Отчет об уязвимостях WordPress: декабрь 2021 г., часть 2

Опубликовано: 2021-12-15

Уязвимые плагины и темы — причина №1 взлома сайтов WordPress. Еженедельный отчет об уязвимостях WordPress, подготовленный WPScan, охватывает последние уязвимости плагинов, тем и ядер WordPress, а также информацию о том, что делать, если вы запускаете один из уязвимых плагинов или тем на своем веб-сайте.

Каждая уязвимость будет иметь уровень серьезности Низкий , Средний , Высокий или Критический . Ответственное раскрытие уязвимостей и сообщение об уязвимостях — неотъемлемая часть обеспечения безопасности сообщества WordPress.

Пожалуйста, поделитесь этой записью со своими друзьями, чтобы помочь распространить информацию и сделать WordPress более безопасным для всех.

Хотите, чтобы этот отчет доставлялся на ваш почтовый ящик каждую неделю?

Подпишитесь на еженедельную рассылку

Новости WordPress: утечка данных Gravatar

На этой неделе Gravatar, глобальный сервис уникальных аватаров, был взломан, хотя Gravatar уверяет, что взлома не было.

Привет всем, мы хотели бы подтвердить, что Gravatar не был взломан и никакие протоколы безопасности не были нарушены — для получения дополнительной информации посетите: https://t.co/hhIQQ5WWKt
— Gravatar.com (@gravatar) 7 декабря 2021 г.

Данные были скопированы, что не является нарушением, поскольку пароли и другая личная информация не были украдены. Вместо этого общедоступная информация была собрана способом, который обычно нелегко получить. Теоретически кто-то должен знать имя пользователя Gravatar, чтобы получить доступ к адресу электронной почты этого пользователя. Скрапинг позволил злоумышленнику одновременно загрузить имена пользователей и электронные письма.

Уязвимости ядра WordPress

Последняя версия ядра WordPress — 5.8.2. Рекомендуется всегда использовать последнюю версию ядра WordPress!

Уязвимости плагинов WordPress

В этом разделе были раскрыты последние уязвимости плагинов WordPress. Список каждого подключаемого модуля включает тип уязвимости, номер версии, если она исправлена, и рейтинг серьезности.

1. Менеджер мероприятий

Плагин: Менеджер событий
Уязвимость : Admin+ SQL Injection
Исправлено в версии : 5.9.8
Оценка серьезности : средняя

Уязвимость исправлена, поэтому вам следует обновиться до версии 5.9.8.

Плагин: Менеджер событий
Уязвимость : межсайтовый скриптинг (XSS)
Исправлено в версии : 5.9.8
Оценка серьезности : низкая

Уязвимость исправлена, поэтому вам следует обновиться до версии 5.9.8.

2. Богатые отзывы от Starfish

Плагин: Богатые обзоры от Starfish
Уязвимость : Admin+ SQL Injection
Исправлено в версии : 1.9.6
Оценка серьезности : средняя

Уязвимость исправлена, поэтому вам следует обновиться до версии 1.9.6.

3. Типбот

Плагин: Типбот
Уязвимость : Сохраненный межсайтовый скриптинг Admin+
Исправлено в версии : 1.4.3
Оценка серьезности : низкая

Уязвимость исправлена, поэтому следует обновиться до версии 1.4.3.

4. Контактная форма и конструктор форм для лидов

Плагин: Contact Form и Lead Form Elementor Builder
Уязвимость : неаутентифицированный сохраненный межсайтовый скриптинг
Исправлено в версии : 1.6.4
Оценка серьезности : высокая

Уязвимость исправлена, поэтому вам следует обновиться до версии 1.6.4.

5. Менеджер загрузки

Плагин: Менеджер загрузок
Уязвимость : подписчик + хранимый межсайтовый скриптинг
Исправлено в версии : 3.2.22
Оценка серьезности : высокая

Уязвимость исправлена, поэтому вам следует обновиться до версии 3.2.22.

6. WP RSS-агрегатор

Плагин: Абонент + Сохраненный межсайтовый скриптинг
Уязвимость : Admin+ SQL Injection
Исправлено в версии : 4.19.3
Оценка серьезности : высокая

Уязвимость исправлена, поэтому вам следует обновиться до версии 4.19.3.

7. Buttonizer — интеллектуальная плавающая кнопка действия

Плагин: Buttonizer — умная плавающая кнопка действия
Уязвимость : межсайтовый скриптинг, хранимый администратором+
Исправлено в версии : 2.5.5
Оценка серьезности : низкая

Уязвимость исправлена, поэтому вам следует обновиться до версии 2.5.5.

8. Журналирование почты WP

Плагин: Ведение почты WP
Уязвимость : устаревшая среда Redux
Исправлено в версии : 1.10.0
Оценка серьезности : средняя

Уязвимость исправлена, поэтому вам следует обновиться до версии 1.10.0.

9. Стетик

Плагин: Stetic
Уязвимость : CSRF для сохраненных межсайтовых сценариев
Версия исправлена : неизвестное исправление — плагин закрыт
Оценка серьезности : высокая

Эта уязвимость НЕ была исправлена. Этот плагин был закрыт 20 ноября 2021 г. Удалите и удалите.

10. Контактная форма с капчей

Плагин: контактная форма с капчей
Уязвимость : CSRF для сохраненных межсайтовых сценариев
Версия исправлена : неизвестное исправление — плагин закрыт
Оценка серьезности : высокая

Эта уязвимость НЕ была исправлена. Этот плагин был закрыт 26 ноября 2021 г. Удалите и удалите.

11. Потрясающая поддержка

Плагин: Потрясающая поддержка
Уязвимость : отраженный межсайтовый скриптинг
Исправлено в версии : 6.0.7
Оценка серьезности : высокая

Уязвимость исправлена, поэтому вам следует обновиться до версии 6.0.7.

12. Форумы Асгароса

Плагин: Форумы Asgaros
Уязвимость : межсайтовый скриптинг, хранимый администратором+
Исправлено в версии : 1.15.14
Оценка серьезности : низкая

Уязвимость исправлена, поэтому вам следует обновиться до версии 1.15.14.

13. Кэш LiteSpeed

Плагин: LiteSpeed Cache
Уязвимость : обход проверки IP-адреса для неаутентифицированного сохраненного XSS
Исправлено в версии : 4.4.4
Оценка серьезности : высокая

Уязвимость исправлена, поэтому следует обновиться до версии 4.4.4.

Плагин: LiteSpeed Cache
Уязвимость : межсайтовый скриптинг, отраженный администратором+
Исправлено в версии : 4.4.4
Оценка серьезности : высокая

Уязвимость исправлена, поэтому следует обновиться до версии 4.4.4.

14. Видеоконференции с Zoom

Плагин: Видеоконференции с Zoom
Уязвимость : отраженный межсайтовый скриптинг
Исправлено в версии : 3.8.16
Оценка серьезности : высокая

Уязвимость исправлена, поэтому вам следует обновиться до версии 3.8.16.

15. Бустер для Woocommerce

Плагин: Booster для Woocommerce
Уязвимость : отражение межсайтового скриптинга в модуле выставления счетов PDF
Исправлено в версии : 5.4.9
Оценка серьезности : высокая

Уязвимость исправлена, поэтому следует обновиться до версии 5.4.9.

Плагин: Booster для Woocommerce
Уязвимость : отражение межсайтового скриптинга в общем модуле
Исправлено в версии : 5.4.9
Оценка серьезности : высокая

Уязвимость исправлена, поэтому следует обновиться до версии 5.4.9.

Плагин: Booster для Woocommerce
Уязвимость : отражение межсайтового скриптинга в модуле XML-каналов продуктов
Исправлено в версии : 5.4.9
Оценка серьезности : высокая

Уязвимость исправлена, поэтому следует обновиться до версии 5.4.9.

16. Ускоритель скорости

Плагин: Speed Booster Pack
Уязвимость : Admin+ SQL Injection
Исправлено в версии : 4.3.3.1
Оценка серьезности : средняя

Уязвимость исправлена, поэтому следует обновиться до версии 4.3.3.1.

17. ОМГФ

Плагин: OMGF
Уязвимость : произвольное удаление папки Admin+ через обход пути
Исправлено в версии : 4.5.12
Оценка серьезности : средняя

Уязвимость исправлена, поэтому вам следует обновиться до версии 4.5.12.

18. ЦАОС

Плагин: CAOS
Уязвимость : произвольное удаление папки Admin+ через обход пути
Исправлено в версии : 4.1.9
Оценка серьезности : средняя

Уязвимость исправлена, поэтому вам следует обновиться до версии 4.1.9.

19. Двигатель путешествия WP

Плагин: WP Travel Engine
Уязвимость : Редактор + Сохраненный межсайтовый скриптинг
Исправлено в версии : 5.3.1
Оценка серьезности : низкая

Уязвимость исправлена, поэтому вам следует обновиться до версии 5.3.1.

20. Скачать монитор

Плагин: Скачать монитор
Уязвимость : Admin+ SQL Injection
Исправлено в версии : 4.4.5
Оценка серьезности : средняя

Уязвимость исправлена, поэтому вам следует обновиться до версии 4.4.5.

21. Ипотечный калькулятор / Кредитный калькулятор

Плагин: Ипотечный калькулятор / Калькулятор кредита
Уязвимость : Contributor+ Сохраненный межсайтовый скриптинг
Исправлено в версии : 1.5.17
Оценка серьезности : средняя

Уязвимость исправлена, поэтому вам следует обновиться до версии 1.5.17.

22. Образцы вариаций для WooCommerce

Плагин: Образцы вариаций для WooCommerce
Уязвимость : подписчик + хранимый межсайтовый скриптинг
Исправлено в версии : 2.1.2
Оценка серьезности : высокая

Уязвимость исправлена, поэтому вам следует обновиться до версии 2.1.2.

23. Партнерская реклама ClickBank

Плагин: Партнерская реклама ClickBank
Уязвимость : CSRF для сохраненных межсайтовых сценариев
Версия исправлена : неизвестное исправление — плагин закрыт
Оценка серьезности : высокая

Эта уязвимость НЕ была исправлена. Этот плагин был закрыт с 1 декабря 2021 года. Удалите и удалите.

Плагин: Партнерская реклама ClickBank
Уязвимость : межсайтовый скриптинг, хранимый администратором+
Версия исправлена : неизвестное исправление — плагин закрыт
Оценка серьезности : низкая

Эта уязвимость НЕ была исправлена. Этот плагин был закрыт с 1 декабря 2021 года. Удалите и удалите.

24. Дополнительные настраиваемые поля

Плагин: Расширенные настраиваемые поля
Уязвимость : Абонент+ Произвольные данные/группы полей ACF Просмотр и перемещение полей
Исправлено в версии : 5.11
Оценка серьезности : средняя

Уязвимость исправлена, поэтому вам следует обновиться до версии 5.11.

25. Песнь

Плагин: Песня
Уязвимость : неаутентифицированный слепой SSRF
Исправлено в версии : неизвестное исправление
Оценка серьезности : средняя

Эта уязвимость НЕ была исправлена. Удалите и удалите плагин, пока не будет выпущен патч.

26. Галерея «Все в одном»

Плагин: All-In-One-Gallery
Уязвимость : Admin+ включение локальных файлов
Исправлено в версии : 2.5.0
Оценка серьезности : низкая

Уязвимость исправлена, поэтому вам следует обновиться до версии 2.5.0.

Как защитить свой сайт WordPress от уязвимых плагинов и тем

Как видно из этого отчета, каждую неделю раскрывается множество новых уязвимостей плагинов и тем WordPress. Мы знаем, что может быть сложно оставаться в курсе всех обнаруженных уязвимостей, поэтому плагин iThemes Security Pro позволяет легко убедиться, что на вашем сайте не используется тема, плагин или основная версия WordPress с известной уязвимостью.

1. Установите плагин iThemes Security Pro.

Плагин iThemes Security Pro защищает ваш сайт WordPress от наиболее распространенных способов взлома веб-сайтов. Более 30 способов защитить ваш сайт в одном простом в использовании плагине.

2. Включите сканирование сайта для проверки на наличие известных уязвимостей.

Функция управления версиями в iThemes Security Pro интегрируется со сканированием сайта для защиты вашего сайта. Уязвимые темы, плагины и основные версии WordPress будут автоматически обновлены для вас.

3. Активируйте обнаружение изменения файла

Ключом к быстрому обнаружению нарушения безопасности является отслеживание изменений файлов на вашем веб-сайте. Функция обнаружения изменений файлов в iThemes Security Pro будет сканировать файлы вашего веб-сайта и предупреждать вас, когда на вашем веб-сайте происходят изменения.

Получите iThemes Security Pro с круглосуточным мониторингом безопасности сайта

iThemes Security Pro, наш плагин безопасности WordPress, предлагает более 50 способов защитить ваш сайт от распространенных уязвимостей безопасности WordPress. Благодаря WordPress, двухфакторной аутентификации, защите от грубой силы, надежному принудительному использованию паролей и многим другим вы можете добавить дополнительные уровни безопасности на свой веб-сайт.

Сканер сайта на наличие уязвимостей плагинов и тем
Обнаружение изменения файла
Панель безопасности веб-сайта в режиме реального времени
Журналы безопасности WordPress
Надежные устройства
reCAPTCHA
Защита от грубой силы
Двухфакторная аутентификация
Волшебные ссылки для входа
Повышение привилегий
Проверка скомпрометированных паролей и отказ