Отчет об уязвимостях WordPress: декабрь 2021 г., часть 3
Опубликовано: 2021-12-16Уязвимые плагины и темы — причина №1 взлома сайтов WordPress. Еженедельный отчет об уязвимостях WordPress, подготовленный WPScan, охватывает последние уязвимости плагинов, тем и ядер WordPress, а также информацию о том, что делать, если вы запускаете один из уязвимых плагинов или тем на своем веб-сайте.
Каждая уязвимость будет иметь уровень серьезности Низкий , Средний , Высокий или Критический . Ответственное раскрытие уязвимостей и сообщение об уязвимостях — неотъемлемая часть обеспечения безопасности сообщества WordPress. Новое в этом отчете: уязвимости теперь перечислены по количеству активных установок, а не по дате раскрытия.
Пожалуйста, поделитесь этой записью со своими друзьями, чтобы помочь распространить информацию и сделать WordPress более безопасным для всех.
Новости WordPress
В разгар самого оживленного времени онлайн-покупок в году киберпреступники были заняты попытками «взломать планету». Wordfence недавно сообщил о массированной волне атак, направленных на 1,6 миллиона сайтов WordPress всего за 36 часов!
Наконец, BleepingComputer недавно сообщил, что хакеры устанавливали код скиммера в случайные плагины. Чтобы усилить безопасность сайтов электронной коммерции, мы рекомендуем требовать двухфакторную аутентификацию для всех пользователей-администраторов, активировать доверенные устройства, обнаруживать изменения файлов и регулярно читать и просматривать журналы безопасности WordPress.
Уязвимости ядра WordPress
Последняя версия ядра WordPress — 5.8.2. Рекомендуется всегда использовать последнюю версию ядра WordPress!
Уязвимости плагинов WordPress
В этом разделе были раскрыты последние уязвимости плагинов WordPress. Список каждого подключаемого модуля включает тип уязвимости, номер версии, если она исправлена, и рейтинг серьезности.
1. Элементор
Плагин: Элементор
Уязвимость : межсайтовый скриптинг DOM
Активная установка : 5+ миллионов
Исправлено в версии : 3.4.8
Оценка серьезности : высокая
2. Восходящий потокПлюс
Плагин: Updraft Plus
Уязвимость : отраженный межсайтовый скриптинг
Активная установка : 3+ миллиона
Исправлено в версии : 1.16.66
Оценка серьезности : высокая
3. WooCommerce PDF-счета и упаковочные листы
Плагин: WooCommerce PDF-счета и упаковочные листы
Уязвимость : отраженный межсайтовый скриптинг
Активная установка : 300 000+
Исправлено в версии : 2.10.5
Оценка серьезности : высокая
4. Возможности PublishPress
Плагин: Возможности PublishPress
Уязвимость : обновление произвольных параметров без проверки подлинности для взлома блога
Активная установка : 100 000+
Исправлено в версии : 2.3.1
Оценка серьезности : критическая
Плагин: Возможности PublishPress Pro
Уязвимость : обновление произвольных параметров без проверки подлинности для взлома блога
Исправлено в версии : 2.3.1
Оценка серьезности : критическая
5. Чаты Бесплатно
Плагин: Бесплатный Чат
Уязвимость : отраженный межсайтовый скриптинг
Активная установка : 100 000+
Исправлено в версии : 2.8.3
Оценка серьезности : высокая
Плагин: Чаты Pro
Уязвимость : отраженный межсайтовый скриптинг
Исправлено в версии : 2.8.2
Оценка серьезности : высокая
6. Дополнения PowerPack для Elementor
Плагин: Дополнения PowerPack для Elementor
Уязвимость : отраженный межсайтовый скриптинг
Активная установка : 60 000+
Исправлено в версии : 2.6.2
Оценка серьезности : высокая
7. Календарь бронирования
Плагин: Календарь бронирования
Уязвимость : отраженный межсайтовый скриптинг
Активная установка : 60 000+
Исправлено в версии : 8.9.2
Оценка серьезности : высокая
8. 10Веб-социальная фотолента
Плагин: 10Web Social Photo Feed
Уязвимость : отраженный межсайтовый скриптинг (XSS)
Активная установка : 60 000+
Исправлено в версии : 1.4.29
Оценка серьезности : высокая
9. Обзоры сайтов
Плагин: Обзоры сайтов
Уязвимость : неаутентифицированный сохраненный межсайтовый скриптинг
Активная установка : 40 000+
Исправлено в версии : 5.17.3
Оценка серьезности : высокая
10. Ускоритель скорости
Плагин: Speed Booster Pack
Уязвимость : Admin+ SQL Injection
Активная установка : 30 000+
Исправлено в версии : 4.3.3.1
Оценка серьезности : средняя
11. Мультивендорное торговое решение для WooCommerce
Плагин: Мультивендорное торговое решение для WooCommerce
Уязвимость : неаутентифицированные вызовы AJAX
Активная установка : 10 000+
Исправлено в версии : 3.8.4
Оценка серьезности : высокая
12. Модальное окно
Плагин: Модальное окно
Уязвимость : RFI, ведущий к RCE через CSRF
Активная установка : 10 000+
Исправлено в версии : 5.2.2
Оценка серьезности : высокая
13. WP-кодер
Плагин: WP Coder
Уязвимость : RFI, ведущий к RCE через CSRF
Активная установка : 10 000+
Исправлено в версии : 2.5.2
Оценка серьезности : высокая
14. Магия регистрации
Плагин: RegistrationMagic
Уязвимость : Admin+ SQL Injection
Активная установка : 10 000+
Исправлено в версии : 5.0.1.6
Оценка серьезности : средняя
Плагин: RegistrationMagic
Уязвимость : обход аутентификации
Активная установка : 10 000+
Исправлено в версии : 5.0.1.8
Оценка серьезности : критическая
15. Мероприятия стали проще
Плагин: События стали проще
Уязвимость : подписчик + SQL-инъекция
Активная установка : 6000+
Исправлено в версии : 2.2.36
Оценка серьезности : высокая
16. Генератор кнопок
Плагин: Генератор кнопок
Уязвимость : RFI, ведущий к RCE через CSRF
Активная установка : 5000+
Исправлено в версии : 2.3.3
Оценка серьезности : высокая
17. Tab – Аккордеон, FAQ
Плагин: Tab — Аккордеон, FAQ
Уязвимость : неаутентифицированные вызовы AJAX
Активная установка : 2000+
Исправлено в версии : 1.3.2
Оценка серьезности : критическая
18. Рейтинг звезд
Плагин: Рейтинг звезд
Уязвимость : отказ в обслуживании комментариев
Активная установка : 800+
Исправлено в версии : 3.5.1
Оценка серьезности : средняя
19. WPcalc
Плагин: WPcalc
Уязвимость : SQL-инъекция с проверкой подлинности
Версия исправлена : неизвестное исправление — плагин закрыт
Оценка серьезности : средняя
Как защитить свой сайт WordPress от уязвимых плагинов и тем
Как видно из этого отчета, каждую неделю раскрывается множество новых уязвимостей плагинов и тем WordPress. Мы знаем, что может быть сложно оставаться в курсе всех обнаруженных уязвимостей, поэтому плагин iThemes Security Pro позволяет легко убедиться, что на вашем сайте не используется тема, плагин или основная версия WordPress с известной уязвимостью.
1. Установите плагин iThemes Security Pro.
Плагин iThemes Security Pro защищает ваш сайт WordPress от наиболее распространенных способов взлома веб-сайтов. Более 30 способов защитить ваш сайт в одном простом в использовании плагине.
2. Включите сканирование сайта для проверки на наличие известных уязвимостей.
Функция управления версиями в iThemes Security Pro интегрируется со сканированием сайта для защиты вашего сайта. Уязвимые темы, плагины и основные версии WordPress будут автоматически обновлены для вас.
3. Активируйте обнаружение изменения файла
Ключом к быстрому обнаружению нарушения безопасности является отслеживание изменений файлов на вашем веб-сайте. Функция обнаружения изменений файлов в iThemes Security Pro будет сканировать файлы вашего веб-сайта и предупреждать вас, когда на вашем веб-сайте происходят изменения.
Получите iThemes Security Pro с круглосуточным мониторингом безопасности сайта
iThemes Security Pro, наш плагин безопасности WordPress, предлагает более 50 способов защитить ваш сайт от распространенных уязвимостей безопасности WordPress. Благодаря WordPress, двухфакторной аутентификации, защите от грубой силы, надежному принудительному использованию паролей и многим другим вы можете добавить дополнительные уровни безопасности на свой веб-сайт.
