Отчет об уязвимостях WordPress: ноябрь 2021 г., часть 3
Опубликовано: 2021-11-20Уязвимые плагины и темы — причина №1 взлома сайтов WordPress. Еженедельный отчет об уязвимостях WordPress, подготовленный WPScan, охватывает последние уязвимости плагинов, тем и ядер WordPress, а также информацию о том, что делать, если вы запускаете один из уязвимых плагинов или тем на своем веб-сайте.
Каждая уязвимость будет иметь уровень серьезности Низкий , Средний , Высокий или Критический . Ответственное раскрытие уязвимостей и сообщение об уязвимостях — неотъемлемая часть обеспечения безопасности сообщества WordPress.
Пожалуйста, поделитесь этой записью со своими друзьями, чтобы помочь распространить информацию и сделать WordPress более безопасным для всех.
Уязвимости ядра WordPress
Последняя версия ядра WordPress — 5.8.2. Рекомендуется всегда использовать последнюю версию ядра WordPress!
1. Вордпресс
Уязвимость : просроченный сертификат DST Root CA X3
Исправлено в версии : 5.8.2
Объяснение. Файл wp-includes/certificates/ca-bundle.crt содержит DST Root CA X3, срок действия которого истек 30 сентября 2021 г., что в некоторых случаях вызывает предупреждение системы безопасности.
Уязвимости плагинов WordPress
В этом разделе были раскрыты последние уязвимости плагинов WordPress. Список каждого подключаемого модуля включает тип уязвимости, номер версии, если она исправлена, и рейтинг серьезности.
1. Регистрация в календаре событий
Плагин: Регистрация для календаря событий
Уязвимость : SQL-инъекция без проверки подлинности
Исправлено в версии : 2.7.6
Оценка серьезности : высокая
2. ЛогинWP
Плагин: LoginWP
Уязвимость : отраженный межсайтовый скриптинг
Исправлено в версии : 3.0.0.5
Оценка серьезности : высокая
3. Переключатель валют WooCommerce
Плагин: Переключатель валют WooCommerce
Уязвимость : отраженный межсайтовый скриптинг
Исправлено в версии : 1.3.7.1
Оценка серьезности : средняя
4. Безопасная защита от копирования и блокировка контента
Плагин: Безопасная защита от копирования и блокировка контента
Уязвимость : Раскрытие адреса электронной почты подписчика+
Исправлено в версии : 2.8.2
Оценка серьезности : высокая
5. Книжный
Плагин: Bookly
Уязвимость : сотрудник хранит межсайтовые сценарии
Исправлено в версии : 20.3.1
Оценка серьезности : средняя
6. Журнал электронной почты
Плагин: Журнал электронной почты
Уязвимость : отраженный межсайтовый скриптинг
Исправлено в версии : 2.4.8
Оценка серьезности : высокая
7. Живой чат Tawk.to
Плагин: Tawk.to Live Chat
Уязвимость : подписчик + мониторинг посетителей и удаление чата
Исправлено в версии : 0.6.0
Оценка серьезности : высокая
8. Доступ к данным WP
Плагин: Доступ к данным WP
Уязвимость : Admin+ SQL Injection
Исправлено в версии : 5.0.0
Оценка серьезности : высокая
9. Просмотрщик PDF.js
Плагин: Просмотрщик PDF.js
Уязвимость : Contributor+ Сохраненный межсайтовый скриптинг
Исправлено в версии : 2.0.2
Оценка серьезности : средняя
10. Резервное копирование и восстановление
Плагин: Резервное копирование и восстановление
Уязвимость : произвольное удаление файла администратором+
Исправлено в версии : неизвестное исправление
Оценка серьезности : средняя
11. Изучайте прессу
Плагин: LearnPress
Уязвимость : Admin+ SQL Injection
Исправлено в версии : 4.1.4
Оценка серьезности : средняя
12. Получите значения пользовательских полей
Плагин: получение значений пользовательских полей
Уязвимость : Contributor+ Сохраненный межсайтовый скриптинг
Исправлено в версии : 4.0.1
Оценка серьезности : средняя
13. Пакет бронирования
Плагин: Пакет бронирования
Уязвимость : отраженный межсайтовый скриптинг
Исправлено в версии : 1.5.11
Оценка серьезности : средняя
14. Рейтинг кнопки «Нравится»
Плагин: Рейтинг кнопки «Нравится»
Уязвимость : Несанкционированный экспорт голосов в электронную почту и раскрытие IP-адресов
Исправлено в версии : 2.6.38
Оценка серьезности : высокая
15. Формы кальдеры
Плагин: Caldera Forms
Уязвимость : межсайтовый скриптинг, хранимый администратором+
Исправлено в версии : 1.9.5
Оценка серьезности : низкая
16. Начальные шаблоны
Плагин: Начальные шаблоны
Уязвимость : Contributor+ блокирует импорт в сохраненный XSS
Исправлено в версии : 2.7.1
Оценка серьезности : высокая
17. Электронная почта контактной формы
Плагин: Электронная почта контактной формы
Уязвимость : межсайтовый скриптинг, хранимый администратором+
Исправлено в версии : 1.3.25
Оценка серьезности : низкая
18. Видеогалерея – Галерея Vimeo и YouTube
Плагин: Видеогалерея – Галерея Vimeo и YouTube
Уязвимость : межсайтовый скриптинг, хранимый администратором+
Исправлено в версии : 1.1.5
Оценка серьезности : низкая
19. Популярные посты WordPress
Плагин: WordPress Popular Posts
Уязвимость : межсайтовый скриптинг, хранимый администратором+
Исправлено в версии : 5.3.4
Оценка серьезности : низкая
Как защитить свой сайт WordPress от уязвимых плагинов и тем
Как видно из этого отчета, каждую неделю раскрывается множество новых уязвимостей плагинов и тем WordPress. Мы знаем, что может быть сложно оставаться в курсе всех обнаруженных уязвимостей, поэтому плагин iThemes Security Pro позволяет легко убедиться, что на вашем сайте не используется тема, плагин или основная версия WordPress с известной уязвимостью.
1. Установите плагин iThemes Security Pro.
Плагин iThemes Security Pro защищает ваш сайт WordPress от наиболее распространенных способов взлома веб-сайтов. Более 30 способов защитить ваш сайт в одном простом в использовании плагине.
2. Включите сканирование сайта для проверки на наличие известных уязвимостей.
Функция управления версиями в iThemes Security Pro интегрируется со сканированием сайта для защиты вашего сайта. Уязвимые темы, плагины и основные версии WordPress будут автоматически обновлены для вас.
3. Отслеживайте изменения файлов
Ключом к быстрому обнаружению нарушения безопасности является отслеживание изменений файлов на вашем веб-сайте. Функция обнаружения изменений файлов в iThemes Security Pro будет сканировать файлы вашего веб-сайта и предупреждать вас, когда на вашем веб-сайте происходят изменения.
Получите iThemes Security Pro с круглосуточным мониторингом безопасности сайта
iThemes Security Pro, наш плагин безопасности WordPress, предлагает более 50 способов защитить ваш сайт от распространенных уязвимостей безопасности WordPress. Благодаря WordPress, двухфакторной аутентификации, защите от грубой силы, надежному принудительному использованию паролей и многим другим вы можете добавить дополнительные уровни безопасности на свой веб-сайт.