severitate : mediu
Cum să vă protejați site-ul WordPress de pluginuri și teme vulnerabile
După cum puteți vedea din acest raport, o mulțime de noi vulnerabilități ale pluginurilor WordPress și temelor sunt dezvăluite în fiecare săptămână. Știm că poate fi dificil să rămâi la curent cu fiecare dezvăluire a vulnerabilităților raportate, așa că pluginul iThemes Security Pro vă ajută să vă asigurați că site-ul dvs. nu rulează o temă, un plugin sau o versiune de bază WordPress cu o vulnerabilitate cunoscută.
1. Instalați pluginul iThemes Security Pro
Pluginul iThemes Security Pro întărește site-ul dvs. WordPress împotriva celor mai comune moduri prin care site-urile web sunt piratate. Cu peste 30 de moduri de a vă securiza site-ul într-un singur plugin ușor de utilizat.
2. Activați scanarea site-ului pentru a verifica dacă există vulnerabilități cunoscute
Funcția de gestionare a versiunilor din iThemes Security Pro se integrează cu Scanarea site-ului pentru a vă proteja site-ul. Temele vulnerabile, pluginurile și versiunile de bază WordPress vor fi actualizate automat pentru dvs.
3. Activați Detectarea modificării fișierelor
Cheia pentru identificarea rapidă a unei breșe de securitate este monitorizarea modificărilor fișierelor de pe site-ul dvs. Funcția de detectare a modificării fișierelor din iThemes Security Pro va scana fișierele site-ului dvs. web și vă va avertiza când apar modificări pe site-ul dvs.
Obțineți iThemes Security Pro cu monitorizarea securității site-ului web 24/7
iThemes Security Pro, pluginul nostru de securitate WordPress, oferă peste 50 de moduri de a vă securiza și proteja site-ul dvs. de vulnerabilități obișnuite de securitate WordPress. Cu WordPress, autentificare în doi factori, protecție împotriva forței brute, aplicare puternică a parolelor și multe altele, puteți adăuga straturi suplimentare de securitate site-ului dvs.
