Отчет об уязвимостях WordPress: ноябрь 2021 г., часть 2
Опубликовано: 2021-11-10Уязвимые плагины и темы — причина №1 взлома сайтов WordPress. Еженедельный отчет об уязвимостях WordPress, подготовленный WPScan, охватывает последние уязвимости плагинов, тем и ядер WordPress, а также информацию о том, что делать, если вы запускаете один из уязвимых плагинов или тем на своем веб-сайте.
Каждая уязвимость будет иметь уровень серьезности Низкий , Средний , Высокий или Критический . Ответственное раскрытие уязвимостей и сообщение об уязвимостях — неотъемлемая часть обеспечения безопасности сообщества WordPress.
Пожалуйста, поделитесь этой записью со своими друзьями, чтобы помочь распространить информацию и сделать WordPress более безопасным для всех.
Уязвимости ядра WordPress
Последняя версия ядра WordPress — 5.8.1. Рекомендуется всегда использовать последнюю версию ядра WordPress!
Уязвимости плагинов WordPress
В этом разделе были раскрыты последние уязвимости плагинов WordPress. Список каждого подключаемого модуля включает тип уязвимости, номер версии, если она исправлена, и рейтинг серьезности.
1. Галерея конкурса
Плагин: Галерея конкурсов
Уязвимость : Раскрытие адреса электронной почты подписчика+
Исправлено в версии : 13.1.0.7
Оценка серьезности : средняя
Плагин: Галерея конкурсов
Уязвимость : отсутствие элементов управления доступом к SQL-инъекции без проверки подлинности / раскрытие адреса электронной почты
Исправлено в версии : 13.1.0.6
Оценка серьезности : высокая
2. Проверьте и зарегистрируйте электронную почту
Плагин: Проверка и регистрация электронной почты
Уязвимость : отраженный межсайтовый скриптинг
Исправлено в версии : 1.0.4
Оценка серьезности : высокая
3. БСК PDF-менеджер
Плагин: BSK PDF Manager
Уязвимость : Admin+ SQL Injection
Исправлено в версии : 3.1.2
Оценка серьезности : средняя
4. Стильный калькулятор стоимости
Плагин: Стильный калькулятор стоимости
Уязвимость : абонент + неавторизованные вызовы AJAX к сохраненным XSS
Исправлено в версии : 7.0.4
Оценка серьезности : высокая
5. Страница магазина WP
Плагин: Страница магазина WP
Уязвимость : межсайтовый скриптинг, хранимый администратором+
Исправлено в версии : 1.2.8
Оценка серьезности : средняя
6. Ibtana — дополнения к продуктам для электронной коммерции
Плагин: Ibtana — дополнения для продуктов электронной коммерции
Уязвимость : отраженный межсайтовый скриптинг
Исправлено в версии : 0.2.4
Оценка серьезности : высокая
7. WP RSS-агрегатор
Плагин: WP RSS-агрегатор
Уязвимость : межсайтовый скриптинг, хранимый администратором+
Исправлено в версии : 4.19.2
Оценка серьезности : низкая
8. Генерация блоков
Плагин: GenerateBlocks
Уязвимость : Contributor+ Сохраненный межсайтовый скриптинг
Исправлено в версии : 1.4.0
Оценка серьезности : средняя
9. Электронная почта перед загрузкой
Плагин: Электронная почта перед загрузкой
Уязвимость : Admin+ SQL Injection
Исправлено в версии : 6.8
Оценка серьезности : средняя
10. мой кредит
Плагин: myCred
Уязвимость : подписчик + SQL-инъекция
Исправлено в версии : 2.3
Оценка серьезности : высокая
11. Карты Google легко
Плагин: Карты Google Easy
Уязвимость : межсайтовый скриптинг, хранимый администратором+
Исправлено в версии : 1.10.1
Оценка серьезности : низкая
12. Мой календарь
Плагин: Мой календарь
Уязвимость : подписчик + отраженный межсайтовый скриптинг
Исправлено в версии : 3.2.18
Оценка серьезности : средняя
13. Конструктор форм ARForms
Плагин: Конструктор форм ARForms
Уязвимость : межсайтовый скриптинг, хранимый администратором+
Исправлено в версии : 1.5
Оценка серьезности : низкая
14. Инструменты WP DSGVO
Плагин: Инструменты WP DSGVO
Уязвимость : произвольное удаление сообщений без проверки подлинности
Исправлено в версии : 3.1.24
Оценка серьезности : высокая
15. WP Весь импорт
Плагин: WP All Import
Уязвимость : межсайтовый скриптинг, хранимый администратором+
Исправлено в версии : 3.6.3
Оценка серьезности : низкая
16. WPS Скрыть логин
Плагин: WPS скрыть логин
Уязвимость : обход защиты с Referer-Header
Исправлено в версии : 1.9.1
Оценка серьезности : средняя
17. WP Google Шрифты
Плагин: WP Google Fonts
Уязвимость : отраженный межсайтовый скриптинг
Исправлено в версии : 3.1.5
Оценка серьезности : средняя
18. Менеджер событий для WooCommerce
Плагин: Менеджер событий для WooCommerce
Уязвимость : импорт произвольного шаблона Elementor без проверки подлинности
Исправлено в версии : 3.5.3
Оценка серьезности : средняя
Плагин: Менеджер событий для WooCommerce
Уязвимость : сброс произвольных параметров без проверки подлинности
Исправлено в версии : 3.5.3
Оценка серьезности : высокая
19. АвтомататорWP
Плагин: AutomatorWP
Уязвимость : отсутствие авторизации и повышение привилегий
Исправлено в версии : 1.7.6
Оценка серьезности : средняя
20. Слайдер с логотипом и витрина
Плагин: слайдер логотипа и витрина
Уязвимость : обновление настроек плагина Editor
Исправлено в версии : 1.3.37
Оценка серьезности : низкая
21. Стильный прайс-лист
Плагин: Стильный прайс-лист
Уязвимость : загрузка произвольного изображения без проверки подлинности
Исправлено в версии : 6.9.0
Оценка серьезности : средняя
Плагин: Стильный прайс-лист
Уязвимость : подписчик + загрузка произвольного изображения
Исправлено в версии : 6.9.1
Оценка серьезности : средняя
22. Отладка WP
Плагин: Отладка WP
Уязвимость : обновление настроек плагина, не прошедшего проверку подлинности
Исправлено в версии : 2.11.0
Оценка серьезности : средняя
23. Список отелей
Плагин: Список отелей
Уязвимость : Аутентифицированный сохраненный межсайтовый скриптинг
Исправлено в версии : 1.3.3
Оценка серьезности : средняя
24. Трекер электронной почты
Плагин: Трекер электронной почты
Уязвимость : отраженный межсайтовый скриптинг
Исправлено в версии : 5.2.6
Оценка серьезности : высокая
25. Контактная форма от Supsystic
Плагин: Контактная форма от Supsystic
Уязвимость : межсайтовый скриптинг, хранимый администратором+
Исправлено в версии : 1.7.20
Оценка серьезности : низкая
26. Меню ресторана от MotoPress
Плагин: Меню ресторана от MotoPress
Уязвимость : Сохраненный межсайтовый скриптинг Admin+
Исправлено в версии : 2.4.2
Оценка серьезности : низкая
27. SEO-перенаправление
Плагин: SEO-перенаправление
Уязвимость : подписчик + SQL-инъекция
Исправлено в версии : 8.2
Оценка серьезности : средняя
28. Репетитор LMS
Плагин: Репетитор LMS
Уязвимость : отраженный межсайтовый скриптинг
Исправлено в версии : 1.9.11
Оценка серьезности : средняя
29. Формы ниндзя
Плагин: формы ниндзя
Уязвимость : Admin+ SQL Injection
Исправлено в версии : 3.6.4
Оценка серьезности : средняя
30. Регистрация в календаре событий
Плагин: Регистрация для календаря событий
Уязвимость : отраженный межсайтовый скриптинг
Исправлено в версии : 2.7.5
Оценка серьезности : высокая
Как защитить свой сайт WordPress от уязвимых плагинов и тем
Как видно из этого отчета, каждую неделю раскрывается множество новых уязвимостей плагинов и тем WordPress. Мы знаем, что может быть сложно оставаться в курсе всех обнаруженных уязвимостей, поэтому плагин iThemes Security Pro позволяет легко убедиться, что на вашем сайте не используется тема, плагин или версия ядра WordPress с известной уязвимостью.
1. Установите плагин iThemes Security Pro.
Плагин iThemes Security Pro защищает ваш сайт WordPress от наиболее распространенных способов взлома веб-сайтов. Более 30 способов защитить ваш сайт в одном простом в использовании плагине.
2. Включите сканирование сайта для проверки на наличие известных уязвимостей.
Функция управления версиями в iThemes Security Pro интегрируется со сканированием сайта для защиты вашего сайта. Уязвимые темы, плагины и основные версии WordPress будут автоматически обновлены для вас.
3. Отслеживайте изменения файлов
Ключом к быстрому обнаружению нарушения безопасности является отслеживание изменений файлов на вашем веб-сайте. Функция обнаружения изменений файлов в iThemes Security Pro будет сканировать файлы вашего веб-сайта и предупреждать вас, когда на вашем веб-сайте происходят изменения.
Получите iThemes Security Pro с круглосуточным мониторингом веб-сайта
iThemes Security Pro, наш плагин безопасности WordPress, предлагает более 50 способов защитить ваш сайт от распространенных уязвимостей безопасности WordPress. Благодаря WordPress, двухфакторной аутентификации, защите от грубой силы, надежному принудительному использованию паролей и многим другим вы можете добавить дополнительные уровни безопасности на свой веб-сайт.