Отчет об уязвимостях WordPress: декабрь 2021 г., часть 4

Опубликовано: 2022-01-06

Уязвимые плагины и темы — причина №1 взлома сайтов WordPress. Еженедельный отчет об уязвимостях WordPress, подготовленный WPScan, охватывает последние уязвимости плагинов, тем и ядер WordPress, а также информацию о том, что делать, если вы запускаете один из уязвимых плагинов или тем на своем веб-сайте.

Каждая уязвимость будет иметь уровень серьезности Низкий , Средний , Высокий или Критический . Ответственное раскрытие уязвимостей и сообщение об уязвимостях — неотъемлемая часть обеспечения безопасности сообщества WordPress. Новое в этом отчете: уязвимости теперь перечислены по количеству активных установок, а не по дате раскрытия.

Пожалуйста, поделитесь этой записью со своими друзьями, чтобы помочь распространить информацию и сделать WordPress более безопасным для всех.

Хотите, чтобы этот отчет доставлялся на ваш почтовый ящик каждую неделю?
Подпишитесь на еженедельную рассылку

Уязвимости ядра WordPress

Последняя версия ядра WordPress — 5.8.2. Рекомендуется всегда использовать последнюю версию ядра WordPress!

Уязвимости плагинов WordPress

В этом разделе были раскрыты последние уязвимости плагинов WordPress. Список каждого подключаемого модуля включает тип уязвимости, активные установки, номер версии, если она исправлена, и рейтинг серьезности.

1. Все в одном SEO

Плагин: Все в одном SEO
Уязвимость : SQL-инъекция с проверкой подлинности
Активная установка : 3+ миллиона
Исправлено в версии : 4.1.5.3
Оценка серьезности : высокая

Уязвимость исправлена, поэтому следует обновиться до версии 4.1.5.3.

Плагин: Все в одном SEO
Уязвимость : повышение привилегий с проверкой подлинности
Активная установка : 3+ миллиона
Исправлено в версии : 4.1.5.3
Оценка серьезности : критическая

Уязвимость исправлена, поэтому следует обновиться до версии 4.1.5.3.

2. Лента социальных сообщений Smash Balloon

Плагин: Smash Balloon Social Post Feed
Уязвимость : Аутентифицированный отраженный межсайтовый скриптинг (XSS)
Активная установка : 200 000+
Исправлено в версии : 4.1.1
Оценка серьезности : средняя

Уязвимость исправлена, поэтому вам следует обновиться до версии 4.1.1.

3. Современный календарь событий Lite

Плагин: Календарь современных событий Lite
Уязвимость : рубрика «Подписчик+» Добавить ведущий в сохраненный XSS
Активная установка : 100 000+
Исправлено в версии : 6.2.0
Оценка серьезности : средняя

Уязвимость исправлена, поэтому вам следует обновиться до версии 6.2.0.

4. ВУКС

Плагин: WOOCS
Уязвимость : отраженный межсайтовый скриптинг
Активная установка : 60 ​​000+
Исправлено в версии : 1.3.7.3
Оценка серьезности : высокая

Уязвимость исправлена, поэтому вам следует обновиться до версии 1.3.7.3.

5. Живой чат

Плагин: Crisp Live Chat
Уязвимость : CSRF для сохраненных межсайтовых сценариев
Активная установка : 60 ​​000+
Исправлено в версии : 0.32
Оценка серьезности : высокая

Уязвимость исправлена, поэтому вам следует обновиться до версии 0.32.

6. Эффекты при наведении изображения Ultimate

Плагин: Image Hover Effects Ultimate
Уязвимость : обновление произвольного параметра без проверки подлинности
Активная установка : 20 000+
Исправлено в версии : 9.7.0
Оценка серьезности : критическая

Уязвимость исправлена, поэтому вам следует обновиться до версии 9.7.0.

7. Система бронирования WP – Календарь бронирования

Плагин: WP Booking System – Календарь бронирования
Уязвимость : Аутентифицированный отраженный межсайтовый скриптинг (XSS)
Активная установка : 10 000+
Исправлено в версии : 2.0.15
Оценка серьезности : средняя

Уязвимость исправлена, поэтому вам следует обновиться до версии 2.0.15.

8. Конструктор целевых страниц

Плагин: Конструктор целевых страниц
Уязвимость : Аутентифицированный отраженный межсайтовый скриптинг (XSS)
Активная установка : 10 000+
Исправлено в версии : 1.4.9.6
Оценка серьезности : средняя

Уязвимость исправлена, поэтому следует обновиться до версии 1.4.9.6.

9. Глубокая аналитика

Плагин: Fathom Analytics
Уязвимость : межсайтовый скриптинг, хранимый администратором+
Активная установка : 2000+
Исправлено в версии : 3.0.5
Оценка серьезности : низкая

Уязвимость исправлена, поэтому вам следует обновиться до версии 3.0.5.

10. Настоящий ранкер

Плагин: True Ranker
Уязвимость : неаутентифицированный произвольный доступ к файлам через обход пути
Активная установка : 200+
Исправлено в версии : 2.2.4
Оценка серьезности : низкая

Уязвимость исправлена, поэтому вам следует обновиться до версии 2.2.4.

Уязвимости плагинов WordPress: плагин закрыт

В этом разделе были раскрыты последние уязвимости плагинов WordPress в закрытых плагинах. Каждый список подключаемых модулей включает тип уязвимости, рейтинг серьезности и дату закрытия.

11. Двигатель комментариев Pro

Плагин: Комментарий Engine Pro
Уязвимость : Редактор + Сохраненный межсайтовый скриптинг
Версия исправлена : неизвестное исправление — плагин закрыт
Оценка серьезности : низкая

Эта уязвимость НЕ была исправлена. Этот плагин закрыт 7 октября 2021 г. Удалите и удалите.

12. Перенаправление .htaccess

Плагин: перенаправление .htaccess
Уязвимость : отраженный межсайтовый скриптинг
Версия исправлена : неизвестное исправление — плагин закрыт
Оценка серьезности : высокая

Эта уязвимость НЕ была исправлена. Этот плагин закрыт 3 декабря 2021 г. Удалите и удалите.

13. Шлюз Parsian Bank для Woocommerce

Плагин: Parsian Bank Gateway для Woocommerce
Уязвимость : отраженный межсайтовый скриптинг
Версия исправлена : неизвестное исправление — плагин закрыт
Оценка серьезности : высокая

Эта уязвимость НЕ была исправлена. Этот плагин закрыт 3 декабря 2021 г. Удалите и удалите.

14. Настоящий WYSIWYG

Плагин: Реальный WYSIWYG
Уязвимость : отраженный межсайтовый скриптинг
Версия исправлена : неизвестное исправление — плагин закрыт
Оценка серьезности : высокая

Эта уязвимость НЕ была исправлена. Этот плагин закрыт 3 декабря 2021 г. Удалите и удалите.

15. Менеджер списка ссылок

Плагин: Менеджер списка ссылок
Уязвимость : отраженный межсайтовый скриптинг
Версия исправлена : неизвестное исправление — плагин закрыт
Оценка серьезности : высокая

Эта уязвимость НЕ была исправлена. Этот плагин закрыт 3 декабря 2021 г. Удалите и удалите.

16. Простая галерея изображений

Плагин: Простая галерея изображений
Уязвимость : отраженный межсайтовый скриптинг
Версия исправлена : неизвестное исправление — плагин закрыт
Оценка серьезности : высокая

Эта уязвимость НЕ была исправлена. Этот плагин закрыт 3 декабря 2021 г. Удалите и удалите.

17. WooCommerce EnvioPack

Плагин: WooCommerce EnvioPack
Уязвимость : отраженный межсайтовый скриптинг
Версия исправлена : неизвестное исправление — плагин закрыт
Оценка серьезности : высокая

Эта уязвимость НЕ была исправлена. Этот плагин закрыт 15 ноября 2021 г. Удалите и удалите.

18. Голос волшебной почты

Плагин: Magic Post Voice
Уязвимость : отраженный межсайтовый скриптинг
Версия исправлена : неизвестное исправление — плагин закрыт
Оценка серьезности : высокая

Эта уязвимость НЕ была исправлена. Этот плагин закрыт 3 декабря 2021 г. Удалите и удалите.

19. Редактор CSS H5P

Плагин: Редактор CSS H5P
Уязвимость : отраженный межсайтовый скриптинг
Версия исправлена : неизвестное исправление — плагин закрыт
Оценка серьезности : высокая

Эта уязвимость НЕ была исправлена. Этот плагин закрыт 3 декабря 2021 г. Удалите и удалите.

20. дуоВопросы и ответы

Плагин: duoFAQ
Уязвимость : отраженный межсайтовый скриптинг
Версия исправлена : неизвестное исправление — плагин закрыт
Оценка серьезности : высокая

Эта уязвимость НЕ была исправлена. Этот плагин закрыт 3 декабря 2021 г. Удалите и удалите.

21. Голос волшебной почты

Плагин: Magic Post Voice
Уязвимость : отраженный межсайтовый скриптинг
Версия исправлена : неизвестное исправление — плагин закрыт
Оценка серьезности : высокая

Эта уязвимость НЕ была исправлена. Этот плагин закрыт 3 декабря 2021 г. Удалите и удалите.

22. Платежный шлюз WooCommerce myghpay

Плагин: Платежный шлюз WooCommerce myghpay
Уязвимость : отраженный межсайтовый скриптинг
Версия исправлена : неизвестное исправление — плагин закрыт
Оценка серьезности : высокая

Эта уязвимость НЕ была исправлена. Этот плагин был закрыт 13 декабря 2021 года. Удалите и удалите.

Уязвимости плагинов премиум-класса

В этом разделе были раскрыты последние уязвимости премиум-плагина WordPress. Список каждого подключаемого модуля включает тип уязвимости, номер версии, если она исправлена, и рейтинг серьезности.

23. Дополнения Plus для Elementor Pro

Плагин: Дополнительные дополнения для Elementor — Pro
Уязвимость : раскрытие конфиденциальных данных
Исправлено в версии : 5.0.7
Оценка серьезности : средняя

Уязвимость исправлена, поэтому вам следует обновиться до версии 5.0.7.

Плагин: Дополнительные дополнения для Elementor — Pro
Уязвимость : SQL-инъекция без проверки подлинности
Исправлено в версии : 5.0.7
Оценка серьезности : средняя

Уязвимость исправлена, поэтому вам следует обновиться до версии 5.0.7.

24. Позволяет боксировать

Плагин: Lets Box
Уязвимость : отраженный межсайтовый скриптинг
Исправлено в версии : 1.13.3
Оценка серьезности : средняя

Уязвимость исправлена, поэтому вам следует обновиться до версии 1.13.3.

25. Поделитесь одним диском

Плагин: Поделитесь одним диском
Уязвимость : отраженный межсайтовый скриптинг
Исправлено в версии : 1.15.3
Оценка серьезности : средняя

Уязвимость исправлена, поэтому вам следует обновиться до версии 1.15.3.

26. Из коробки

Плагин: из коробки
Уязвимость : отраженный межсайтовый скриптинг
Исправлено в версии : 1.20.3
Оценка серьезности : средняя

Уязвимость исправлена, поэтому вам следует обновиться до версии 1.20.3.

27. Используйте свой диск

Плагин: Используйте свой диск
Уязвимость : отраженный межсайтовый скриптинг
Исправлено в версии : 1.18.3
Оценка серьезности : средняя

Уязвимость исправлена, поэтому вам следует обновиться до версии 1.18.3.

Как защитить свой сайт WordPress от уязвимых плагинов и тем

Как видно из этого отчета, каждую неделю раскрывается множество новых уязвимостей плагинов и тем WordPress. Мы знаем, что может быть сложно оставаться в курсе всех обнаруженных уязвимостей, поэтому плагин iThemes Security Pro позволяет легко убедиться, что на вашем сайте не используется тема, плагин или основная версия WordPress с известной уязвимостью.

1. Установите плагин iThemes Security Pro.

Плагин iThemes Security Pro защищает ваш сайт WordPress от наиболее распространенных способов взлома веб-сайтов. Более 30 способов защитить ваш сайт в одном простом в использовании плагине.

2. Включите сканирование сайта для проверки на наличие известных уязвимостей.

Функция управления версиями в iThemes Security Pro интегрируется со сканированием сайта для защиты вашего сайта. Уязвимые темы, плагины и основные версии WordPress будут автоматически обновлены для вас.

3. Активируйте обнаружение изменения файла

Ключом к быстрому обнаружению нарушения безопасности является отслеживание изменений файлов на вашем веб-сайте. Функция обнаружения изменений файлов в iThemes Security Pro будет сканировать файлы вашего веб-сайта и предупреждать вас, когда на вашем веб-сайте происходят изменения.

Получите iThemes Security Pro с круглосуточным мониторингом безопасности сайта

iThemes Security Pro, наш плагин безопасности WordPress, предлагает более 50 способов защитить ваш сайт от распространенных уязвимостей безопасности WordPress. Благодаря WordPress, двухфакторной аутентификации, защите от грубой силы, надежному принудительному использованию паролей и многим другим вы можете добавить дополнительные уровни безопасности на свой веб-сайт.

  • Сканер сайта на наличие уязвимостей плагинов и тем
  • Обнаружение изменения файла
  • Панель безопасности веб-сайта в режиме реального времени
  • Журналы безопасности WordPress
  • Надежные устройства
  • reCAPTCHA
  • Защита от грубой силы
  • Повышение привилегий
  • Проверка скомпрометированных паролей и отказ

Сэкономьте 35% на iThemes Security Pro до 31 декабря