Raport de vulnerabilitate WordPress: noiembrie 2021, partea 4

Publicat: 2021-11-25

Pluginurile și temele vulnerabile sunt principalul motiv pentru care site-urile WordPress sunt sparte. Raportul săptămânal de vulnerabilitate WordPress dezvoltat de WPScan acoperă plugin-ul WordPress recent, tema și vulnerabilitățile principale și ce trebuie să faceți dacă rulați unul dintre pluginurile sau temele vulnerabile de pe site-ul dvs. web.

Fiecare vulnerabilitate va avea un rating de severitate scăzut , mediu , ridicat sau critic . Dezvăluirea și raportarea responsabilă a vulnerabilităților este o parte integrantă a menținerii în siguranță a comunității WordPress.

Vă rugăm să împărtășiți această postare prietenilor dvs. pentru a ajuta la difuzarea cuvântului și pentru a face WordPress mai sigur pentru toată lumea.

Doriți ca acest raport să fie livrat în căsuța dvs. de e-mail în fiecare săptămână?
Abonați-vă la e-mailul săptămânal

Găzduire WordPress: GoDaddy Hacked

Într-o dezvăluire de securitate publicată pe 21 noiembrie 2021, GoDaddy spune că până la 1,2 milioane de clienți activi și inactivi au fost expuși după ce hackerii au obținut acces la platforma de găzduire WordPress gestionată.

Am scris o postare pentru a despacheta câteva dintre detaliile recentului hack GoDaddy, cum îi afectează pe clienți și recomandările noastre despre ce să faceți dacă sunteți client de găzduire WordPress la GoDaddy.

Citiți postarea

Vulnerabilitățile de bază ale WordPress

Cea mai recentă versiune de nucleu WordPress este 5.8.2. Ca cea mai bună practică, asigurați-vă întotdeauna că rulați cea mai recentă versiune de bază WordPress!

Vulnerabilități în pluginul WordPress

În această secțiune, au fost dezvăluite cele mai recente vulnerabilități ale pluginului WordPress. Fiecare listă de plugin include tipul de vulnerabilitate, numărul versiunii, dacă este corectat și gradul de severitate.

1. Pixel Cat Lite

Plugin: Pixel Cat Lite
Vulnerabilitate : Administrator+ Scripturi între site-uri stocate
Patched în versiunea : 2.6.3
Scor de severitate : scăzut

Vulnerabilitatea este corectată, așa că ar trebui să actualizați la versiunea 2.6.3.

Plugin: Pixel Cat Lite
Vulnerabilitate : CSRF la Scripturi stocate între site-uri
Patched în versiunea : 2.6.2
Scor de severitate : mare

Vulnerabilitatea este corectată, așa că ar trebui să actualizați la versiunea 2.6.2.

2. Galerie All-In-One

Plugin: galerie All-In-One
Vulnerabilitate : Admin+ Includere fișier local
Patched în versiunea : 2.5.0
Scor de severitate : scăzut

Vulnerabilitatea este corectată, așa că ar trebui să actualizați la versiunea 2.5.0.

3. StopBadBots

Plugin: StopBadBots
Vulnerabilitate : Scripturi reflectate între site-uri
Patched în versiunea : 6.67
Scor de severitate : critic

Vulnerabilitatea este corectată, așa că ar trebui să actualizați la versiunea 6.67.

4. Conectare temporară fără parolă

Plugin: autentificare temporară fără parolă
Vulnerabilitate : Actualizarea setărilor pentru Abonat+ Plugin
Patched în versiunea : 1.7.1
Scor de severitate : mediu

Vulnerabilitatea este corectată, așa că ar trebui să actualizați la versiunea 1.7.1.

5. ProfilePress

Plugin: ProfilePress
Vulnerabilitate : Scripturi reflectate între site-uri
Patched în versiunea : 3.2.3
Scor de severitate : mediu

Vulnerabilitatea este corectată, așa că ar trebui să actualizați la versiunea 3.2.3.

Plugin: ProfilePress
Vulnerabilitate : Scripturi reflectate între site-uri
Patched în versiunea : 3.2.3
Scor de severitate : mare

Vulnerabilitatea este corectată, așa că ar trebui să actualizați la versiunea 3.2.3.

6. Calendarul de evenimente modern

Plugin: Calendar de evenimente modern
Vulnerabilitate : Injecție SQL neautentificată oarbă
Patched în versiunea : 6.1.5
Scor de severitate : mare

Vulnerabilitatea este corectată, așa că ar trebui să actualizați la versiunea 6.1.5.

Plugin: Calendar de evenimente modern
Vulnerabilitate : Scripturi reflectate între site-uri
Patched în versiunea : 6.1.5
Scor de severitate : mare

Vulnerabilitatea este corectată, așa că ar trebui să actualizați la versiunea 6.1.5.

7. Imagine recomandată automată

Plugin: Imagine recomandată automată
Vulnerabilitate : Scripturi reflectate între site-uri
Patched în versiunea : 3.9.3
Scor de severitate : mediu

Vulnerabilitatea este corectată, așa că ar trebui să actualizați la versiunea 3.9.3.

8. Ultimate NoFollow

Plugin: Ultimate NoFollow
Vulnerabilitate : Contributor+ Stocat Cross-Site Scripting
Corectat în versiune : Nicio remediere cunoscută – pluginul închis
Scor de severitate : mediu

Această vulnerabilitate NU a fost corectată. Acest plugin a fost închis începând cu 28 septembrie 2021. Dezinstalați și ștergeți.

9. Formulare NEX

Plugin: NEX-Forms
Vulnerabilitate : Administrare multiplă+ Scripturi între site-uri stocate
Corectat în versiune : Nicio remediere cunoscută – pluginul închis
Scor de severitate : scăzut

Această vulnerabilitate NU a fost corectată. Acest plugin a fost închis începând cu 4 octombrie 2021. Dezinstalați și ștergeți.

10. SEO Booster

Plugin: SEO Booster
Vulnerabilitate : Admin+ SQL Injection
Corectat în versiune : Nicio remediere cunoscută – pluginul închis
Scor de severitate : mediu

Această vulnerabilitate NU a fost corectată. Acest plugin a fost închis începând cu 5 octombrie 2021. Dezinstalați și ștergeți.

11. Jurnal de sistem WP

Plugin: Jurnal de sistem WP
Vulnerabilitate : Scripturi între site-uri stocate neautentificate
Patched în versiunea : 1.0.21
Scor de severitate : critic

Vulnerabilitatea este corectată, așa că ar trebui să actualizați la versiunea 1.0.21.

12. Rotator de citate inspiraționale

Plugin: Rotator de citate inspirate
Vulnerabilitate : Administrator+ Scripturi între site-uri stocate
Corectat în versiune : Nicio remediere cunoscută – pluginul închis
Scor de severitate : scăzut

Această vulnerabilitate NU a fost corectată. Acest plugin a fost închis începând cu 23 septembrie 2021. Dezinstalați și ștergeți.

13. Exportator Single Post

Plugin: Single Post Exporter
Vulnerabilitate : Actualizarea setărilor pluginului prin CSRF
Corectat în versiune : Nicio remediere cunoscută – pluginul închis
Scor de severitate : mediu

Această vulnerabilitate NU a fost corectată. Acest plugin a fost închis începând cu 23 septembrie 2021. Dezinstalați și ștergeți.

14. Flex Local Fonts

Plugin: Fonturi locale Flex
Vulnerabilitate : Admin+ Stocat Cross-Site-Scripting
Corectat în versiune : Nicio remediere cunoscută – pluginul închis
Scor de severitate : scăzut

Această vulnerabilitate NU a fost corectată. Acest plugin a fost închis începând cu 23 septembrie 2021. Dezinstalați și ștergeți.

15. WP Admin Logo Changer

Plugin: WP Admin Logo Changer
Vulnerabilitate : Actualizarea setărilor pluginului prin CSRF
Corectat în versiune : Nicio remediere cunoscută – pluginul închis
Scor de severitate : mediu

Această vulnerabilitate NU a fost corectată. Acest plugin a fost închis începând cu 4 octombrie 2021. Dezinstalați și ștergeți.

16. Formular de contact Bază de date avansată

Plugin: Formular de contact Bază de date avansată
Vulnerabilitate : Apeluri AJAX neautorizate
Patched in Version : Nicio remediere cunoscută
Scor de severitate : mediu

Acest plugin a fost închis începând cu 27 septembrie 2021 și nu este disponibil pentru descărcare. Această închidere este temporară, în așteptarea unei examinări complete. Vă recomandăm să dezinstalați și să ștergeți până când se găsește o remediere.

17. Butoane strălucitoare

Plugin: Butoane strălucitoare
Vulnerabilitate : Scripturi între site-uri stocate neautentificate
Patched in Version : Nicio remediere cunoscută
Scor de severitate : mare

Acest plugin a fost închis începând cu 27 septembrie 2021 și nu este disponibil pentru descărcare. Această închidere este temporară, în așteptarea unei examinări complete. Vă recomandăm să dezinstalați și să ștergeți până când se găsește o remediere.

18. Filtrare Galerie Portofoliu

Plugin: Filter Portfolio Gallery
Vulnerabilitate : ștergere arbitrară a galeriei prin CSRF
Patched in Version : Nicio remediere cunoscută
Scor de severitate : mediu

Acest plugin a fost închis începând cu 27 septembrie 2021 și nu este disponibil pentru descărcare. Această închidere este temporară, în așteptarea unei examinări complete. Vă recomandăm să dezinstalați și să ștergeți până când se găsește o remediere.

19. Limitele WP

Plugin: WP Limits
Vulnerabilitate : Actualizarea setărilor pluginului prin CSRF
Patched in Version : Nicio remediere cunoscută
Scor de severitate : mediu

Acest plugin a fost închis din 4 octombrie 2021 și nu este disponibil pentru descărcare. Această închidere este temporară, în așteptarea unei examinări complete. Vă recomandăm să dezinstalați și să ștergeți până când se găsește o remediere.

20. Cod scurt pentru conținutul paginii/postării

Plugin: Cod scurt pentru conținutul paginii/postării
Vulnerabilitate : Contributor+ Acces arbitrar la postări/pagini
Patched in Version : Nicio remediere cunoscută
Scor de severitate : mediu

Acest plugin a fost închis din 4 octombrie 2021 și nu este disponibil pentru descărcare. Această închidere este temporară, în așteptarea unei examinări complete. Vă recomandăm să dezinstalați și să ștergeți până când se găsește o remediere.

21. Pagina de includere îmbunătățită

Plugin: Pagina de includere îmbunătățită
Vulnerabilitate : Contributor+ Acces arbitrar la postări/pagini
Patched in Version : Nicio remediere cunoscută
Scor de severitate : mediu

Acest plugin a fost închis începând cu 8 octombrie 2021 și nu este disponibil pentru descărcare. Această închidere este temporară, în așteptarea unei examinări complete. Vă recomandăm să dezinstalați și să ștergeți până când se găsește o remediere.

22. Mediamatic

Plugin: Mediamatic
Vulnerabilitate : Abonat+ SQL Injection
Patched in Version : Nicio remediere cunoscută
Scor de severitate : mare

Acest plugin a fost închis începând cu 11 octombrie 2021 și nu este disponibil pentru descărcare. Această închidere este temporară, în așteptarea unei examinări complete. Vă recomandăm să dezinstalați și să ștergeți până când se găsește o remediere.

23. Afișează metadatele postării

Plugin: Afișează metadatele postării
Vulnerabilitate : Contributor+ Stocat Cross-Site Scripting
Patched in Version : Nicio remediere cunoscută
Scor de severitate : mediu

Acest plugin a fost închis începând cu 21 octombrie 2021 și nu este disponibil pentru descărcare. Această închidere este temporară, în așteptarea unei examinări complete. Vă recomandăm să dezinstalați și să ștergeți până când se găsește o remediere.

24. Top Link

Plugin: Link Top
Vulnerabilitate : Injectare de obiecte PHP neautentificate
Patched in Version : Nicio remediere cunoscută
Scor de severitate : mediu

Acest plugin a fost închis începând cu 21 octombrie 2021 și nu este disponibil pentru descărcare. Această închidere este temporară, în așteptarea unei examinări complete. Vă recomandăm să dezinstalați și să ștergeți până când se găsește o remediere.

25. Meta scurtcode ale utilizatorului

Plugin: User Meta Shortcodes
Vulnerabilitate : Contributor+ Acces arbitrar neautorizat la metadate ale utilizatorului
Patched in Version : Nicio remediere cunoscută
Scor de severitate : mare

Acest plugin a fost închis începând cu 12 octombrie 2021 și nu este disponibil pentru descărcare. Această închidere este temporară, în așteptarea unei examinări complete. Vă recomandăm să dezinstalați și să ștergeți până când se găsește o remediere.

26. Colectia Citate

Plugin: colecție de citate
Vulnerabilitate : Admin+ SQL Injection
Patched in Version : Nicio remediere cunoscută
Scor de severitate : mediu

Acest plugin a fost închis începând cu 13 octombrie 2021 și nu este disponibil pentru descărcare. Această închidere este temporară, în așteptarea unei examinări complete. Vă recomandăm să dezinstalați și să ștergeți până când se găsește o remediere.

27. Notificări push pentru WordPress (Lite)

Plugin: Notificări push pentru WordPress (Lite)
Vulnerabilitate : Actualizarea setărilor prin CSRF
Patched în versiunea : 6.0.1
Scor de severitate : mediu

Vulnerabilitatea este corectată, așa că ar trebui să actualizați la versiunea 6.0.1.

28. SportsPress

Plugin: SportsPress
Vulnerabilitate : Scripturi reflectate între site-uri
Patched în versiunea : 2.7.9
Scor de severitate : mare

Vulnerabilitatea este corectată, așa că ar trebui să actualizați la versiunea 2.7.9.

29. Autentificare/Înregistrare Popup

Plugin: Popup de conectare/înregistrare
Vulnerabilitate : Scripturi reflectate între site-uri
Patched în versiunea : 2.2
Scor de severitate : mare

Vulnerabilitatea este corectată, așa că ar trebui să actualizați la versiunea 2.2.

30. Previzualizează e-mailurile pentru WooCommerce

Plugin: previzualizați e-mailurile pentru WooCommerce
Vulnerabilitate : Scripturi reflectate între site-uri
Patched în versiunea : 2.0.0
Scor de severitate : mediu

Vulnerabilitatea este corectată, așa că ar trebui să actualizați la versiunea 3.0.0.5.

31. WP User Frontend

Plugin: WP User Frontend
Vulnerabilitate : Plugin de membru, profil, înregistrare și trimitere post pentru WordPress
Patched în versiunea : 3.5.25
Scor de severitate : mediu

Vulnerabilitatea este corectată, așa că ar trebui să actualizați la versiunea 3.5.25.

32. Directorist – Business Directory Plugin

Plugin: Directorist – Plugin pentru directorul de afaceri
Vulnerabilitate : CSRF la încărcarea fișierelor de la distanță
Patched în versiunea : 7.0.6.2
Scor de severitate : critic

Vulnerabilitatea este corectată, așa că ar trebui să actualizați la versiunea 7.0.6.2.

33. Formulare ușoare de înregistrare

Plugin: Formulare ușoare de înregistrare
Vulnerabilitate : CSRF la Scripturi stocate între site-uri
Patched in Version : Nicio remediere cunoscută
Scor de severitate : mare

Acest plugin a fost închis începând cu 12 noiembrie 2021 și nu este disponibil pentru descărcare. Această închidere este temporară, în așteptarea unei examinări complete. Vă recomandăm să dezinstalați și să ștergeți până când se găsește o remediere.

34. WP Reset Pro

Plugin: WP Reset Pro
Vulnerabilitate : Abonat+ Resetare baze de date
Patched în versiunea : 5.99
Scor de severitate : critic

Vulnerabilitatea este corectată, așa că ar trebui să actualizați la versiunea 5.99.

Plugin: WP Reset Pro
Vulnerabilitate : Resetarea bazei de date prin CSRF
Patched în versiunea : 5.99
Scor de severitate : critic

Vulnerabilitatea este corectată, așa că ar trebui să actualizați la versiunea 5.99.

35. WordPress + Microsoft Office 365

Plugin: WordPress + Microsoft Office 365
Vulnerabilitate : Scripturi între site-uri stocate neautentificate
Patched în versiunea : 15.4
Scor de severitate : critic

Vulnerabilitatea este corectată, așa că ar trebui să actualizați la versiunea 15.4.

36. Postare duplicat

Plugin: Postare duplicată
Vulnerabilitate : Injecție SQL autentificată
Patched în versiunea : 1.2.0
Scor de severitate : mediu

Vulnerabilitatea este corectată, așa că ar trebui să actualizați la versiunea 1.2.0.

37. Migrare de rezervă

Plugin: Migrare de rezervă
Vulnerabilitate : Administrator+ Scripturi între site-uri stocate
Patched în versiunea : 1.1.6
Scor de severitate : mediu

Vulnerabilitatea este corectată, așa că ar trebui să actualizați la versiunea 1.1.6.

Cum să vă protejați site-ul WordPress de pluginuri și teme vulnerabile

După cum puteți vedea din acest raport, o mulțime de noi vulnerabilități ale pluginurilor WordPress și temelor sunt dezvăluite în fiecare săptămână. Știm că poate fi dificil să rămâi la curent cu fiecare dezvăluire a vulnerabilităților raportate, așa că pluginul iThemes Security Pro vă ajută să vă asigurați că site-ul dvs. nu rulează o temă, un plugin sau o versiune de bază WordPress cu o vulnerabilitate cunoscută.

1. Instalați pluginul iThemes Security Pro

Pluginul iThemes Security Pro întărește site-ul dvs. WordPress împotriva celor mai comune moduri prin care site-urile web sunt piratate. Cu peste 30 de moduri de a vă securiza site-ul într-un singur plugin ușor de utilizat.

2. Activați scanarea site-ului pentru a verifica dacă există vulnerabilități cunoscute

Funcția de gestionare a versiunilor din iThemes Security Pro se integrează cu Scanarea site-ului pentru a vă proteja site-ul. Temele vulnerabile, pluginurile și versiunile de bază WordPress vor fi actualizate automat pentru dvs.

3. Monitorizați modificările fișierelor

Cheia pentru identificarea rapidă a unei breșe de securitate este monitorizarea modificărilor fișierelor de pe site-ul dvs. Funcția de detectare a modificării fișierelor din iThemes Security Pro va scana fișierele site-ului dvs. web și vă va avertiza când apar modificări pe site-ul dvs.

Obțineți iThemes Security Pro cu monitorizarea securității site-ului web 24/7

iThemes Security Pro, pluginul nostru de securitate WordPress, oferă peste 50 de moduri de a vă securiza și proteja site-ul dvs. de vulnerabilități obișnuite de securitate WordPress. Cu WordPress, autentificare în doi factori, protecție împotriva forței brute, aplicare puternică a parolelor și multe altele, puteți adăuga straturi suplimentare de securitate site-ului dvs.

  • Scaner de site-uri pentru vulnerabilitățile de plugin și teme
  • Detectarea modificării fișierelor
  • Tabloul de bord pentru securitatea site-ului în timp real
  • Jurnalele de securitate WordPress
  • Dispozitive de încredere
  • reCAPTCHA
  • Protecție cu forța brută
  • Autentificare cu doi factori
  • Link-uri de conectare magice
  • Privilegiul escaladării
  • Verificarea și refuzul parolelor compromise

Economisiți 40% reducere iThemes Security Pro