Raport de vulnerabilitate WordPress: octombrie 2021, partea 2
Publicat: 2021-10-13Pluginurile și temele vulnerabile sunt principalul motiv pentru care site-urile WordPress sunt sparte. Raportul săptămânal de vulnerabilitate WordPress dezvoltat de WPScan acoperă plugin-ul WordPress recent, tema și vulnerabilitățile principale și ce trebuie să faceți dacă rulați unul dintre pluginurile sau temele vulnerabile de pe site-ul dvs. web.
Fiecare vulnerabilitate va avea un rating de severitate scăzut , mediu , ridicat sau critic . Dezvăluirea și raportarea responsabilă a vulnerabilităților este o parte integrantă a menținerii în siguranță a comunității WordPress.
Vă rugăm să împărtășiți această postare prietenilor dvs. pentru a ajuta la difuzarea cuvântului și pentru a face WordPress mai sigur pentru toată lumea.
Vulnerabilitățile de bază ale WordPress
Cea mai recentă versiune de nucleu WordPress este 5.8.1 a fost lansată ca o versiune de securitate și întreținere. Ca cea mai bună practică, asigurați-vă întotdeauna că rulați cea mai recentă versiune de bază WordPress!
Vulnerabilități în pluginul WordPress
În această secțiune, au fost dezvăluite cele mai recente vulnerabilități ale pluginului WordPress. Fiecare listă de plugin include tipul de vulnerabilitate, numărul versiunii, dacă este corectat și gradul de severitate.
1. Butonul ușor PayPal Cumpără acum
Plugin: Buton PayPal ușor Cumpără acum
Vulnerabilitate : CSRF la Scripturi stocate între site-uri
Patched în versiunea : 1.7.3
Scor de severitate : mare
2. Evenimente simplificate
Plugin: Evenimente simplificate
Vulnerabilitate : Administrator+ Scripturi între site-uri stocate
Patched în versiunea : 2.2.24
Scor de severitate : scăzut
3. BP Better Messages
Plugin: BP Better Messages
Vulnerabilitate : Scripturi reflectate între site-uri
Patched în versiunea : 1.9.9.41
Scor de severitate : mare
Plugin: BP Better Messages
Vulnerabilitate : CSRF multiple
Patched în versiunea : 1.9.9.41
Scor de severitate : mediu
4. Themify Builder
Plugin: Themify Builder
Vulnerabilitate : Scripturi reflectate între site-uri
Patched în versiunea : 5.3.2
Scor de severitate : mare
5. Antetul de expirare a viitorului îndepărtat
Plugin: antet de expirare a viitorului îndepărtat
Vulnerabilitate : Actualizarea setărilor pluginului prin CSRF
Patched în versiunea : 1.5
Scor de severitate : mediu
6. Controlul sursei imaginii
Plugin: Controlul sursei imaginii
Vulnerabilitate : Contributor+ Modificare arbitrară a metavalorii postării
Patched în versiunea : 2.3.1
Scor de severitate : mediu
7. Logo Slider și Showcase
Plugin: Logo Slider și Showcase
Vulnerabilitate : Actualizarea setărilor pentru pluginul editorului
Patched în versiunea : 1.3.37
Scor de severitate : scăzut
8. Cardinity Payment Gateway pentru WooCommerce
Plugin: Cardinity Payment Gateway pentru WooCommerce
Vulnerabilitate : Scripturi reflectate între site-uri
Patched în versiunea : 3.0.7
Scor de severitate : mare
9. Player audio MP3 pentru muzică, radio și podcast de la Sonaar
Plugin: player audio MP3 pentru muzică, radio și podcast de la Sonaar
Vulnerabilitate : Administrare multiplă+ Scripturi încrucișate
Patched în versiunea : 2.4.2
Scor de severitate : scăzut
10. Donație Paypal
Plugin: donație Paypal
Vulnerabilitate : CSRF la Ștergerea Arbitrară Postă
Patched în versiunea : 1.3.1
Scor de severitate : mediu
Plugin: donație Paypal
Vulnerabilitate : CSRF la Scripturi stocate între site-uri
Patched în versiunea : 1.3.1
Scor de severitate : mare
11. În curând, în modul de construcție și întreținere de Dazzler
Plugin: În curând, în mod de construcție și întreținere de Dazzler
Vulnerabilitate : Administrator+ Scripturi între site-uri stocate
Patched în versiunea : 1.6.7
Scor de severitate : scăzut
12. Traduceți WordPress – Google Language Translator
Plugin: Traduceți WordPress – Google Language Translator
Vulnerabilitate : Administrator+ Scripturi între site-uri stocate
Patched în versiunea : 6.0.12
Scor de severitate : scăzut
13. Asistent de produs Booking.com
Plugin: Asistent de produs Booking.com
Vulnerabilitate : Administrator+ Scripturi între site-uri stocate
Corectat în versiune : Nicio remediere cunoscută – pluginul închis
Scor de severitate : scăzut
14. Creator de bannere Booking.com
Plugin: Booking.com Banner Creator
Vulnerabilitate : Administrator+ Scripturi între site-uri stocate
Corectat în versiune : Nicio remediere cunoscută – pluginul închis
Scor de severitate : scăzut
15. Monitor de descărcare simplă
Plugin: Monitor de descărcare simplă
Vulnerabilitate : Resetare neautorizată a jurnalului
Patched în versiunea : 3.9.6
Scor de severitate : mediu
Plugin: Monitor de descărcare simplă
Vulnerabilitate : Eliminarea arbitrară a miniaturilor
Patched în versiunea : 3.9.6
Scor de severitate : mediu
Plugin: Monitor de descărcare simplă
Vulnerabilitate : Acces neautentificat în jurnal
Patched în versiunea : 3.9.6
Scor de severitate : mediu
Plugin: Monitor de descărcare simplă
Vulnerabilitate : Scripturi reflectate între site-uri
Patched în versiunea : 3.9.5
Scor de severitate : mare
Plugin: Monitor de descărcare simplă
Vulnerabilitate : Contributor+ Stocat Cross-Site Scripting prin miniatură de fișier
Patched în versiunea : 3.9.5
Scor de severitate : mare
16. Chat bidirecțional
Plugin: Chat bidirecțional
Vulnerabilitate : CSRF multiple
Patched în versiunea : 3.1.5
Scor de severitate : mediu
Plugin: Chat bidirecțional
Vulnerabilitate : Admin+ Includere fișier local
Patched în versiunea : 3.1.5
Scor de severitate : scăzut
17. WP-Recall
Plugin: WP-Recall
Vulnerabilitate : Scripturi reflectate între site-uri
Patched în versiunea : 16.24.48
Scor de severitate : mare
18. JobSearch WP Job Board
Plugin: JobSearch WP Job Board
Vulnerabilitate : Abonat+ Actualizare opțiuni arbitrare pentru blog
Patched în versiunea : 1.8.2
Scor de severitate : mare
Plugin: JobSearch WP Job Board
Vulnerabilitate : Actualizarea setărilor pluginului neautentificat
Patched în versiunea : 1.8.2
Scor de severitate : mediu
Plugin: JobSearch WP Job Board
Vulnerabilitate : Abonat+ Adăugați/Actualizați programarea apelurilor
Patched în versiunea : 1.8.2
Scor de severitate : mediu
19. Coșul de cumpărături TheCartPress eCommerce
Plugin: Coșul de cumpărături TheCartPress eCommerce
Vulnerabilitate : CSRF la Scripturi stocate între site-uri
Corectat în versiune : Nicio remediere cunoscută – pluginul închis
Scor de severitate : mare
20. MStore API
Plugin: MStore API
Vulnerabilitate : Încărcare fișier PHP neautentificat
Corectat în versiune : Nicio remediere cunoscută – pluginul închis
Scor de severitate : critic
21. Redenumire fișier media – Redenumire automată și manuală
Plugin: Redenumire fișier media – Redenumire automată și manuală
Vulnerabilitate : Titlul media/Numele fișierului/Actualizarea stării de blocare prin CSRF
Patched în versiunea : 5.2.7
Scor de severitate : mediu
22. Lot Cat
Plugin: Lot Cat
Vulnerabilitate : Abonat+ Categorii arbitrare Adăugați/Setați/Ștergeți la postări
Corectat în versiune : Nicio remediere cunoscută – pluginul închis
Scor de severitate : mediu
23. qTraduceți X
Plugin: qTranslate X
Vulnerabilitate : Administrare multiplă+ Scripturi între site-uri stocate
Corectat în versiune : Nicio remediere cunoscută – pluginul închis
Scor de severitate : scăzut
24. World Travel Information
Plugin: World Travel Information
Vulnerabilitate : Scripturi reflectate între site-uri
Corectat în versiune : Nicio remediere cunoscută – pluginul închis
Scor de severitate : mare
25. WP Survey Plus
Plugin: WP Survey Plus
Vulnerabilitate : Abonat+ Apeluri AJAX
Corectat în versiune : Nicio remediere cunoscută – pluginul închis
Scor de severitate : mare
26. Pagina WP Sitemap
Plugin: Pagina WP Sitemap
Vulnerabilitate : Administrator+ Stocat Cross Site Scripting
Patched in Version : Nicio remediere cunoscută
Scor de severitate : scăzut
27. WP Bannerize 2.0.0
Plugin: WP Bannerize 2.0.0
Vulnerabilitate : Injecție SQL autentificată
Corectat în versiune : Nicio remediere cunoscută – pluginul închis
Scor de severitate : mare
28. Genie WP Favicon
Plugin: Genie WP Favicon
Vulnerabilitate : modificare arbitrară a faviconului prin CSRF
Corectat în versiune : Nicio remediere cunoscută – pluginul închis
Scor de severitate : mediu
29. Redenumirea Phoenix Media
Plugin: Redenumire Phoenix Media
Vulnerabilitate : Redenumire arbitrară a fișierelor media
Patched în versiunea : 3.4.4
Scor de severitate : mediu
30. Statistici în timp real privind traficul vizitatorilor
Plugin: Statistici în timp real privind traficul vizitatorilor
Vulnerabilitate : Abonat+ SQL Injection
Patched în versiunea : 3.9
Scor de severitate : mare
31. Butoanele AddToAny Share
Plugin: butoane de partajare AddToAny
Vulnerabilitate : Administrator+ Scripturi între site-uri stocate
Patched în versiunea : 1.7.48
Scor de severitate : scăzut
32. Formidabil Form Builder
Plugin: Formidable Form Builder
Vulnerabilitate : Administrator+ Scripturi între site-uri stocate
Patched în versiunea : 5.0.07
Scor de severitate : scăzut
33. Securitate BulletProof
Plugin: BulletProof Security
Vulnerabilitate : Dezvăluirea informațiilor sensibile
Patched în versiunea : 5.2
Scor de severitate : mediu
34. WP All Export
Plugin: WP All Export
Vulnerabilitate : Administrator+ Scripturi între site-uri stocate
Patched în versiunea : 1.3.1
Scor de severitate : scăzut
35. Redirecționați pagina de eroare 404 către pagina de pornire sau pagina personalizată cu jurnalele
Plugin: redirecționează pagina de eroare 404 către pagina de pornire sau pagina personalizată cu jurnalele
Vulnerabilitate : Ștergerea jurnalului prin CSRF
Patched în versiunea : 1.7.9
Scor de severitate : mediu
36. Accesați Demo Importer
Plugin: Accesați Importatorul Demo
Vulnerabilitate : Abonat+ Încărcare arbitrară de fișiere
Patched în versiunea : 1.0.7
Scor de severitate : mare
37. Descărcați Monitor
Plugin: Descărcați Monitor
Vulnerabilitate : Descărcare neautentificată a jurnalelor
Patched în versiunea : 1.9.7
Scor de severitate : mediu
Plugin: Descărcați Monitor
Vulnerabilitate : Reflected Cross-Site Scripting (XSS)
Patched în versiunea : 1.7.1
Scor de severitate : mediu
Plugin: Descărcați Monitor
Vulnerabilitate : Listare de director autentificată
Patched în versiunea : 1.6.4
Scor de severitate : mediu
Plugin: Descărcați Monitor
Vulnerabilitate : Scripturi multiple reflectate între site-uri
Patched în versiunea : 3.3.6.2
Scor de severitate : mediu
38. PopU-uri nelimitate
Plugin: popU-uri nelimitate
Vulnerabilitate : Autor+ Injecție SQL
Corectat în versiune : Nicio remediere cunoscută – pluginul închis
Scor de severitate : mare
39. Schreikasten
Plugin: Schreikasten
Vulnerabilitate : autor+ injecții SQL
Corectat în versiune : Nicio remediere cunoscută – pluginul închis
Scor de severitate : mare
40. Postați conținut XMLRPC
Plugin: Postați conținut XMLRPC
Vulnerabilitate : autor+ injecții SQL
Corectat în versiune : Nicio remediere cunoscută – pluginul închis
Scor de severitate : mare
41. Forme Wow
Plugin: Formulare Wow
Vulnerabilitate : autor+ injecții SQL
Corectat în versiune : Nicio remediere cunoscută – pluginul închis
Scor de severitate : mare
42. Auto-Hyperlink
Plugin: G Auto-Hyperlink
Vulnerabilitate : Autor+ Injecție SQL
Corectat în versiune : Nicio remediere cunoscută – pluginul închis
Scor de severitate : mediu
43. Cameleon CSS
Plugin: Chameleon CSS
Vulnerabilitate : Abonat+ SQL Injection
Corectat în versiune : Nicio remediere cunoscută – pluginul închis
Scor de severitate : critic
44. Catalog Păianjen
Plugin: SpiderCatalog
Vulnerabilitate : Autor+ Injecție SQL
Corectat în versiune : Nicio remediere cunoscută – pluginul închis
Scor de severitate : mediu
45. Consiliu de sprijin
Plugin: Placă de suport
Vulnerabilitate : Agent+ Stocat Cross-Site Scripting
Patched în versiunea : 3.3.5
Scor de severitate : mediu
46. Poarta Vârstei
Plugin: Age Gate
Vulnerabilitate : Scripturi între site-uri stocate autentificate
Patched în versiunea : 2.16.4
Scor de severitate : mediu
47. Postări legate de inline
Plugin: postări legate de inline
Vulnerabilitate : Administrator+ Cross-Site Scripting
Patched în versiunea : 3.0.5
Scor de severitate : scăzut
Cum să vă protejați site-ul WordPress de pluginuri și teme vulnerabile
După cum puteți vedea din acest raport, o mulțime de noi vulnerabilități ale pluginurilor WordPress și temelor sunt dezvăluite în fiecare săptămână. Știm că poate fi dificil să rămâi la curent cu fiecare dezvăluire a vulnerabilităților raportate, așa că pluginul iThemes Security Pro vă ajută să vă asigurați că site-ul dvs. nu rulează o temă, un plugin sau o versiune de bază WordPress cu o vulnerabilitate cunoscută.
1. Scanați pentru vulnerabilități cunoscute ale site-urilor web
Pluginul iThemes Security Pro scanează pentru principalul motiv pentru care site-urile WordPress sunt sparte: pluginuri învechite și teme cu vulnerabilități cunoscute.
2. Actualizare automată la versiuni sigure
Funcția de gestionare a versiunilor din iThemes Security Pro se integrează cu Scanarea site-ului pentru a vă proteja site-ul. Temele vulnerabile, pluginurile și versiunile de bază WordPress vor fi actualizate automat pentru dvs.
3. Monitorizați modificările fișierelor
Cheia pentru identificarea rapidă a unei breșe de securitate este monitorizarea modificărilor fișierelor de pe site-ul dvs. Funcția de detectare a modificării fișierelor din iThemes Security Pro va scana fișierele site-ului dvs. web și vă va avertiza când apar modificări pe site-ul dvs.
Obțineți iThemes Security Pro cu monitorizarea site-ului web 24/7
iThemes Security Pro, pluginul nostru de securitate WordPress, oferă peste 50 de moduri de a vă securiza și proteja site-ul dvs. de vulnerabilități obișnuite de securitate WordPress. Cu WordPress, autentificare în doi factori, protecție împotriva forței brute, aplicare puternică a parolelor și multe altele, puteți adăuga straturi suplimentare de securitate site-ului dvs.