Raport de vulnerabilitate WordPress: noiembrie 2021, partea 3

Publicat: 2021-11-20

Pluginurile și temele vulnerabile sunt principalul motiv pentru care site-urile WordPress sunt sparte. Raportul săptămânal de vulnerabilitate WordPress dezvoltat de WPScan acoperă plugin-ul WordPress recent, tema și vulnerabilitățile principale și ce trebuie să faceți dacă rulați unul dintre pluginurile sau temele vulnerabile de pe site-ul dvs. web.

Fiecare vulnerabilitate va avea un rating de severitate scăzut , mediu , ridicat sau critic . Dezvăluirea și raportarea responsabilă a vulnerabilităților este o parte integrantă a menținerii în siguranță a comunității WordPress.

Vă rugăm să împărtășiți această postare prietenilor dvs. pentru a ajuta la difuzarea cuvântului și pentru a face WordPress mai sigur pentru toată lumea.

Doriți ca acest raport să fie livrat în căsuța dvs. de e-mail în fiecare săptămână?
Abonați-vă la e-mailul săptămânal

Vulnerabilitățile de bază ale WordPress

Cea mai recentă versiune de nucleu WordPress este 5.8.2. Ca cea mai bună practică, asigurați-vă întotdeauna că rulați cea mai recentă versiune de bază WordPress!

1. WordPress

Vulnerabilitate : Certificat DST Root CA X3 expirat
Patched în versiunea : 5.8.2
Explicație: fișierul wp-includes/certificates/ca-bundle.crt conține un DST Root CA X3 care a expirat pe 30 septembrie 2021, ridicând un avertisment de securitate în unele cazuri.

Vulnerabilitatea a fost corectată, așa că asigurați-vă că rulați WordPress 5.8.2.

Vulnerabilități în pluginul WordPress

În această secțiune, au fost dezvăluite cele mai recente vulnerabilități ale pluginului WordPress. Fiecare listă de plugin include tipul de vulnerabilitate, numărul versiunii, dacă este corectat și gradul de severitate.

1. Înregistrări pentru Calendarul de evenimente

Plugin: Înregistrări pentru Calendarul de evenimente
Vulnerabilitate : injecție SQL neautentificată
Patched în versiunea : 2.7.6
Scor de severitate : mare

Vulnerabilitatea este corectată, așa că ar trebui să actualizați la versiunea 2.7.6.

2. AutentificareWP

Plugin: LoginWP
Vulnerabilitate : Scripturi reflectate între site-uri
Patched în versiunea : 3.0.0.5
Scor de severitate : mare

Vulnerabilitatea este corectată, așa că ar trebui să actualizați la versiunea 3.0.0.5.

3. Comutator de monede WooCommerce

Plugin: WooCommerce Currency Switcher
Vulnerabilitate : Scripturi reflectate între site-uri
Patched în versiunea : 1.3.7.1
Scor de severitate : mediu

Vulnerabilitatea este corectată, așa că ar trebui să actualizați la versiunea 1.3.7.1.

4. Protecție securizată pentru copiere și blocare a conținutului

Plugin: Protecție securizată pentru copiere și blocare a conținutului
Vulnerabilitate : Abonat+ Dezvăluirea adresei de e-mail
Patched în versiunea : 2.8.2
Scor de severitate : mare

Vulnerabilitatea este corectată, așa că ar trebui să actualizați la versiunea 2.8.2.

5. Bookly

Plugin: Bookly
Vulnerabilitate : Scripturi între site-uri stocate de membru al personalului
Patched în versiunea : 20.3.1
Scor de severitate : mediu

Vulnerabilitatea este corectată, așa că ar trebui să actualizați la versiunea 20.3.1.

6. Jurnal de e-mail

Plugin: jurnal de e-mail
Vulnerabilitate : Scripturi reflectate între site-uri
Patched în versiunea : 2.4.8
Scor de severitate : mare

Vulnerabilitatea este corectată, așa că ar trebui să actualizați la versiunea 2.4.8.

7. Tawk.to Live Chat

Plugin: Tawk.to Live Chat
Vulnerabilitate : Monitorizare abonat+ vizitator și eliminare prin chat
Patched în versiunea : 0.6.0
Scor de severitate : mare

Vulnerabilitatea este corectată, așa că ar trebui să actualizați la versiunea 0.6.0.

8. Acces la date WP

Plugin: WP Data Access
Vulnerabilitate : Admin+ SQL Injection
Patched în versiunea : 5.0.0
Scor de severitate : mare

Vulnerabilitatea este corectată, așa că ar trebui să actualizați la versiunea 5.0.0.

9. Vizualizator PDF.js

Plugin: PDF.js Viewer
Vulnerabilitate : Contributor+ Stocat Cross-Site Scripting
Patched în versiunea : 2.0.2
Scor de severitate : mediu

Vulnerabilitatea este corectată, așa că ar trebui să actualizați la versiunea 2.0.2.

10. Backup și restaurare

Plugin: Backup și restaurare
Vulnerabilitate : Admin+ Ștergere arbitrară a fișierului
Patched in Version : Nicio remediere cunoscută
Scor de severitate : mediu

Această vulnerabilitate NU a fost corectată. Dezinstalați și ștergeți pluginul până când este lansat un patch.

11. LearnPress

Plugin: LearnPress
Vulnerabilitate : Admin+ SQL Injection
Patched în versiunea : 4.1.4
Scor de severitate : mediu

Vulnerabilitatea este corectată, așa că ar trebui să actualizați la versiunea 4.1.4.

12. Obțineți valorile câmpurilor personalizate

Plugin: obțineți valori de câmp personalizate
Vulnerabilitate : Contributor+ Stocat Cross-Site Scripting
Patched în versiunea : 4.0.1
Scor de severitate : mediu

Vulnerabilitatea este corectată, așa că ar trebui să actualizați la versiunea 4.0.1.

13. Pachet de rezervare

Plugin: pachet de rezervare
Vulnerabilitate : Scripturi reflectate între site-uri
Patched în versiunea : 1.5.11
Scor de severitate : mediu

Vulnerabilitatea este corectată, așa că ar trebui să actualizați la versiunea 1.5.11.

14. Evaluarea butonului Like

Plugin: Evaluare buton Like
Vulnerabilitate : Export neautorizat de voturi la e-mail și dezvăluirea adreselor IP
Patched în versiunea : 2.6.38
Scor de severitate : mare

Vulnerabilitatea este corectată, așa că ar trebui să actualizați la versiunea 2.6.38.

15. Forme Caldera

Plugin: Formulare Caldera
Vulnerabilitate : Administrator+ Scripturi între site-uri stocate
Patched în versiunea : 1.9.5
Scor de severitate : scăzut

Vulnerabilitatea este corectată, așa că ar trebui să actualizați la versiunea 1.9.5.

16. Șabloane de pornire

Plugin: Șabloane de pornire
Vulnerabilitate : Contributor+ Block Import to Storage XSS
Patched în versiunea : 2.7.1
Scor de severitate : mare

Vulnerabilitatea este corectată, așa că ar trebui să actualizați la versiunea 2.7.1.

17. Formular de contact Email

Plugin: Formular de contact Email
Vulnerabilitate : Administrator+ Scripturi între site-uri stocate
Patched în versiunea : 1.3.25
Scor de severitate : scăzut

Vulnerabilitatea este corectată, așa că ar trebui să actualizați la versiunea 1.3.25.

18. Galerie video – Galeria Vimeo și YouTube

Plugin: Galerie video – Galeria Vimeo și YouTube
Vulnerabilitate : Administrator+ Scripturi între site-uri stocate
Patched în versiunea : 1.1.5
Scor de severitate : scăzut

Vulnerabilitatea este corectată, așa că ar trebui să actualizați la versiunea 1.1.5.

19. Postări populare WordPress

Plugin: Postări populare WordPress
Vulnerabilitate : Administrator+ Scripturi între site-uri stocate
Patched în versiunea : 5.3.4
Scor de severitate : scăzut

Vulnerabilitatea este corectată, așa că ar trebui să actualizați la versiunea 5.3.4.

Cum să vă protejați site-ul WordPress de pluginuri și teme vulnerabile

După cum puteți vedea din acest raport, o mulțime de noi vulnerabilități ale pluginurilor WordPress și temelor sunt dezvăluite în fiecare săptămână. Știm că poate fi dificil să rămâi la curent cu fiecare dezvăluire a vulnerabilităților raportate, așa că pluginul iThemes Security Pro vă ajută să vă asigurați că site-ul dvs. nu rulează o temă, un plugin sau o versiune de bază WordPress cu o vulnerabilitate cunoscută.

1. Instalați pluginul iThemes Security Pro

Pluginul iThemes Security Pro întărește site-ul dvs. WordPress împotriva celor mai comune moduri prin care site-urile web sunt piratate. Cu peste 30 de moduri de a vă securiza site-ul într-un singur plugin ușor de utilizat.

2. Activați scanarea site-ului pentru a verifica dacă există vulnerabilități cunoscute

Funcția de gestionare a versiunilor din iThemes Security Pro se integrează cu Scanarea site-ului pentru a vă proteja site-ul. Temele vulnerabile, pluginurile și versiunile de bază WordPress vor fi actualizate automat pentru dvs.

3. Monitorizați modificările fișierelor

Cheia pentru identificarea rapidă a unei breșe de securitate este monitorizarea modificărilor fișierelor de pe site-ul dvs. Funcția de detectare a modificării fișierelor din iThemes Security Pro va scana fișierele site-ului dvs. web și vă va avertiza când apar modificări pe site-ul dvs.

Obțineți iThemes Security Pro cu monitorizarea securității site-ului web 24/7

iThemes Security Pro, pluginul nostru de securitate WordPress, oferă peste 50 de moduri de a vă securiza și proteja site-ul dvs. de vulnerabilități obișnuite de securitate WordPress. Cu WordPress, autentificare în doi factori, protecție împotriva forței brute, aplicare puternică a parolelor și multe altele, puteți adăuga straturi suplimentare de securitate site-ului dvs.

  • Scaner de site-uri pentru vulnerabilitățile de plugin și teme
  • Detectarea modificării fișierelor
  • Tabloul de bord pentru securitatea site-ului în timp real
  • Jurnalele de securitate WordPress
  • Dispozitive de încredere
  • reCAPTCHA
  • Protecție cu forța brută
  • Autentificare cu doi factori
  • Link-uri de conectare magice
  • Privilegiul escaladării
  • Verificarea și refuzul parolelor compromise

Obțineți iThemes Security Pro