Raport de vulnerabilitate WordPress: ianuarie 2022, partea 1

Publicat: 2022-01-06

Pluginurile și temele vulnerabile sunt principalul motiv pentru care site-urile WordPress sunt sparte. Raportul săptămânal de vulnerabilitate WordPress dezvoltat de WPScan acoperă plugin-ul WordPress recent, tema și vulnerabilitățile principale și ce trebuie să faceți dacă rulați unul dintre pluginurile sau temele vulnerabile de pe site-ul dvs. web.

Fiecare vulnerabilitate va avea un rating de severitate scăzut , mediu , ridicat sau critic . Dezvăluirea și raportarea responsabilă a vulnerabilităților este o parte integrantă a menținerii în siguranță a comunității WordPress. Nou în acest raport: vulnerabilitățile sunt acum listate în ordinea numărului de instalări active, mai degrabă decât a datei dezvăluirii.

Vă rugăm să împărtășiți această postare cu prietenii dvs. pentru a ajuta la difuzarea cuvântului și pentru a face WordPress mai sigur pentru toată lumea !

Doriți ca acest raport să fie livrat în căsuța dvs. de e-mail în fiecare săptămână?
Abonați-vă la e-mailul săptămânal

Recapitulare raportul de vulnerabilitate WordPress 2021: 1.263 de vulnerabilități dezvăluite; 98% pluginuri

  • În 2021, au fost dezvăluite un total de 1.263 de vulnerabilități de plugin și teme. Vulnerabilitățile pluginului WordPress au reprezentat 98% din toate vulnerabilitățile raportate.
  • Septembrie 2021 a fost raportată cu cele mai multe vulnerabilități, cu un total de 323 de vulnerabilități dezvăluite doar în acea lună.
  • Cele mai comune tipuri de vulnerabilități ale pluginurilor dezvăluite în 2021 au fost cross-site scripting (XSS) și injecțiile SQL. Majoritatea autorilor de plugin-uri au lansat patch-uri, în timp ce unele plugin-uri rămân încă închise.
  • Datorită creșterii dezvăluirilor de vulnerabilități, am schimbat frecvența raportului de vulnerabilitate la o dată pe săptămână, mai degrabă decât de două ori pe lună.
  • Datorită feedback-ului dvs., am început să listăm dezvăluirile de pluginuri în ordine sau instalările active. De asemenea, am început să grupăm pluginurile după gratuit și pro, cu o secțiune separată pentru pluginuri închise și pluginuri pentru nicio remediere cunoscută.

Vulnerabilitățile de bază ale WordPress

Cea mai recentă versiune de nucleu WordPress este 5.8.2. Ca cea mai bună practică, asigurați-vă întotdeauna că rulați cea mai recentă versiune de bază WordPress!

Vulnerabilități în pluginul WordPress

În această secțiune, au fost dezvăluite cele mai recente vulnerabilități ale pluginului WordPress. Fiecare listă de plugin include tipul de vulnerabilitate, instalările active, numărul versiunii, dacă este corectat și gradul de severitate.

1. UpdraftPlus

Plugin: UpdraftPlus
Vulnerabilitate : Scripturi reflectate între site-uri
Instalare activă : 3+ milioane
Patched în versiunea : 1.16.569
Scor de severitate : mare

Vulnerabilitatea este corectată, așa că ar trebui să actualizați la versiunea 1.16.59.

Plugin: UpdraftPlus
Vulnerabilitate : Administrator+ Scripturi între site-uri stocate
Instalare activă : 3+ milioane
Patched în versiunea : 1.6.59
Scor de severitate : scăzut

Vulnerabilitatea este corectată, așa că ar trebui să actualizați la versiunea 1.6.59.

Plugin: UpdraftPlus
Vulnerabilitate : Admin+ Includere fișier local
Instalare activă : 3+ milioane
Patched în versiunea : 1.16.59
Scor de severitate : mediu

Vulnerabilitatea este corectată, așa că ar trebui să actualizați la versiunea 1.16.59.

2. WebP Converter pentru Media

Plugin: WebP Converter pentru Media
Vulnerabilitate : redirecționare deschisă neautentificată
Instalare activă : 100.000+
Patched în versiunea : 4.0.3
Scor de severitate : mediu

Vulnerabilitatea este corectată, așa că ar trebui să actualizați la versiunea 4.0.3.

3. WOOF – Filtru de produse pentru WooCommerce

Plugin: WOOF – Filtru de produse pentru WooCommerce
Vulnerabilitate : Scripturi reflectate între site-uri
Instalare activă : 100.000+
Patched în versiunea : 1.2.6.3
Scor de severitate : mare

Vulnerabilitatea este corectată, așa că ar trebui să actualizați la versiunea 1.2.6.3.

4. LearnPress

Plugin: LearnPress
Vulnerabilitate : Administrator+ Scripturi între site-uri stocate
Instalare activă : 100.000+
Patched în versiunea : 4.1.3.2
Scor de severitate : mediu

Vulnerabilitatea este corectată, așa că ar trebui să actualizați la versiunea 4.1.3.2.

5. WP Post Page Clone

Plugin: WP Post Page Clone
Vulnerabilitate : Acces post neautorizat
Instalare activă : 80.000+
Patched în versiunea : 1.2
Scor de severitate : mediu

Vulnerabilitatea este corectată, așa că ar trebui să actualizați la versiunea 1.2.

6. WP Tipuri de fișiere suplimentare

Plugin: WP Tipuri de fișiere suplimentare
Vulnerabilitate : CSRF la Scripturi stocate între site-uri
Instalare activă : 50.000+
Patched în versiunea : 0.5.1
Scor de severitate : mare

Vulnerabilitatea este corectată, așa că ar trebui să actualizați la versiunea 0.5.1.

7. Tutor LMS

Plugin: Tutor LMS
Vulnerabilitate : Abonat+ Stocat Cross-Site Scripting
Instalare activă : 40.000+
Patched în versiunea : 1.9.12
Scor de severitate : mare

Vulnerabilitatea este corectată, așa că ar trebui să actualizați la versiunea 1.9.12.

Plugin: Tutor LMS
Vulnerabilitate : Scripturi reflectate între site-uri
Instalare activă : 40.000+
Patched în versiunea : 1.9.12
Scor de severitate : mare

Vulnerabilitatea este corectată, așa că ar trebui să actualizați la versiunea 1.9.12.

8. Tabloul de bord personalizat și pagină de conectare

Plugin: tablou de bord personalizat și pagină de conectare
Vulnerabilitate : Administrator+ Scripturi între site-uri stocate
Instalare activă : 40.000+
Patched în versiunea : 7.0
Scor de severitate : mediu

Vulnerabilitatea este corectată, așa că ar trebui să actualizați la versiunea 7.0.

9. Întrebări frecvente definitive

Plugin: Întrebări frecvente definitive
Vulnerabilitate : Abonat+ Creare de întrebări frecvente arbitrare
Instalare activă : 30.000+
Patched în versiunea : 2.1.2
Scor de severitate : mediu

Vulnerabilitatea este corectată, așa că ar trebui să actualizați la versiunea 2.1.2.

10. WP User Frontend

Plugin: WP User Frontend
Vulnerabilitate : injecție SQL la scripturile reflectate între site-uri
Instalare activă : 30.000+
Patched în versiunea : 3.5.26
Scor de severitate : mare

Vulnerabilitatea este corectată, așa că ar trebui să actualizați la versiunea 3.5.26.

11. myCred

Plugin: myCred
Vulnerabilitate : Scripturi reflectate între site-uri
Instalare activă : 20.000+
Patched în versiunea : 2.4
Scor de severitate : mare

Vulnerabilitatea este corectată, așa că ar trebui să actualizați la versiunea 2.4.

12. Image Hover Effects Ultimate

Plugin: Image Hover Effects Ultimate
Vulnerabilitate : Scripturi reflectate între site-uri
Instalare activă : 20.000+
Patched în versiunea : 9.7.1
Scor de severitate : mare

Vulnerabilitatea este corectată, așa că ar trebui să actualizați la versiunea 9.7.1.

13. Qubely

Plugin: Qubely
Vulnerabilitate : Abonat+ Creare de întrebări frecvente arbitrare
Instalare activă : 10.000+
Patched în versiunea : 1.7.8
Scor de severitate : mediu

Vulnerabilitatea este corectată, așa că ar trebui să actualizați la versiunea 1.7.8.

14. Înregistrare Magic

Plugin: Înregistrare Magic
Vulnerabilitate : Scripturi reflectate între site-uri
Instalare activă : 10.000+
Patched în versiunea : 5.0.1.9
Scor de severitate : mare

Vulnerabilitatea este corectată, așa că ar trebui să actualizați la versiunea 5.0.1.9.

15. Urmărirea comenzilor pentru WooCommerce

Plugin: Urmărirea comenzilor pentru WooCommerce
Vulnerabilitate : Scripturi reflectate între site-uri
Instalare activă : 10.000+
Patched în versiunea : 1.1.10
Scor de severitate : mare

Vulnerabilitatea este corectată, așa că ar trebui să actualizați la versiunea 1.1.10.

16. Link Library

Plugin: Link Library
Vulnerabilitate : Scripturi reflectate între site-uri
Instalare activă : 10.000+
Patched în versiunea : 7.2.8
Scor de severitate : mediu

Vulnerabilitatea este corectată, așa că ar trebui să actualizați la versiunea 7.2.8.

Plugin: Link Library
Vulnerabilitate : Resetarea setărilor bibliotecii prin CSRF
Instalare activă : 10.000+
Patched în versiunea : 7.2.8
Scor de severitate : mediu

Vulnerabilitatea este corectată, așa că ar trebui să actualizați la versiunea 7.2.8.

Plugin: Link Library
Vulnerabilitate : Ștergerea legăturilor arbitrare neautentificate
Instalare activă : 10.000+
Patched în versiunea : 7.2.8
Scor de severitate : mediu

Vulnerabilitatea este corectată, așa că ar trebui să actualizați la versiunea 7.2.8.

17. Companion AF

Plugin: AF Companion
Vulnerabilitate : Instalare și activare arbitrară a pluginului prin CSRF
Instalare activă : 9.000+
Patched în versiunea : 1.2.0
Scor de severitate : mare

Vulnerabilitatea este corectată, așa că ar trebui să actualizați la versiunea 1.2.0.

18. Widget KNR Lista de autori

Plugin: widgetul KNR Lista de autori
Vulnerabilitate : injecție SQL neautentificată
Instalare activă : 200+
Patched în versiunea : 3.0.0
Scor de severitate : critic

Vulnerabilitatea este corectată, așa că ar trebui să actualizați la versiunea 3.0.0.

19. Informații utilizator WP Cookie

Plugin: WP Cookie Informații utilizator
Vulnerabilitate : Admin+ SQL Injection
Instalare activă : 200+
Patched în versiunea : 1.0.9
Scor de severitate : mediu

Vulnerabilitatea este corectată, așa că ar trebui să actualizați la versiunea 1.0.9.

Vulnerabilități în pluginul WordPress: plugin închis

În această secțiune, cele mai recente vulnerabilități ale pluginurilor WordPress au fost dezvăluite în pluginuri închise. Fiecare listă de plugin include tipul de vulnerabilitate, gradul de severitate și data închiderii.

20. LabTools

Plugin: LabTools
Vulnerabilitate : Abonat+ Ștergere arbitrară a publicației
Corectat în versiune : Nicio remediere cunoscută – pluginul închis
Scor de severitate : mediu

Această vulnerabilitate NU a fost corectată. Acest plugin a fost închis începând cu 28 decembrie 2021. Dezinstalați și ștergeți.

21. Verificarea domeniului

Plugin: Verificare domeniu
Vulnerabilitate : Scripturi reflectate între site-uri
Corectat în versiune : Nicio remediere cunoscută – pluginul închis
Scor de severitate : mare

Această vulnerabilitate NU a fost corectată. Acest plugin a fost închis începând cu 28 decembrie 2021. Dezinstalați și ștergeți.

22. Vizualizator jurnal de erori

Plugin: Vizualizator jurnal de erori
Vulnerabilitate : Ștergerea arbitrară a fișierului text prin CSRF
Corectat în versiune : Nicio remediere cunoscută – pluginul închis
Scor de severitate : scăzut

Această vulnerabilitate NU a fost corectată. Acest plugin a fost închis începând cu 10 noiembrie 2021. Dezinstalați și ștergeți.

23. Țările vizitate de WP au fost reîncărcate

Plugin: Țările vizitate de WP au fost reîncărcate
Vulnerabilitate : Scripturi reflectate între site-uri
Patched în versiunea : 3.1.1- plugin închis
Scor de severitate : mare

Această vulnerabilitate a fost corectată. Acest plugin a fost închis începând cu 23 septembrie 2021. Dezinstalați și ștergeți.

24. Cursuri de învățare

Plugin: Cursuri de învățare
Vulnerabilitate : Administrator+ Scripturi între site-uri stocate
Patched în versiunea : 5.0 – plugin închis
Scor de severitate : scăzut

Această vulnerabilitate a fost corectată. Acest plugin a fost închis începând cu 8 octombrie 2021. Dezinstalați și ștergeți.

25. Sondaj perfect

Plugin: Perfect Survey
Vulnerabilitate : Apel AJAX neautorizat la XSS stocat/Actualizare setări sondaj
Patched în versiunea : 1.5.2 – plugin închis
Scor de severitate : mare

Această vulnerabilitate a fost corectată. Acest plugin a fost închis începând cu 5 octombrie 2021. Dezinstalați și ștergeți.

Plugin: Perfect Survey
Vulnerabilitate : Apel AJAX neautorizat la XSS stocat/Actualizare setări sondaj
Patched în versiunea : 1.5.2 – plugin închis
Scor de severitate : mare

Această vulnerabilitate a fost corectată. Acest plugin a fost închis începând cu 5 octombrie 2021. Dezinstalați și ștergeți.

Plugin: Perfect Survey
Vulnerabilitate : injecție SQL neautentificată
Patched în versiunea : 1.5.2 – plugin închis
Scor de severitate : mare

Această vulnerabilitate a fost corectată. Acest plugin a fost închis începând cu 5 octombrie 2021. Dezinstalați și ștergeți.

Plugin: Perfect Survey
Vulnerabilitate : Scripturi reflectate între site-uri
Patched în versiunea : 1.5.2 – plugin închis
Scor de severitate : mare

Această vulnerabilitate a fost corectată. Acest plugin a fost închis începând cu 5 octombrie 2021. Dezinstalați și ștergeți.

Plugin: Perfect Survey
Vulnerabilitate : Scripturi între site-uri stocate neautentificate
Corectat în versiune : Nicio remediere cunoscută – pluginul închis
Scor de severitate : mare

Această vulnerabilitate a fost corectată. Acest plugin a fost închis începând cu 5 octombrie 2021. Dezinstalați și ștergeți.

Vulnerabilități în pluginul WordPress: nicio remediere cunoscută

În această secțiune, cele mai recente vulnerabilități ale pluginurilor WordPress au fost dezvăluite în pluginuri închise. Fiecare listă de plugin include tipul de vulnerabilitate, gradul de severitate și data închiderii.

26. Mediamatic

Plugin: Mediamatic
Vulnerabilitate : Abonat+ SQL Injection
Instalare activă : 3.000+
Patched in Version : Nicio remediere cunoscută
Scor de severitate : mare

Această vulnerabilitate NU a fost corectată. Dezinstalați și ștergeți pluginul până când este lansat un patch.

Cum să vă protejați site-ul WordPress de pluginuri și teme vulnerabile

După cum puteți vedea din acest raport, o mulțime de noi vulnerabilități ale pluginurilor WordPress și temelor sunt dezvăluite în fiecare săptămână. Știm că poate fi dificil să rămâi la curent cu fiecare dezvăluire a vulnerabilităților raportate, așa că pluginul iThemes Security Pro vă ajută să vă asigurați că site-ul dvs. nu rulează o temă, un plugin sau o versiune de bază WordPress cu o vulnerabilitate cunoscută.

1. Instalați pluginul iThemes Security Pro

Pluginul iThemes Security Pro întărește site-ul dvs. WordPress împotriva celor mai comune moduri prin care site-urile web sunt piratate. Cu peste 30 de moduri de a vă securiza site-ul într-un singur plugin ușor de utilizat.

2. Activați scanarea site-ului pentru a verifica dacă există vulnerabilități cunoscute

Funcția de gestionare a versiunilor din iThemes Security Pro se integrează cu Scanarea site-ului pentru a vă proteja site-ul. Temele vulnerabile, pluginurile și versiunile de bază WordPress vor fi actualizate automat pentru dvs.

3. Activați Detectarea modificării fișierelor

Cheia pentru identificarea rapidă a unei breșe de securitate este monitorizarea modificărilor fișierelor de pe site-ul dvs. Funcția de detectare a modificării fișierelor din iThemes Security Pro va scana fișierele site-ului dvs. web și vă va avertiza când apar modificări pe site-ul dvs.

Obțineți iThemes Security Pro cu monitorizarea securității site-ului web 24/7

iThemes Security Pro, pluginul nostru de securitate WordPress, oferă peste 50 de moduri de a vă securiza și proteja site-ul dvs. de vulnerabilități obișnuite de securitate WordPress. Cu WordPress, autentificare în doi factori, protecție împotriva forței brute, aplicare puternică a parolelor și multe altele, puteți adăuga straturi suplimentare de securitate site-ului dvs.

  • Scaner de site-uri pentru vulnerabilitățile de plugin și teme
  • Detectarea modificării fișierelor
  • Tabloul de bord pentru securitatea site-ului în timp real
  • Jurnalele de securitate WordPress
  • Dispozitive de încredere
  • reCAPTCHA
  • Protecție cu forța brută
  • Privilegiul escaladării
  • Verificarea și refuzul parolelor compromise

Obțineți iThemes Security Pro