Отчет об уязвимостях WordPress: декабрь 2021 г., часть 5
Опубликовано: 2021-12-29Уязвимые плагины и темы — причина №1 взлома сайтов WordPress. Еженедельный отчет об уязвимостях WordPress, подготовленный WPScan, охватывает последние уязвимости плагинов, тем и ядер WordPress, а также информацию о том, что делать, если вы запускаете один из уязвимых плагинов или тем на своем веб-сайте.
Каждая уязвимость будет иметь уровень серьезности Низкий , Средний , Высокий или Критический . Ответственное раскрытие уязвимостей и сообщение об уязвимостях — неотъемлемая часть обеспечения безопасности сообщества WordPress. Новое в этом отчете: уязвимости теперь перечислены по количеству активных установок, а не по дате раскрытия.
Пожалуйста, поделитесь этой записью со своими друзьями, чтобы помочь распространить информацию и сделать WordPress более безопасным для всех !
Уязвимости ядра WordPress
Последняя версия ядра WordPress — 5.8.2. Рекомендуется всегда использовать последнюю версию ядра WordPress!
Уязвимости плагинов WordPress
В этом разделе были раскрыты последние уязвимости плагинов WordPress. Список каждого подключаемого модуля включает тип уязвимости, активные установки, номер версии, если она исправлена, и рейтинг серьезности.
1. Контактная форма 7 Надстройка базы данных
Плагин: контактная форма 7 надстройка базы данных
Уязвимость : неаутентифицированный сохраненный межсайтовый скриптинг
Активная установка : 400 000+
Исправлено в версии : 1.2.6.2
Оценка серьезности : средняя
Плагин: контактная форма 7 надстройка базы данных
Уязвимость : произвольное удаление формы через CSRF
Активная установка : 400 000+
Исправлено в версии : 1.2.6.2
Оценка серьезности : средняя
2. Простые формы для Mailchimp
Плагин: Easy Forms для Mailchimp
Уязвимость : отраженный межсайтовый скриптинг
Активная установка : 100 000+
Исправлено в версии : 6.8.6
Оценка серьезности : средняя
3. Relevanssi – лучший поиск
Плагин: Relevanssi – лучший поиск
Уязвимость : неаутентифицированный сохраненный межсайтовый скриптинг
Активная установка : 100 000+
Исправлено в версии : 4.14.3
Оценка серьезности : высокая
4. Информационный бюллетень, SMTP, электронный маркетинг и формы подписки от Sendinblue.
Плагин: информационный бюллетень, SMTP, электронный маркетинг и формы подписки от Sendinblue
Уязвимость : отраженный межсайтовый скриптинг
Активная установка : 90 000+
Исправлено в версии : 3.1.25
Оценка серьезности : высокая
5. Фид продукта PRO для WooCommerce
Плагин: Product Feed PRO для WooCommerce
Уязвимость : обновление настроек подписчика+ до сохраненного XSS
Активная установка : 80 000+
Исправлено в версии : 11.0.7
Оценка серьезности : высокая
6. Пост-сетка
Плагин: Post Grid
Уязвимость : Contributor+ SQL Injection
Активная установка : 60 000+
Исправлено в версии : 2.1.13
Оценка серьезности : средняя
7. Записи контактной формы
Плагин: Записи контактной формы
Уязвимость : неаутентифицированный сохраненный межсайтовый скриптинг
Активная установка : 40 000+
Исправлено в версии : 1.2.4
Оценка серьезности : высокая
8. Билеты на мероприятия
Плагин: Билеты на мероприятия
Уязвимость : открытое перенаправление
Активная установка : 40 000+
Исправлено в версии : 5.2.2
Оценка серьезности : средняя
9. Расширенные настраиваемые поля: расширенные
Плагин: Расширенные настраиваемые поля: Расширенные
Уязвимость : Admin+ SQL Injection
Активная установка : 40 000+
Исправлено в версии : 0.8.8.7
Оценка серьезности : средняя
10. Принимайте пожертвования через PayPal
Плагин: Принимайте пожертвования через PayPal
Уязвимость : произвольное удаление сообщений через CSRF
Активная установка : 30 000+
Исправлено в версии : 1.3.4
Оценка серьезности : высокая
11. Поле фотогалереи АКФ
Плагин: Поле фотогалереи ACF
Уязвимость : отраженный межсайтовый скриптинг
Активная установка : 30 000+
Исправлено в версии : 1.7.5
Оценка серьезности : средняя
12. Простой монитор загрузки
Плагин: Простой монитор загрузки
Уязвимость : множественные CSRF
Активная установка : 30 000+
Исправлено в версии : 3.9.11
Оценка серьезности : средняя
13. Защитите администратора WP
Плагин: Защита администратора WP
Уязвимость : деактивация плагина без аутентификации
Активная установка : 30 000+
Исправлено в версии : 3.6.2
Оценка серьезности : средняя
14. Резервное копирование и постановка с помощью WP Time Capsule
Плагин: резервное копирование и постановка с помощью WP Time Capsule
Уязвимость : отраженный межсайтовый скриптинг
Активная установка : 20 000+
Исправлено в версии : 1.22.7
Оценка серьезности : высокая
15. Календарь событий
Плагин: Календарь событий
Уязвимость : отраженный межсайтовый скриптинг
Активная установка : 20 000+
Исправлено в версии : 1.1.51
Оценка серьезности : высокая
Плагин: Календарь событий
Уязвимость : подписчик + создание события
Активная установка : 20 000+
Исправлено в версии : 1.1.51
Оценка серьезности : средняя
16. Бронирование пятизвездочного ресторана
Плагин: Бронирование пятизвездочных ресторанов
Уязвимость : подписчик + хранимый межсайтовый скриптинг
Активная установка : 20 000+
Исправлено в версии : 2.4.8
Оценка серьезности : высокая
17. Форум Асгароса
Плагин: Форум Асгароса
Уязвимость : SQL-инъекция администратора + через forum_id
Активная установка : 20 000+
Исправлено в версии : 1.15.15
Оценка серьезности : средняя
18. WP125
Плагин: WP125
Уязвимость : произвольное удаление рекламы через CSRF
Активная установка : 10 000+
Исправлено в версии : 1.5.5
Оценка серьезности : средняя
19. Партнерский менеджер
Плагин: Партнерский менеджер
Уязвимость : неаутентифицированный сохраненный межсайтовый скриптинг
Активная установка : 10 000+
Исправлено в версии : 2.9.0
Оценка серьезности : высокая
20. Умный SEO-инструмент
Плагин: Умный SEO-инструмент
Уязвимость : отраженный межсайтовый скриптинг
Активная установка : 9000+
Исправлено в версии : 3.0.6
Оценка серьезности : средняя
21. tarteaucitron.js — Законодательство о файлах cookie и GDPR
Плагин: tarteaucitron.js — Законодательство о файлах cookie и GDPR
Уязвимость : CSRF для сохраненных межсайтовых сценариев
Активная установка : 7000+
Исправлено в версии : 1.6
Оценка серьезности : средняя
Плагин: tarteaucitron.js — Законодательство о файлах cookie и GDPR
Уязвимость : администратор + хранимый межсайтовый скриптинг
Активная установка : 7000+
Исправлено в версии : 1.6.1
Оценка серьезности : низкая
22. SEO-бустер
Плагин: SEO Booster
Уязвимость : Admin+ SQL Injection
Активная установка : 4000+
Исправлено в версии : 3.8
Оценка серьезности : средняя
23. Создатель баннеров Booking.com
Плагин: Booking.com Banner Creator
Уязвимость : межсайтовый скриптинг, хранимый администратором+
Активная установка : 3000+
Исправлено в версии : 1.4.3
Оценка серьезности : низкая
24. Дополнительные поля профиля
Плагин: Дополнительные поля профиля
Уязвимость : отраженный межсайтовый скриптинг
Активная установка : 2000+
Исправлено в версии : 1.2.4
Оценка серьезности : высокая
25. Помощник по продуктам Booking.com
Плагин: Помощник по продуктам Booking.com
Уязвимость : межсайтовый скриптинг, хранимый администратором+
Активная установка : 2000+
Исправлено в версии : 1.0.2
Оценка серьезности : низкая
26. SEUR Официальный
Плагин: SEUR Официальный
Уязвимость : межсайтовый скриптинг, хранимый администратором+
Активная установка : 1000+
Исправлено в версии : 1.7.0
Оценка серьезности : средняя
27. Интеграция с электронными таблицами
Плагин: Интеграция с электронными таблицами
Уязвимость : обход CSRF
Активная установка : 1000+
Исправлено в версии : 3.6.0
Оценка серьезности : средняя
Плагин: Интеграция с электронными таблицами
Уязвимость : отраженный межсайтовый скриптинг
Активная установка : 1000+
Исправлено в версии : 3.6.0
Оценка серьезности : высокая
28. Партнерская реклама ClickBank
Плагин: Партнерская реклама ClickBank
Уязвимость : межсайтовый скриптинг, хранимый администратором+
Активная установка : 700+
Исправлено в версии : 1.35
Оценка серьезности : низкая
Плагин: Партнерская реклама ClickBank
Уязвимость : CSRF для сохраненных межсайтовых сценариев
Активная установка : 700+
Исправлено в версии : 1.35
Оценка серьезности : высокая
29. Стетик
Плагин: Stetic
Уязвимость : CSRF для сохраненных межсайтовых сценариев
Активная установка : 300+
Исправлено в версии : 1.0.9
Оценка серьезности : высокая
30. Менеджер мобильных мероприятий
Плагин: Менеджер мобильных событий
Уязвимость : межсайтовый скриптинг, хранимый администратором+
Активная установка : 20+
Исправлено в версии : 1.4.4
Оценка серьезности : низкая
Уязвимости плагинов WordPress: неизвестное исправление
В этом разделе были раскрыты последние уязвимости плагинов WordPress в закрытых плагинах. Каждый список подключаемых модулей включает тип уязвимости, рейтинг серьезности и дату закрытия.
31. Любой комментарий
Плагин: AnyComment
Уязвимость : отраженный межсайтовый скриптинг
Активная установка : 4000+
Исправлено в версии : неизвестное исправление
Оценка серьезности : средняя
Уязвимости плагинов WordPress: плагин закрыт
В этом разделе были раскрыты последние уязвимости плагинов WordPress в закрытых плагинах. Каждый список подключаемых модулей включает тип уязвимости, рейтинг серьезности и дату закрытия.
32. Вкладки
Плагин: Вкладки
Уязвимость : обновление произвольного параметра без проверки подлинности
Исправлено в версии : 3.6.0 — плагин закрыт
Оценка серьезности : критическая
33. Дополнения шорткода
Плагин: Дополнения к шорткодам
Уязвимость : обновление произвольного параметра без проверки подлинности
Исправлено в версии : 3.1.0 — плагин закрыт
Оценка серьезности : критическая
Как защитить свой сайт WordPress от уязвимых плагинов и тем
Как видно из еженедельного отчета об уязвимостях WordPress, каждую неделю раскрывается множество новых уязвимостей в плагинах и темах WordPress. Мы знаем, что может быть сложно оставаться в курсе всех обнаруженных уязвимостей, поэтому плагин iThemes Security Pro позволяет легко убедиться, что на вашем сайте не используется тема, плагин или основная версия WordPress с известной уязвимостью.
1. Установите плагин iThemes Security Pro.
Плагин iThemes Security Pro защищает ваш сайт WordPress от наиболее распространенных способов взлома веб-сайтов. Более 30 способов защитить ваш сайт в одном простом в использовании плагине.
2. Включите сканирование сайта для проверки на наличие известных уязвимостей.
Функция управления версиями в iThemes Security Pro интегрируется со сканированием сайта для защиты вашего сайта. Уязвимые темы, плагины и основные версии WordPress будут автоматически обновлены для вас.
3. Активируйте обнаружение изменения файла
Ключом к быстрому обнаружению нарушения безопасности является отслеживание изменений файлов на вашем веб-сайте. Функция обнаружения изменений файлов в iThemes Security Pro будет сканировать файлы вашего веб-сайта и предупреждать вас, когда на вашем веб-сайте происходят изменения.
Получите iThemes Security Pro со сканированием сайта
iThemes Security Pro, наш плагин безопасности WordPress, предлагает более 50 способов защитить ваш сайт от распространенных уязвимостей безопасности WordPress. Благодаря WordPress, двухфакторной аутентификации, защите от грубой силы, надежному принудительному использованию паролей и многим другим вы можете добавить дополнительные уровни безопасности на свой веб-сайт.
