Raport de vulnerabilitate WordPress: decembrie 2021, partea 5
Publicat: 2021-12-29Pluginurile și temele vulnerabile sunt principalul motiv pentru care site-urile WordPress sunt sparte. Raportul săptămânal de vulnerabilitate WordPress dezvoltat de WPScan acoperă plugin-ul WordPress recent, tema și vulnerabilitățile principale și ce trebuie să faceți dacă rulați unul dintre pluginurile sau temele vulnerabile de pe site-ul dvs. web.
Fiecare vulnerabilitate va avea un rating de severitate scăzut , mediu , ridicat sau critic . Dezvăluirea și raportarea responsabilă a vulnerabilităților este o parte integrantă a menținerii în siguranță a comunității WordPress. Nou în acest raport: vulnerabilitățile sunt acum listate în ordinea numărului de instalări active, mai degrabă decât a datei dezvăluirii.
Vă rugăm să împărtășiți această postare cu prietenii dvs. pentru a ajuta la difuzarea cuvântului și pentru a face WordPress mai sigur pentru toată lumea !
Vulnerabilitățile de bază ale WordPress
Cea mai recentă versiune de nucleu WordPress este 5.8.2. Ca cea mai bună practică, asigurați-vă întotdeauna că rulați cea mai recentă versiune de bază WordPress!
Vulnerabilități în pluginul WordPress
În această secțiune, au fost dezvăluite cele mai recente vulnerabilități ale pluginului WordPress. Fiecare listă de plugin include tipul de vulnerabilitate, instalările active, numărul versiunii, dacă este corectat și gradul de severitate.
1. Contact Form 7 Database Addon
Plugin: Formular de contact 7 Addon pentru baze de date
Vulnerabilitate : Scripturi între site-uri stocate neautentificate
Instalare activă : 400.000+
Patched în versiunea : 1.2.6.2
Scor de severitate : mediu
Plugin: Formular de contact 7 Addon pentru baze de date
Vulnerabilitate : ștergere arbitrară a formularului prin CSRF
Instalare activă : 400.000+
Patched în versiunea : 1.2.6.2
Scor de severitate : mediu
2. Formulare ușoare pentru Mailchimp
Plugin: Formulare ușoare pentru Mailchimp
Vulnerabilitate : Scripturi reflectate între site-uri
Instalare activă : 100.000+
Patched în versiunea : 6.8.6
Scor de severitate : mediu
3. Relevanssi – O căutare mai bună
Plugin: Relevanssi – O căutare mai bună
Vulnerabilitate : Scripturi între site-uri stocate neautentificate
Instalare activă : 100.000+
Patched în versiunea : 4.14.3
Scor de severitate : mare
4. Newsletter, SMTP, Email marketing și Formulare de abonare de la Sendinblue
Plugin: buletin informativ, SMTP, marketing prin e-mail și formulare de abonare de la Sendinblue
Vulnerabilitate : Scripturi reflectate între site-uri
Instalare activă : 90.000+
Patched în versiunea : 3.1.25
Scor de severitate : mare
5. Product Feed PRO pentru WooCommerce
Plugin: Product Feed PRO pentru WooCommerce
Vulnerabilitate : Actualizare setări Abonat+ la XSS stocat
Instalare activă : 80.000+
Patched în versiunea : 11.0.7
Scor de severitate : mare
6. Post Grid
Plugin: Post Grid
Vulnerabilitate : Contributor+ SQL Injection
Instalare activă : 60.000+
Patched în versiunea : 2.1.13
Scor de severitate : mediu
7. Intrări din formularul de contact
Plugin: Intrări din formularul de contact
Vulnerabilitate : Scripturi între site-uri stocate neautentificate
Instalare activă : 40.000+
Patched în versiunea : 1.2.4
Scor de severitate : mare
8. Bilete de eveniment
Plugin: Bilete pentru evenimente
Vulnerabilitate : Deschideți redirecționarea
Instalare activă : 40.000+
Patched în versiunea : 5.2.2
Scor de severitate : mediu
9. Câmpuri personalizate avansate: extins
Plugin: Avansat Câmpuri personalizate: Extins
Vulnerabilitate : Admin+ SQL Injection
Instalare activă : 40.000+
Patched în versiunea : 0.8.8.7
Scor de severitate : mediu
10. Acceptați donații cu PayPal
Plugin: Acceptați donații cu PayPal
Vulnerabilitate : Post ștergere arbitrară prin CSRF
Instalare activă : 30.000+
Patched în versiunea : 1.3.4
Scor de severitate : mare
11. Câmpul Galeriei Foto ACF
Plugin: ACF Photo Gallery Field
Vulnerabilitate : Scripturi reflectate între site-uri
Instalare activă : 30.000+
Patched în versiunea : 1.7.5
Scor de severitate : mediu
12. Monitor de descărcare simplă
Plugin: Monitor de descărcare simplă
Vulnerabilitate : CSRF multiple
Instalare activă : 30.000+
Patched în versiunea : 3.9.11
Scor de severitate : mediu
13. Protejați WP Admin
Plugin: Protejează WP Admin
Vulnerabilitate : Dezactivare neautentificată a pluginului
Instalare activă : 30.000+
Patched în versiunea : 3.6.2
Scor de severitate : mediu
14. Backup și punere în scenă de către WP Time Capsule
Plugin: Backup și Staging by WP Time Capsule
Vulnerabilitate : Scripturi reflectate între site-uri
Instalare activă : 20.000+
Patched în versiunea : 1.22.7
Scor de severitate : mare
15. Calendarul evenimentelor
Plugin: Calendarul evenimentelor
Vulnerabilitate : Scripturi reflectate între site-uri
Instalare activă : 20.000+
Patched în versiunea : 1.1.51
Scor de severitate : mare
Plugin: Calendarul evenimentelor
Vulnerabilitate : Abonat+ Creare eveniment
Instalare activă : 20.000+
Patched în versiunea : 1.1.51
Scor de severitate : mediu
16. Rezervări la restaurante de cinci stele
Plugin: Rezervări la restaurante de cinci stele
Vulnerabilitate : Abonat+ Stocat Cross-Site Scripting
Instalare activă : 20.000+
Patched în versiunea : 2.4.8
Scor de severitate : mare
17. Forumul Asgaros
Plugin: Asgaros Forum
Vulnerabilitate : Admin+ SQL Injection prin forum_id
Instalare activă : 20.000+
Patched în versiunea : 1.15.15
Scor de severitate : mediu
18. WP125
Plugin: WP125
Vulnerabilitate : ștergere arbitrară a anunțurilor prin CSRF
Instalare activă : 10.000+
Patched în versiunea : 1.5.5
Scor de severitate : mediu
19. Manager afiliați
Plugin: Manager afiliați
Vulnerabilitate : Scripturi între site-uri stocate neautentificate
Instalare activă : 10.000+
Patched în versiunea : 2.9.0
Scor de severitate : mare
20. Instrument SEO inteligent
Plugin: Instrument SEO inteligent
Vulnerabilitate : Scripturi reflectate între site-uri
Instalare activă : 9.000+
Patched în versiunea : 3.0.6
Scor de severitate : mediu
21. tarteaucitron.js – Legislația cookie-urilor și GDPR
Plugin: tarteaucitron.js – Legislația cookie-urilor și GDPR
Vulnerabilitate : CSRF la Scripturi stocate între site-uri
Instalare activă : 7.000+
Patched în versiunea : 1.6
Scor de severitate : mediu
Plugin: tarteaucitron.js – Legislația cookie-urilor și GDPR
Vulnerabilitate : Administrator + Stocat Cross-Site Scripting
Instalare activă : 7.000+
Patched în versiunea : 1.6.1
Scor de severitate : scăzut
22. SEO Booster
Plugin: SEO Booster
Vulnerabilitate : Admin+ SQL Injection
Instalare activă : 4.000+
Patched în versiunea : 3.8
Scor de severitate : mediu
23. Booking.com Banner Creator
Plugin: Booking.com Banner Creator
Vulnerabilitate : Administrator+ Scripturi între site-uri stocate
Instalare activă : 3.000+
Patched în versiunea : 1.4.3
Scor de severitate : scăzut
24. Câmpuri suplimentare de profil
Plugin: Câmpuri suplimentare de profil
Vulnerabilitate : Scripturi reflectate între site-uri
Instalare activă : 2.000+
Patched în versiunea : 1.2.4
Scor de severitate : mare
25. Asistent de produs Booking.com
Plugin: Asistent de produs Booking.com
Vulnerabilitate : Administrator+ Scripturi între site-uri stocate
Instalare activă : 2.000+
Patched în versiunea : 1.0.2
Scor de severitate : scăzut
26. SEUR Oficial
Plugin: SEUR Oficial
Vulnerabilitate : Administrator+ Scripturi între site-uri stocate
Instalare activă : 1.000+
Patched în versiunea : 1.7.0
Scor de severitate : mediu
27. Integrare cu foi de calcul
Plugin: Integrare cu foi de calcul
Vulnerabilitate : CSRF Bypass
Instalare activă : 1.000+
Patched în versiunea : 3.6.0
Scor de severitate : mediu
Plugin: Integrare cu foi de calcul
Vulnerabilitate : Scripturi reflectate între site-uri
Instalare activă : 1.000+
Patched în versiunea : 3.6.0
Scor de severitate : mare
28. Anunțuri afiliate ClickBank
Plugin: anunțuri afiliate ClickBank
Vulnerabilitate : Administrator+ Scripturi între site-uri stocate
Instalare activă : 700+
Patched în versiunea : 1.35
Scor de severitate : scăzut
Plugin: anunțuri afiliate ClickBank
Vulnerabilitate : CSRF la Scripturi stocate între site-uri
Instalare activă : 700+
Patched în versiunea : 1.35
Scor de severitate : mare
29. Stetic
Plugin: Stetic
Vulnerabilitate : CSRF la Scripturi stocate între site-uri
Instalare activă : 300+
Patched în versiunea : 1.0.9
Scor de severitate : mare
30. Manager de evenimente mobile
Plugin: Manager de evenimente mobile
Vulnerabilitate : Administrator+ Scripturi între site-uri stocate
Instalare activă : 20+
Patched în versiunea : 1.4.4
Scor de severitate : scăzut
Vulnerabilități în pluginul WordPress: nicio remediere cunoscută
În această secțiune, cele mai recente vulnerabilități ale pluginurilor WordPress au fost dezvăluite în pluginuri închise. Fiecare listă de plugin include tipul de vulnerabilitate, gradul de severitate și data închiderii.
31. AnyComment
Plugin: AnyComment
Vulnerabilitate : Scripturi reflectate între site-uri
Instalare activă : 4.000+
Patched in Version : Nicio remediere cunoscută
Scor de severitate : mediu
Vulnerabilități în pluginul WordPress: plugin închis
În această secțiune, cele mai recente vulnerabilități ale pluginurilor WordPress au fost dezvăluite în pluginuri închise. Fiecare listă de plugin include tipul de vulnerabilitate, gradul de severitate și data închiderii.
32. Filele
Plugin: file
Vulnerabilitate : Actualizare neautentificată a opțiunii arbitrare
Patched în versiunea : 3.6.0 – plugin închis
Scor de severitate : critic
33. Suplimente pentru coduri scurte
Plugin: suplimente cu coduri scurte
Vulnerabilitate : Actualizare neautentificată a opțiunii arbitrare
Patched în versiunea : 3.1.0 – plugin închis
Scor de severitate : critic
Cum să vă protejați site-ul WordPress de pluginuri și teme vulnerabile
După cum puteți vedea din Raportul săptămânal de vulnerabilitate WordPress, multe noi vulnerabilități ale pluginurilor WordPress și temei sunt dezvăluite în fiecare săptămână. Știm că poate fi dificil să rămâi la curent cu fiecare dezvăluire a vulnerabilităților raportate, așa că pluginul iThemes Security Pro vă ajută să vă asigurați că site-ul dvs. nu rulează o temă, un plugin sau o versiune de bază WordPress cu o vulnerabilitate cunoscută.
1. Instalați pluginul iThemes Security Pro
Pluginul iThemes Security Pro întărește site-ul dvs. WordPress împotriva celor mai comune moduri prin care site-urile web sunt piratate. Cu peste 30 de moduri de a vă securiza site-ul într-un singur plugin ușor de utilizat.
2. Activați scanarea site-ului pentru a verifica dacă există vulnerabilități cunoscute
Funcția de gestionare a versiunilor din iThemes Security Pro se integrează cu Scanarea site-ului pentru a vă proteja site-ul. Temele vulnerabile, pluginurile și versiunile de bază WordPress vor fi actualizate automat pentru dvs.
3. Activați Detectarea modificării fișierelor
Cheia pentru identificarea rapidă a unei breșe de securitate este monitorizarea modificărilor fișierelor de pe site-ul dvs. Funcția de detectare a modificării fișierelor din iThemes Security Pro va scana fișierele site-ului dvs. web și vă va avertiza când apar modificări pe site-ul dvs.
Obțineți iThemes Security Pro cu scanarea site-ului
iThemes Security Pro, pluginul nostru de securitate WordPress, oferă peste 50 de moduri de a vă securiza și proteja site-ul dvs. de vulnerabilități obișnuite de securitate WordPress. Cu WordPress, autentificare în doi factori, protecție împotriva forței brute, aplicare puternică a parolelor și multe altele, puteți adăuga straturi suplimentare de securitate site-ului dvs.
