Отчет об уязвимостях WordPress: декабрь 2021 г., часть 1
Опубликовано: 2021-12-02Уязвимые плагины и темы — причина №1 взлома сайтов WordPress. Еженедельный отчет об уязвимостях WordPress, подготовленный WPScan, охватывает последние уязвимости плагинов, тем и ядер WordPress, а также информацию о том, что делать, если вы запускаете один из уязвимых плагинов или тем на своем веб-сайте.
Каждая уязвимость будет иметь уровень серьезности Низкий , Средний , Высокий или Критический . Ответственное раскрытие уязвимостей и сообщение об уязвимостях — неотъемлемая часть обеспечения безопасности сообщества WordPress.
Пожалуйста, поделитесь этой записью со своими друзьями, чтобы помочь распространить информацию и сделать WordPress более безопасным для всех.
Хостинг WordPress: GoDaddy взломан
В раскрытии информации о безопасности, опубликованном 21 ноября 2021 года, GoDaddy сообщает, что до 1,2 миллиона активных и неактивных клиентов были раскрыты после того, как хакеры получили доступ к ее управляемой платформе хостинга WordPress.
Мы написали пост, чтобы раскрыть некоторые детали недавнего взлома GoDaddy, как он повлиял на клиентов, а также наши рекомендации о том, что делать, если вы являетесь клиентом хостинга WordPress в GoDaddy.
Уязвимости ядра WordPress
Последняя версия ядра WordPress — 5.8.2. Рекомендуется всегда использовать последнюю версию ядра WordPress!
Уязвимости плагинов WordPress
В этом разделе были раскрыты последние уязвимости плагинов WordPress. Список каждого подключаемого модуля включает тип уязвимости, номер версии, если она исправлена, и рейтинг серьезности.
1. Карусель логотипов
Плагин: Карусель логотипов
Уязвимость : Contributor+ Сохраненный межсайтовый скриптинг
Исправлено в версии : 3.4.2
Оценка серьезности : средняя
Плагин: Карусель логотипов
Уязвимость : несанкционированный доступ к приватным сообщениям
Исправлено в версии : 3.4.2
Оценка серьезности : средняя
2. Статус пользовательского заказа Ni WooCommerce
Плагин: Статус пользовательского заказа Ni WooCommerce
Уязвимость : подписчик + SQL-инъекция
Исправлено в версии : 1.9.7
Оценка серьезности : высокая
3. ВКФМ
Плагин: WCFM
Уязвимость : SQL-инъекция без проверки подлинности
Исправлено в версии : 3.4.12
Оценка серьезности : высокая
4. Формы Эвереста
Плагин: Формы Эвереста
Уязвимость : отраженный межсайтовый скриптинг
Исправлено в версии : 1.8.0
Оценка серьезности : средняя
5. Статистика посетителей WP (трафик в реальном времени)
Плагин: Статистика посетителей WP (трафик в реальном времени)
Уязвимость : подписчик + SQL-инъекция
Исправлено в версии : 4.8
Оценка серьезности : высокая
6. Благотворительные пожертвования
Плагин: Пожертвования премий
Уязвимость : произвольное удаление элементов через CSRF
Исправлено в версии : 3.1.2
Оценка серьезности : высокая
7. Айсграмм
Плагин: Icegram
Уязвимость : отраженный межсайтовый скриптинг
Исправлено в версии : 2.0.5
Оценка серьезности : средняя
8. Blog2Social
Плагин: Blog2Social
Уязвимость : отраженный межсайтовый скриптинг
Исправлено в версии : 6.8.7
Оценка серьезности : высокая
9. Платное членство Pro
Плагин: Платное членство Pro
Уязвимость : отраженный межсайтовый скриптинг
Исправлено в версии : 2.6.6
Оценка серьезности : высокая
10. Редактор ролей пользователей WPFront
Плагин: Редактор ролей пользователей WPFront
Уязвимость : отраженный межсайтовый скриптинг
Исправлено в версии : 3.2.1.11184
Оценка серьезности : средняя
11. Тикера
Плагин: Тикера
Уязвимость : неаутентифицированный сохраненный межсайтовый скриптинг
Исправлено в версии : 3.4.8.3
Оценка серьезности : высокая
12. ВП Гуппи
Плагин: WP Гуппи
Уязвимость : раскрытие конфиденциальной информации
Исправлено в версии : 1.3
Оценка серьезности : высокая
13. Простой вход в JWT
Плагин: Простой вход в JWT
Уязвимость : небезопасное создание пароля
Исправлено в версии : 3.3.0
Оценка серьезности : низкая
14. мой КРЕД
Плагин: myCRED
Уязвимость : отраженный межсайтовый скриптинг
Исправлено в версии : 1.7.8
Оценка серьезности : высокая
15. Скрыть мой рабочий стол
Плагин: Скрыть мой WP
Уязвимость : деактивация плагина без аутентификации
Исправлено в версии : 6.2.4
Оценка серьезности : средняя
Плагин: Скрыть мой WP
Уязвимость : SQL-инъекция без проверки подлинности
Исправлено в версии : 6.2.4
Оценка серьезности : высокая
16. Потрясающая поддержка — WordPress HelpDesk и плагин поддержки
Плагин: Awesome Support — WordPress HelpDesk & Support Plugin
Уязвимость : отраженный межсайтовый скриптинг
Исправлено в версии : 6.0.7
Оценка серьезности : высокая
17. Отображение метаданных поста
Плагин: отображение метаданных поста
Уязвимость : Contributor+ Сохраненный межсайтовый скриптинг
Исправлено в версии : 1.5.0
Оценка серьезности : средняя
18. Плавающая иконка социальных сетей
Плагин: плавающая иконка социальных сетей
Уязвимость : межсайтовый скриптинг, хранимый администратором+
Версия исправлена : неизвестное исправление — плагин закрыт
Оценка серьезности : низкая
19. Гволле гостевая книга
Плагин: гостевая книга Gwolle
Уязвимость : отраженный межсайтовый скриптинг
Исправлено в версии : 4.2.0
Оценка серьезности : средняя
Как защитить свой сайт WordPress от уязвимых плагинов и тем
Как видно из этого отчета, каждую неделю раскрывается множество новых уязвимостей плагинов и тем WordPress. Мы знаем, что может быть сложно оставаться в курсе всех обнаруженных уязвимостей, поэтому плагин iThemes Security Pro позволяет легко убедиться, что на вашем сайте не используется тема, плагин или основная версия WordPress с известной уязвимостью.
1. Установите плагин iThemes Security Pro.
Плагин iThemes Security Pro защищает ваш сайт WordPress от наиболее распространенных способов взлома веб-сайтов. Более 30 способов защитить ваш сайт в одном простом в использовании плагине.
2. Включите сканирование сайта для проверки на наличие известных уязвимостей.
Функция управления версиями в iThemes Security Pro интегрируется со сканированием сайта для защиты вашего сайта. Уязвимые темы, плагины и основные версии WordPress будут автоматически обновлены для вас.
3. Активируйте обнаружение изменения файла
Ключом к быстрому обнаружению нарушения безопасности является отслеживание изменений файлов на вашем веб-сайте. Функция обнаружения изменений файлов в iThemes Security Pro будет сканировать файлы вашего веб-сайта и предупреждать вас, когда на вашем веб-сайте происходят изменения.
Получите iThemes Security Pro с круглосуточным мониторингом безопасности сайта
iThemes Security Pro, наш плагин безопасности WordPress, предлагает более 50 способов защитить ваш сайт от распространенных уязвимостей безопасности WordPress. Благодаря WordPress, двухфакторной аутентификации, защите от грубой силы, надежному принудительному использованию паролей и многим другим вы можете добавить дополнительные уровни безопасности на свой веб-сайт.
