Raport de vulnerabilitate WordPress: decembrie 2021, partea 4
Publicat: 2022-01-06Pluginurile și temele vulnerabile sunt principalul motiv pentru care site-urile WordPress sunt sparte. Raportul săptămânal de vulnerabilitate WordPress dezvoltat de WPScan acoperă plugin-ul WordPress recent, tema și vulnerabilitățile principale și ce trebuie să faceți dacă rulați unul dintre pluginurile sau temele vulnerabile de pe site-ul dvs. web.
Fiecare vulnerabilitate va avea un rating de severitate scăzut , mediu , ridicat sau critic . Dezvăluirea și raportarea responsabilă a vulnerabilităților este o parte integrantă a menținerii în siguranță a comunității WordPress. Nou în acest raport: vulnerabilitățile sunt acum listate în ordinea numărului de instalări active, mai degrabă decât a datei dezvăluirii.
Vă rugăm să împărtășiți această postare prietenilor dvs. pentru a ajuta la difuzarea cuvântului și pentru a face WordPress mai sigur pentru toată lumea.
Vulnerabilitățile de bază ale WordPress
Cea mai recentă versiune de nucleu WordPress este 5.8.2. Ca cea mai bună practică, asigurați-vă întotdeauna că rulați cea mai recentă versiune de bază WordPress!
Vulnerabilități în pluginul WordPress
În această secțiune, au fost dezvăluite cele mai recente vulnerabilități ale pluginului WordPress. Fiecare listă de plugin include tipul de vulnerabilitate, instalările active, numărul versiunii, dacă este corectat și gradul de severitate.
1. All In One SEO
Plugin: All In One SEO
Vulnerabilitate : Injecție SQL autentificată
Instalare activă : 3+ milioane
Patched în versiunea : 4.1.5.3
Scor de severitate : mare
Plugin: All In One SEO
Vulnerabilitate : Escalarea privilegiilor autentificate
Instalare activă : 3+ milioane
Patched în versiunea : 4.1.5.3
Scor de severitate : critic
2. Smash Balloon Social Post Feed
Plugin: Smash Balloon Social Post Feed
Vulnerabilitate : Scripturi între site-uri reflectate autentificate (XSS)
Instalare activă : 200.000+
Patched în versiunea : 4.1.1
Scor de severitate : mediu
3. Calendar de evenimente modern Lite
Plugin: Calendar de evenimente modern Lite
Vulnerabilitate : Abonat+ Categoria Adăugați Leading la XSS stocat
Instalare activă : 100.000+
Patched în versiunea : 6.2.0
Scor de severitate : mediu
4. WOOCS
Plugin: WOOCS
Vulnerabilitate : Scripturi reflectate între site-uri
Instalare activă : 60.000+
Patched în versiunea : 1.3.7.3
Scor de severitate : mare
5. Chat live clar
Plugin: Crisp Live Chat
Vulnerabilitate : CSRF la Scripturi stocate între site-uri
Instalare activă : 60.000+
Patched în versiunea : 0.32
Scor de severitate : mare
6. Image Hover Effects Ultimate
Plugin: Image Hover Effects Ultimate
Vulnerabilitate : Actualizare neautentificată a opțiunii arbitrare
Instalare activă : 20.000+
Patched în versiunea : 9.7.0
Scor de severitate : critic
7. WP Booking System – Calendar de rezervări
Plugin: WP Booking System – Calendar de rezervări
Vulnerabilitate : Scripturi între site-uri reflectate autentificate (XSS)
Instalare activă : 10.000+
Patched în versiunea : 2.0.15
Scor de severitate : mediu
8. Generator de pagini de destinație
Plugin: Landing Page Builder
Vulnerabilitate : Scripturi între site-uri reflectate autentificate (XSS)
Instalare activă : 10.000+
Patched în versiunea : 1.4.9.6
Scor de severitate : mediu
9. Fathom Analytics
Plugin: Fathom Analytics
Vulnerabilitate : Administrator+ Scripturi între site-uri stocate
Instalare activă : 2000+
Patched în versiunea : 3.0.5
Scor de severitate : scăzut
10. Ranker adevărat
Plugin: True Ranker
Vulnerabilitate : Acces neautentificat la fișiere arbitrare prin Traversarea căii
Instalare activă : 200+
Patched în versiunea : 2.2.4
Scor de severitate : scăzut
Vulnerabilități în pluginul WordPress: plugin închis
În această secțiune, cele mai recente vulnerabilități ale pluginurilor WordPress au fost dezvăluite în pluginuri închise. Fiecare listă de plugin include tipul de vulnerabilitate, gradul de severitate și data închiderii.
11. Comentează Engine Pro
Plugin: Comment Engine Pro
Vulnerabilitate : Editor+ Stocat Cross-Site Scripting
Corectat în versiune : Nicio remediere cunoscută – pluginul închis
Scor de severitate : scăzut
12. Redirecționare .htaccess
Plugin: .htaccess Redirect
Vulnerabilitate : Scripturi reflectate între site-uri
Corectat în versiune : Nicio remediere cunoscută – pluginul închis
Scor de severitate : mare
13. Parsian Bank Gateway pentru Woocommerce
Plugin: Parsian Bank Gateway pentru Woocommerce
Vulnerabilitate : Scripturi reflectate între site-uri
Corectat în versiune : Nicio remediere cunoscută – pluginul închis
Scor de severitate : mare
14. WYSIWYG adevărat
Plugin: WYSIWYG real
Vulnerabilitate : Scripturi reflectate între site-uri
Corectat în versiune : Nicio remediere cunoscută – pluginul închis
Scor de severitate : mare
15. Link List Manager
Plugin: Manager listă de legături
Vulnerabilitate : Scripturi reflectate între site-uri
Corectat în versiune : Nicio remediere cunoscută – pluginul închis
Scor de severitate : mare
16. Galerie de imagini simplă
Plugin: Galerie simplă de imagini
Vulnerabilitate : Scripturi reflectate între site-uri
Corectat în versiune : Nicio remediere cunoscută – pluginul închis
Scor de severitate : mare
17. WooCommerce EnvioPack
Plugin: WooCommerce EnvioPack
Vulnerabilitate : Scripturi reflectate între site-uri
Corectat în versiune : Nicio remediere cunoscută – pluginul închis
Scor de severitate : mare
18. Magic Post Voice
Plugin: Magic Post Voice
Vulnerabilitate : Scripturi reflectate între site-uri
Corectat în versiune : Nicio remediere cunoscută – pluginul închis
Scor de severitate : mare
19. Editor CSS H5P
Plugin: H5P CSS Editor
Vulnerabilitate : Scripturi reflectate între site-uri
Corectat în versiune : Nicio remediere cunoscută – pluginul închis
Scor de severitate : mare
20. duoFAQ
Plugin: duoFAQ
Vulnerabilitate : Scripturi reflectate între site-uri
Corectat în versiune : Nicio remediere cunoscută – pluginul închis
Scor de severitate : mare
21. Magic Post Voice
Plugin: Magic Post Voice
Vulnerabilitate : Scripturi reflectate între site-uri
Corectat în versiune : Nicio remediere cunoscută – pluginul închis
Scor de severitate : mare
22. WooCommerce myghpay Payment Gateway
Plugin: WooCommerce myghpay Payment Gateway
Vulnerabilitate : Scripturi reflectate între site-uri
Corectat în versiune : Nicio remediere cunoscută – pluginul închis
Scor de severitate : mare
Vulnerabilități de plugin premium
În această secțiune, au fost dezvăluite cele mai recente vulnerabilități ale pluginului premium WordPress. Fiecare listă de plugin include tipul de vulnerabilitate, numărul versiunii, dacă este corectat și gradul de severitate.
23. Suplimentele Plus pentru Elementor Pro
Plugin: Suplimentele Plus pentru Elementor – Pro
Vulnerabilitate : Dezvăluirea datelor sensibile
Patched în versiunea : 5.0.7
Scor de severitate : mediu
Plugin: Suplimentele Plus pentru Elementor – Pro
Vulnerabilitate : injecție SQL neautentificată
Patched în versiunea : 5.0.7
Scor de severitate : mediu
24. Să Box
Plugin: Lets Box
Vulnerabilitate : Scripturi reflectate între site-uri
Patched în versiunea : 1.13.3
Scor de severitate : mediu
25. Partajați o unitate
Plugin: Partajați o unitate
Vulnerabilitate : Scripturi reflectate între site-uri
Patched în versiunea : 1.15.3
Scor de severitate : mediu
26. Din cutie
Plugin: Ieșit din cutie
Vulnerabilitate : Scripturi reflectate între site-uri
Patched în versiunea : 1.20.3
Scor de severitate : mediu
27. Folosiți-vă unitatea
Plugin: Folosește-ți unitatea
Vulnerabilitate : Scripturi reflectate între site-uri
Patched în versiunea : 1.18.3
Scor de severitate : mediu
Cum să vă protejați site-ul WordPress de pluginuri și teme vulnerabile
După cum puteți vedea din acest raport, o mulțime de noi vulnerabilități ale pluginurilor WordPress și temelor sunt dezvăluite în fiecare săptămână. Știm că poate fi dificil să rămâi la curent cu fiecare dezvăluire a vulnerabilităților raportate, așa că pluginul iThemes Security Pro vă ajută să vă asigurați că site-ul dvs. nu rulează o temă, un plugin sau o versiune de bază WordPress cu o vulnerabilitate cunoscută.
1. Instalați pluginul iThemes Security Pro
Pluginul iThemes Security Pro întărește site-ul dvs. WordPress împotriva celor mai comune moduri prin care site-urile web sunt piratate. Cu peste 30 de moduri de a vă securiza site-ul într-un singur plugin ușor de utilizat.
2. Activați scanarea site-ului pentru a verifica dacă există vulnerabilități cunoscute
Funcția de gestionare a versiunilor din iThemes Security Pro se integrează cu Scanarea site-ului pentru a vă proteja site-ul. Temele vulnerabile, pluginurile și versiunile de bază WordPress vor fi actualizate automat pentru dvs.
3. Activați Detectarea modificării fișierelor
Cheia pentru identificarea rapidă a unei breșe de securitate este monitorizarea modificărilor fișierelor de pe site-ul dvs. Funcția de detectare a modificării fișierelor din iThemes Security Pro va scana fișierele site-ului dvs. web și vă va avertiza când apar modificări pe site-ul dvs.
Obțineți iThemes Security Pro cu monitorizarea securității site-ului web 24/7
iThemes Security Pro, pluginul nostru de securitate WordPress, oferă peste 50 de moduri de a vă securiza și proteja site-ul dvs. de vulnerabilități obișnuite de securitate WordPress. Cu WordPress, autentificare în doi factori, protecție împotriva forței brute, aplicare puternică a parolelor și multe altele, puteți adăuga straturi suplimentare de securitate site-ului dvs.
