Raport de vulnerabilitate WordPress: ianuarie 2022, partea 2
Publicat: 2022-01-12Pluginurile și temele vulnerabile sunt principalul motiv pentru care site-urile WordPress sunt sparte. Raportul săptămânal de vulnerabilitate WordPress dezvoltat de WPScan acoperă plugin-ul WordPress recent, tema și vulnerabilitățile principale și ce trebuie să faceți dacă rulați unul dintre pluginurile sau temele vulnerabile de pe site-ul dvs. web.
Fiecare vulnerabilitate va avea un rating de severitate scăzut , mediu , ridicat sau critic . Dezvăluirea și raportarea responsabilă a vulnerabilităților este o parte integrantă a menținerii în siguranță a comunității WordPress. Nou în acest raport: vulnerabilitățile sunt acum listate în ordinea numărului de instalări active, mai degrabă decât a datei dezvăluirii.
Vă rugăm să împărtășiți această postare cu prietenii dvs. pentru a ajuta la difuzarea cuvântului și pentru a face WordPress mai sigur pentru toată lumea !
Vulnerabilitățile de bază ale WordPress
Cea mai recentă versiune de nucleu WordPress a fost lansată pe 6 ianuarie 2022 ca lansare de securitate cu ciclu scurt. Deoarece WordPress 5.8.3 este o versiune de securitate, vă recomandăm să vă actualizați imediat toate site-urile.
Puteți actualiza la WordPress 5.8.3 descărcând de pe WordPress.org sau vizitând tabloul de bord WordPress > Actualizări și făcând clic pe Actualizare acum .
Dacă aveți site-uri care au activat actualizări automate în fundal, ar trebui să se fi actualizat deja cu succes.
WordPress Core
Vulnerabilitate : injectare SQL prin WP_Query
Patched în versiunea : 5.8.3
Explicație: Din cauza lipsei unei igienizări adecvate în WP_Meta_Query, există potențialul de injectare SQL oarbă.
Vulnerabilitate : Autor+ XSS stocat prin Post Slugs
Patched în versiunea : 5.8.3
Explicație: Utilizatorii autentificați cu privilegii reduse (cum ar fi autorul) din nucleul WordPress sunt capabili să execute JavaScript/să efectueze atacuri XSS stocate prin post slugs, care pot afecta utilizatorii cu privilegii înalte.
Vulnerabilitate : Injectarea de obiecte Super Admin în mai multe site-uri
Patched în versiunea : 5.8.3
Explicație: Pe un site multiplu, utilizatorii cu rol de Super Admin pot ocoli întărirea explicită/suplimentară în anumite condiții prin injectarea obiectului.
Vulnerabilitate : injectare SQL prin WP_Meta_Query
Patched în versiunea : 5.8.3
Explicație: Din cauza lipsei unei igienizări adecvate în WP_Meta_Query, există potențialul de injectare SQL oarbă.
Vulnerabilități în pluginul WordPress
În această secțiune, au fost dezvăluite cele mai recente vulnerabilități ale pluginului WordPress. Fiecare listă de plugin include tipul de vulnerabilitate, instalările active, numărul versiunii, dacă este corectat și gradul de severitate.
1. Suport SVG
Plugin: Suport SVG
Vulnerabilitate : Administrator+ Scripturi între site-uri stocate
Instalare activă : 800.000+
Patched în versiunea : 2.3.20
Scor de severitate : scăzut
2. Curățarea activelor
Plugin: Asset CleanUp
Vulnerabilitate : Scripting Cross-Site reflectat prin acțiunea AJAX
Instalare activă : 100.000+
Patched în versiunea : 1.3.8.5
Scor de severitate : mare
Plugin: Asset CleanUp
Vulnerabilitate : Scripturi reflectate între site-uri
Instalare activă : 100.000+
Patched în versiunea : 1.3.8.5
Scor de severitate : mediu
3. Abonamente plătite Pro
Plugin: Abonamente plătite Pro
Vulnerabilitate : Injecție SQL neautentificată oarbă
Instalare activă : 100.000+
Patched în versiunea : 2.6.7
Scor de severitate : critic
4. NextScripts: Auto-Poster pentru rețelele sociale
Plugin: NextScripts: Auto-Poster pentru rețelele sociale
Vulnerabilitate : Post ștergere arbitrară prin CSRF
Instalare activă : 90.000+
Patched în versiunea : 4.3.25
Scor de severitate : mediu
Plugin: NextScripts: Auto-Poster pentru rețelele sociale
Vulnerabilitate : XSS stocat neautentificat
Instalare activă : 90.000+
Patched în versiunea : 4.3.25
Scor de severitate : mare
5. Căutare de fildeș
Plugin: Ivory Search
Vulnerabilitate : Contributor+ Stocat Cross-Site Scripting
Instalare activă : 80.000+
Patched în versiunea : 5.4.1
Scor de severitate : mare
6. Feed social ușor
Plugin: Feed social ușor
Vulnerabilitate : Reflected Cross-Site Scripting (XSS)
Instalare activă : 70.000+
Patched în versiunea : 6.2.7
Scor de severitate : mare
7. Editor de stil CSS vizual
Plugin: Visual CSS Style Editor
Vulnerabilitate : Scripturi reflectate între site-uri
Instalare activă : 50.000+
Patched în versiunea : 7.5.4
Scor de severitate : mare
8. Intrări din formularul de contact
Plugin: Intrări din formularul de contact
Vulnerabilitate : Scripturi între site-uri stocate neautentificate
Instalare activă : 40.000+
Patched în versiunea : 1.1.7
Scor de severitate : mare
9. Manager Cron avansat
Plugin: Manager Cron avansat
Vulnerabilitate : Abonat+ Crearea/Ștergerea de evenimente/programe arbitrare
Instalare activă : 30.000+
Patched în versiunea : 2.4.2
Scor de severitate : mediu
10. WPLegalPages
Plugin: WPLegalPages
Vulnerabilitate : Abonat+ Actualizare setări arbitrare la XSS stocat
Instalare activă : 20.000+
Patched în versiunea : 2.7.1
Scor de severitate : mediu
11. Statistici ale vizitatorilor WP (trafic în timp real)
Plugin: Statistici ale vizitatorilor WP (Trafic în timp real)
Vulnerabilitate : Abonat+ SQL Injection
Instalare activă : 20.000+
Patched în versiunea : 4.8
Scor de severitate : mare
12. Dosare rele
Plugin: Wicked Folders
Vulnerabilitate : Abonat+ SQL Injection
Instalare activă : 10.000+
Patched în versiunea : 2.8.10
Scor de severitate : mare
13. SuportCandy
Plugin: SupportCandy
Vulnerabilitate : Contributor+ Stocat Cross-Site Scripting
Instalare activă : 10.000+
Patched în versiunea : 2.2.7
Scor de severitate : mediu
Plugin: SupportCandy
Vulnerabilitate : CSRF la Cross-Site Scripting
Instalare activă : 10.000+
Patched în versiunea : 2.2.7
Scor de severitate : mediu
Plugin: SupportCandy
Vulnerabilitate : ștergerea arbitrară a biletului prin CSRF
Instalare activă : 10.000+
Patched în versiunea : 2.2.7
Scor de severitate : mare
Plugin: SupportCandy
Vulnerabilitate : ștergere arbitrară neautentificată a biletului
Instalare activă : 10.000+
Patched în versiunea : 2.2.7
Scor de severitate : mare
Plugin: SupportCandy
Vulnerabilitate : Scripturi reflectate între site-uri
Instalare activă : 10.000+
Patched în versiunea : 2.2.7
Scor de severitate : mediu
14. Rearanjați produsele Woocommerce
Plugin: rearanjați produsele Woocommerce
Vulnerabilitate : Abonat+ SQL Injection
Instalare activă : 10.000+
Patched în versiunea : 3.0.8
Scor de severitate : mare
15. IP2Location Country Blocker
Plugin: IP2Location Country Blocker
Vulnerabilitate : Interdicție arbitrară de țară prin CSRF
Instalare activă : 10.000+
Patched în versiunea : 2.26.6
Scor de severitate : mediu
Plugin: IP2Location Country Blocker
Vulnerabilitate : Abonat+ Interdicție arbitrară de țară
Instalare activă : 10.000+
Patched în versiunea : 2.26.6
Scor de severitate : mediu
Plugin: IP2Location Country Blocker
Vulnerabilitate : Ban Bypass
Instalare activă : 10.000+
Patched în versiunea : 2.26.6
Scor de severitate : mediu
16. Asistență extraordinară – WordPress HelpDesk & Plugin de asistență
Plugin: Awesome Support – Titan Framework
Vulnerabilitate : Reflected Cross-Site Scripting (XSS)
Instalare activă : 10.000+
Patched în versiunea : 6.0.11
Scor de severitate : mare
17. Catalog de produse definitive
Plugin: Catalog de produse definitive
Vulnerabilitate : Abonat+ Crearea produsului arbitrar și Actualizarea setărilor
Instalare activă : 10.000
Patched în versiunea : 5.0.26
Scor de severitate : mediu
18. Document Embedder
Plugin: Document Embedder
Vulnerabilitate : Abonat+ Privat arbitrar/Dezvăluirea titlului postării nefinalizate
Instalare activă : 9.000+
Patched în versiunea : 1.7.9
Scor de severitate : mediu
Plugin: Document Embedder
Vulnerabilitate : Dezvăluire neautentificată arbitrară privată/proiect de postare
Instalare activă : 9.000+
Patched în versiunea : 1.7.9
Scor de severitate : mediu
19. RVM – Hărți vectoriale receptive
Plugin: RVM – Hărți vectoriale receptive
Vulnerabilitate : Abonat+ Citire fișier arbitrar
Instalare activă : 6.000+
Patched în versiunea : 6.4.2
Scor de severitate : mare
20. Mediamatic
Plugin: Mediamatic
Vulnerabilitate : Abonat+ SQL Injection
Instalare activă : 3.000+
Patched în versiunea : 2.8.1
Scor de severitate : mare
21. Woopra
Plugin: Woopra
Vulnerabilitate : Încărcare de fișier arbitrar neautentificat
Instalare activă : 2.000+
Patched în versiunea : 1.4.3.2
Scor de severitate : critic
22. Manager de acces la drepturile utilizatorului
Plugin: Manager de acces la drepturile utilizatorului
Vulnerabilitate : Ocolire restricție de acces
Instalare activă : 900+
Patched în versiunea : 1.0.8
Scor de severitate : mediu
23. Butonul YuMoney
Plugin: butonul YuMoney – Titan Framework
Vulnerabilitate : Reflected Cross-Site Scripting (XSS)
Instalare activă : 900+
Patched în versiunea : 2.4.0
Scor de severitate : mare
24. Integrare TrustMate.io pentru WooCommerce
Plugin: integrare TrustMate.io pentru WooCommerce
Vulnerabilitate : Actualizarea setărilor pentru Abonat+ Arbitrary Plugin
Instalare activă : 300+
Patched în versiunea : 1.8.12
Scor de severitate : mare
Plugin: integrare TrustMate.io pentru WooCommerce
Vulnerabilitate : Abonat+ Actualizare opțiune arbitrară pentru blog
Instalare activă : 300+
Patched în versiunea : 1.7.1
Scor de severitate : mare
25. Ranker adevărat
Plugin: True Ranker
Vulnerabilitate : Acces neautentificat la fișiere arbitrare prin Traversarea căii
Instalare activă : 300+
Patched în versiunea : 2.2.4
Scor de severitate : mare
26. WebHotelier pentru WordPress
Plugin: WebHotelier pentru WordPress – Titan Framework
Vulnerabilitate : Reflected Cross-Site Scripting (XSS)
Instalare activă : 200+
Patched în versiunea : 1.6.1
Scor de severitate : mare
Vulnerabilități de plugin premium
În această secțiune, au fost dezvăluite cele mai recente vulnerabilități ale pluginului premium WordPress. Fiecare listă de plugin include tipul de vulnerabilitate, numărul versiunii, dacă este corectat și gradul de severitate.
27. Advanced Cron Manager Pro
Plugin: Advanced Cron Manager Pro
Vulnerabilitate : Abonat+ Crearea/Ștergerea de evenimente/programe arbitrare
Patched în versiunea : 2.5.3
Scor de severitate : mediu
Vulnerabilități în pluginul WordPress: nicio remediere cunoscută
În această secțiune, cele mai recente vulnerabilități ale pluginurilor WordPress au fost dezvăluite în pluginuri închise. Fiecare listă de plugin include tipul de vulnerabilitate, gradul de severitate și data închiderii.
28. Formular de contact 7 Skins
Plugin: Formularul de contact 7 Skins
Vulnerabilitate : Reflected Cross-Site Scripting (XSS)
Instalare activă : 30.000+
Patched in Version : Nicio remediere cunoscută
Scor de severitate : mediu
29. WooRockets Nitro
Plugin: WooRockets Nitro
Vulnerabilitate : Instalare neautentificată a pluginului arbitrar
Patched in Version : Nicio remediere cunoscută
Scor de severitate : critic
30. Afiliat Amazon
Plugin: Afiliat Amazon
Vulnerabilitate : Scripturi reflectate între site-uri
Patched in Version : Nicio remediere cunoscută
Scor de severitate : mediu
Cum să vă protejați site-ul WordPress de pluginuri și teme vulnerabile
După cum puteți vedea din acest raport, o mulțime de noi vulnerabilități ale pluginurilor WordPress și temelor sunt dezvăluite în fiecare săptămână. Știm că poate fi dificil să rămâi la curent cu fiecare dezvăluire a vulnerabilităților raportate, așa că pluginul iThemes Security Pro vă ajută să vă asigurați că site-ul dvs. nu rulează o temă, un plugin sau o versiune de bază WordPress cu o vulnerabilitate cunoscută.
1. Instalați pluginul iThemes Security Pro
Pluginul iThemes Security Pro întărește site-ul dvs. WordPress împotriva celor mai comune moduri prin care site-urile web sunt piratate. Cu peste 30 de moduri de a vă securiza site-ul într-un singur plugin ușor de utilizat.
2. Activați scanarea site-ului pentru a verifica dacă există vulnerabilități cunoscute
Funcția de gestionare a versiunilor din iThemes Security Pro se integrează cu Scanarea site-ului pentru a vă proteja site-ul. Temele vulnerabile, pluginurile și versiunile de bază WordPress vor fi actualizate automat pentru dvs.
3. Activați Detectarea modificării fișierelor
Cheia pentru identificarea rapidă a unei breșe de securitate este monitorizarea modificărilor fișierelor de pe site-ul dvs. Funcția de detectare a modificării fișierelor din iThemes Security Pro va scana fișierele site-ului dvs. web și vă va avertiza când apar modificări pe site-ul dvs.
Obțineți iThemes Security Pro cu monitorizarea securității site-ului web 24/7
iThemes Security Pro, pluginul nostru de securitate WordPress, oferă peste 50 de moduri de a vă securiza și proteja site-ul dvs. de vulnerabilități obișnuite de securitate WordPress. Cu WordPress, autentificare în doi factori, protecție împotriva forței brute, aplicare puternică a parolelor și multe altele, puteți adăuga straturi suplimentare de securitate site-ului dvs.
