Raport de vulnerabilitate WordPress: noiembrie 2021, partea 1

Publicat: 2021-11-03

Pluginurile și temele vulnerabile sunt principalul motiv pentru care site-urile WordPress sunt sparte. Raportul săptămânal de vulnerabilitate WordPress dezvoltat de WPScan acoperă plugin-ul WordPress recent, tema și vulnerabilitățile principale și ce trebuie să faceți dacă rulați unul dintre pluginurile sau temele vulnerabile de pe site-ul dvs. web.

Fiecare vulnerabilitate va avea un rating de severitate scăzut , mediu , ridicat sau critic . Dezvăluirea și raportarea responsabilă a vulnerabilităților este o parte integrantă a menținerii în siguranță a comunității WordPress.

Vă rugăm să împărtășiți această postare prietenilor dvs. pentru a ajuta la difuzarea cuvântului și pentru a face WordPress mai sigur pentru toată lumea.

Doriți ca acest raport să fie livrat în căsuța dvs. de e-mail în fiecare săptămână?
Abonați-vă la e-mailul săptămânal

Vulnerabilitățile de bază ale WordPress

Cea mai recentă versiune de nucleu WordPress este 5.8.1. Ca cea mai bună practică, asigurați-vă întotdeauna că rulați cea mai recentă versiune de bază WordPress!

Vulnerabilități în pluginul WordPress

În această secțiune, au fost dezvăluite cele mai recente vulnerabilități ale pluginului WordPress. Fiecare listă de plugin include tipul de vulnerabilitate, numărul versiunii, dacă este corectat și gradul de severitate.

1. Recenzii Plus

Plugin: Reviews Plus
Vulnerabilitate : Abonat+ Recenzii DoS
Patched în versiunea : 1.2.14
Scor de severitate : scăzut

Vulnerabilitatea este corectată, așa că ar trebui să actualizați la versiunea 1.2.14.

2. Galeria de diapozitive

Plugin: Galerie de prezentare
Vulnerabilitate : Administrator+ Scripturi între site-uri stocate
Patched în versiunea : 1.7.4
Scor de severitate : scăzut

Vulnerabilitatea este corectată, așa că ar trebui să actualizați la versiunea 1.7.4.

3. Copil principal WP

Plugin: MainWP Child
Vulnerabilitate : Admin+ SQL Injection
Patched în versiunea : 4.1.8
Scor de severitate : mediu

Vulnerabilitatea este corectată, așa că ar trebui să actualizați la versiunea 4.1.8.

4. Catalog de produse de comerț electronic pentru WordPress

Plugin: Catalog de produse de comerț electronic pentru WordPress
Vulnerabilitate : Scripturi reflectate între site-uri
Patched în versiunea : 3.0.39
Scor de severitate : mare

Vulnerabilitatea este corectată, așa că ar trebui să actualizați la versiunea 3.0.39.

5. Falang multilingv pentru WordPress

Plugin: Falang multilingv pentru WordPress
Vulnerabilitate : Scripturi reflectate între site-uri
Patched în versiunea : 1.3.18
Scor de severitate : mare

Vulnerabilitatea este corectată, așa că ar trebui să actualizați la versiunea 1.3.18.

6. Manager de lecții video

Plugin: Manager de lecții video
Vulnerabilitate : Administrator+ Scripturi între site-uri stocate
Patched în versiunea : 1.7.2
Scor de severitate : scăzut

Vulnerabilitatea este corectată, așa că ar trebui să actualizați la versiunea 1.7.2.

7. Verificare ortografică WP

Plugin: Verificare ortografică WP
Vulnerabilitate : Scripturi reflectate între site-uri
Patched în versiunea : 9.3
Scor de severitate : mare

Vulnerabilitatea este corectată, așa că ar trebui să actualizați la versiunea 9.3.

8. Comerț electronic – Autentificare în doi factori

Plugin: Comerț electronic – Autentificare în doi factori
Vulnerabilitate : Scripturi reflectate între site-uri
Patched în versiunea : 1.0.5
Scor de severitate : mare

Vulnerabilitatea este corectată, așa că ar trebui să actualizați la versiunea 1.0.5.

9. Încărcător MAZ

Plugin: MAZ Loader
Vulnerabilitate : ștergere arbitrară a încărcătorului prin CSRF
Patched in Version : Nicio remediere cunoscută
Scor de severitate : mare

Această vulnerabilitate NU a fost corectată. Dezinstalați și ștergeți pluginul până când este lansat un patch.

10. Poarta Vârstei

Plugin: Age Gate
Vulnerabilitate : Setări de import neautentificate
Patched în versiunea : 2.17.1
Scor de severitate : critic

Vulnerabilitatea este corectată, așa că ar trebui să actualizați la versiunea 2.17.1.

11. Postare duplicat

Plugin: Postare duplicată
Vulnerabilitate : Injecție SQL autentificată
Patched în versiunea : 1.2.0
Scor de severitate : mediu

Vulnerabilitatea este corectată, așa că ar trebui să actualizați la versiunea 1.2.0.

12. Notificare

Plugin: Notificare
Vulnerabilitate : Administrator+ Scripturi între site-uri stocate
Patched în versiunea : 8.0.0
Scor de severitate : scăzut

Vulnerabilitatea este corectată, așa că ar trebui să actualizați la versiunea 8.0.0.

13. Director de afaceri de conexiuni

Plugin: Director de afaceri de conexiuni
Vulnerabilitate : Admin+ CSV Injection
Patched în versiunea : 9.7
Scor de severitate : mediu

Vulnerabilitatea este corectată, așa că ar trebui să actualizați la versiunea 9.7.

14. Media-Tags

Plugin: Media-Tags
Vulnerabilitate : Administrator+ Scripturi între site-uri stocate
Corectat în versiune : Nicio remediere cunoscută – pluginul închis
Scor de severitate : scăzut

Această vulnerabilitate NU a fost corectată. Acest plugin a fost închis începând cu 28 septembrie 2021. Dezinstalați și ștergeți.

15. Despre Autor Box

Plugin: Despre autor Box
Vulnerabilitate : Contributor+ Stocat Cross-Site Scripting
Patched în versiunea : 1.0.2
Scor de severitate : mediu

Vulnerabilitatea este corectată, așa că ar trebui să actualizați la versiunea 1.0.2.

16. Abonamente și abonamente pentru PayPal

Plugin: abonamente și abonamente pentru PayPal
Vulnerabilitate : Scripturi încrucișate reflectate prin intermediul parametrilor paginii
Patched în versiunea : 1.1.3
Scor de severitate : mare

Vulnerabilitatea este corectată, așa că ar trebui să actualizați la versiunea 1.1.3.

17. Acceptați donații cu PayPal

Plugin: Acceptați donații cu PayPal
Vulnerabilitate : Scripturi încrucișate reflectate prin intermediul parametrilor paginii
Patched în versiunea : 1.3.1
Scor de severitate : mare

Vulnerabilitatea este corectată, așa că ar trebui să actualizați la versiunea 1.3.1.

18. Evenimente PayPal ușoare

Plugin: Evenimente PayPal ușoare
Vulnerabilitate : Scripturi încrucișate reflectate prin intermediul parametrilor paginii
Patched în versiunea : 1.1.2
Scor de severitate : mare

Vulnerabilitatea este corectată, așa că ar trebui să actualizați la versiunea 1.1.2.

19. Afișează orice

Plugin: Popup Anything
Vulnerabilitate : Contributor+ Stocat Cross-Site Scripting
Patched în versiunea : 2.0.4
Scor de severitate : mare

Vulnerabilitatea este corectată, așa că ar trebui să actualizați la versiunea 2.0.4.

20. JS Job Manager

Plugin: JS Job Manager
Vulnerabilitate : Instalare/activare neautentificată a pluginului arbitrar
Patched în versiunea : 1.1.9
Scor de severitate : critic

Vulnerabilitatea este corectată, așa că ar trebui să actualizați la versiunea 1.1.9.

21. Modificare în bloc a datei și orei

Plugin: modificare în bloc a datei și orei
Vulnerabilitate : Lipsește autorizația
Patched în versiunea : 1.12
Scor de severitate : mediu

Vulnerabilitatea este corectată, așa că ar trebui să actualizați la versiunea 1.12.

22. Forme ninja

Plugin: Ninja Forms
Vulnerabilitate : Admin+ SQL Injection
Patched în versiunea : 3.6.4
Scor de severitate : mediu

Vulnerabilitatea este corectată, așa că ar trebui să actualizați la versiunea 3.6.4.

23. WP Attachment Export

Plugin: WP Attachment Export
Vulnerabilitate : Descărcare postări neautentificate
Patched în versiunea : 0.2.4
Scor de severitate : mare

Vulnerabilitatea este corectată, așa că ar trebui să actualizați la versiunea 0.2.4.

24. Slider text de conținut pe postare

Plugin: glisor de text de conținut pe postare
Vulnerabilitate : Scripturi între site-uri stocate autentificate (XSS)
Patched în versiunea : 6.9
Scor de severitate : mediu

Vulnerabilitatea este corectată, așa că ar trebui să actualizați la versiunea 6.9.

25. HashThemes Demo Importer

Plugin: HashThemes Demo Importer
Vulnerabilitate : Control necorespunzător al accesului la resetarea blogului
Patched în versiunea : 1.1.2
Scor de severitate : critic

Vulnerabilitatea este corectată, așa că ar trebui să actualizați la versiunea 1.1.2.

26. Înregistrări pentru Calendarul de evenimente

Plugin: Înregistrări pentru Calendarul de evenimente
Vulnerabilitate : Scripturi reflectate între site-uri
Patched în versiunea : 2.7.5
Scor de severitate : mare

Vulnerabilitatea este corectată, așa că ar trebui să actualizați la versiunea 2.7.5.

27. Consiliu de conducere WP

Plugin: Mang Board WP
Vulnerabilitate : injecție SQL
Patched în versiunea : 1.6.9
Scor de severitate : mare

Vulnerabilitatea este corectată, așa că ar trebui să actualizați la versiunea 1.6.9.

28. OptinMonster

Plugin: OptinMonster
Vulnerabilitate : puncte finale REST-API neprotejate
Patched în versiunea : 2.6.5
Scor de severitate : mare

Vulnerabilitatea este corectată, așa că ar trebui să actualizați la versiunea 2.6.5.

29. NextScripts: Auto-Poster pentru rețelele sociale

Plugin: NextScripts: Auto-Poster pentru rețelele sociale
Vulnerabilitate : Scripturi reflectate între site-uri
Patched în versiunea : 4.3.21
Scor de severitate : mare

Vulnerabilitatea este corectată, așa că ar trebui să actualizați la versiunea 4.3.21.

30. Smash Balloon Social Post Feed

Plugin: Smash Balloon Social Post Feed
Vulnerabilitate : Abonat+ Actualizare a setărilor de plugin arbitrar la XSS stocat
Patched în versiunea : 4.0.1
Scor de severitate : mare

Vulnerabilitatea este corectată, așa că ar trebui să actualizați la versiunea 4.0.1.

31. WP-Pro-Quiz

Plugin: WP-Pro-Quiz
Vulnerabilitate : ștergere arbitrară a testului prin CSRF
Corectat în versiune : Nicio remediere cunoscută – pluginul închis
Scor de severitate : mediu

Această vulnerabilitate NU a fost corectată. Acest plugin a fost închis începând cu 17 iulie 2020. Dezinstalați și ștergeți.

32. Formular de contact de la Supsystic

Plugin: Formular de contact de la Supsystic
Vulnerabilitate : Administrator+ Scripturi între site-uri stocate
Patched în versiune : nu se cunoaște o remediere
Scor de severitate : scăzut

Această vulnerabilitate NU a fost corectată. Dezinstalați și ștergeți pluginul până când este lansat un patch.

33. WP-Stats

Plugin: WP-Stats
Vulnerabilitate : CSRF la Scripting Cross-Site Stocat (XSS)
Patched în versiunea : 2.52
Scor de severitate : mare

Acest plugin nu a fost testat cu cele mai recente 3 versiuni majore ale WordPress. Este posibil să nu mai fie întreținut sau acceptat și poate avea probleme de compatibilitate atunci când este utilizat cu versiuni mai recente de WordPress.
Această vulnerabilitate NU a fost corectată. Dezinstalați și ștergeți pluginul până când este lansat un patch.

Cum să vă protejați site-ul WordPress de pluginuri și teme vulnerabile

După cum puteți vedea din acest raport, o mulțime de noi vulnerabilități ale pluginurilor WordPress și temelor sunt dezvăluite în fiecare săptămână. Știm că poate fi dificil să rămâi la curent cu fiecare dezvăluire a vulnerabilităților raportate, așa că pluginul iThemes Security Pro vă ajută să vă asigurați că site-ul dvs. nu rulează o temă, un plugin sau o versiune de bază WordPress cu o vulnerabilitate cunoscută.

1. Instalați pluginul iThemes Security Pro

Pluginul iThemes Security Pro întărește site-ul dvs. WordPress împotriva celor mai comune moduri prin care site-urile web sunt piratate. Cu peste 30 de moduri de a vă securiza site-ul într-un singur plugin ușor de utilizat.

2. Activați scanarea site-ului pentru a verifica dacă există vulnerabilități cunoscute

Funcția de gestionare a versiunilor din iThemes Security Pro se integrează cu Scanarea site-ului pentru a vă proteja site-ul. Temele vulnerabile, pluginurile și versiunile de bază WordPress vor fi actualizate automat pentru dvs.

3. Monitorizați modificările fișierelor

Cheia pentru identificarea rapidă a unei breșe de securitate este monitorizarea modificărilor fișierelor de pe site-ul dvs. Funcția de detectare a modificării fișierelor din iThemes Security Pro va scana fișierele site-ului dvs. web și vă va avertiza când apar modificări pe site-ul dvs.

Obțineți iThemes Security Pro cu monitorizarea site-ului web 24/7

iThemes Security Pro, pluginul nostru de securitate WordPress, oferă peste 50 de moduri de a vă securiza și proteja site-ul dvs. de vulnerabilități obișnuite de securitate WordPress. Cu WordPress, autentificare în doi factori, protecție împotriva forței brute, aplicare puternică a parolelor și multe altele, puteți adăuga straturi suplimentare de securitate site-ului dvs.

  • Scaner de site-uri pentru vulnerabilitățile de plugin și teme
  • Detectarea modificării fișierelor
  • Tabloul de bord pentru securitatea site-ului în timp real
  • Jurnalele de securitate WordPress
  • Dispozitive de încredere
  • reCAPTCHA
  • Protecție cu forța brută
  • Autentificare cu doi factori
  • Link-uri de conectare magice
  • Privilegiul escaladării
  • Verificarea și refuzul parolelor compromise

Obțineți iThemes Security Pro