Отчет об уязвимостях WordPress: ноябрь 2021 г., часть 4

Опубликовано: 2021-11-25

Уязвимые плагины и темы — причина №1 взлома сайтов WordPress. Еженедельный отчет об уязвимостях WordPress, подготовленный WPScan, охватывает последние уязвимости плагинов, тем и ядер WordPress, а также информацию о том, что делать, если вы запускаете один из уязвимых плагинов или тем на своем веб-сайте.

Каждая уязвимость будет иметь уровень серьезности Низкий , Средний , Высокий или Критический . Ответственное раскрытие уязвимостей и сообщение об уязвимостях — неотъемлемая часть обеспечения безопасности сообщества WordPress.

Пожалуйста, поделитесь этой записью со своими друзьями, чтобы помочь распространить информацию и сделать WordPress более безопасным для всех.

Хотите, чтобы этот отчет доставлялся на ваш почтовый ящик каждую неделю?
Подпишитесь на еженедельную рассылку

Хостинг WordPress: GoDaddy взломан

В раскрытии информации о безопасности, опубликованном 21 ноября 2021 года, GoDaddy сообщает, что до 1,2 миллиона активных и неактивных клиентов были раскрыты после того, как хакеры получили доступ к ее управляемой платформе хостинга WordPress.

Мы написали пост, чтобы раскрыть некоторые детали недавнего взлома GoDaddy, как он повлиял на клиентов, а также наши рекомендации о том, что делать, если вы являетесь клиентом хостинга WordPress в GoDaddy.

Прочитать пост

Уязвимости ядра WordPress

Последняя версия ядра WordPress — 5.8.2. Рекомендуется всегда использовать последнюю версию ядра WordPress!

Уязвимости плагинов WordPress

В этом разделе были раскрыты последние уязвимости плагинов WordPress. Список каждого подключаемого модуля включает тип уязвимости, номер версии, если она исправлена, и рейтинг серьезности.

1. Пиксельный Кот Лайт

Плагин: Pixel Cat Lite
Уязвимость : межсайтовый скриптинг, хранимый администратором+
Исправлено в версии : 2.6.3
Оценка серьезности : низкая

Уязвимость исправлена, поэтому вам следует обновиться до версии 2.6.3.

Плагин: Pixel Cat Lite
Уязвимость : CSRF для сохраненных межсайтовых сценариев
Исправлено в версии : 2.6.2
Оценка серьезности : высокая

Уязвимость исправлена, поэтому вам следует обновиться до версии 2.6.2.

2. Галерея «Все в одном»

Плагин: All-In-One-Gallery
Уязвимость : Admin+ включение локальных файлов
Исправлено в версии : 2.5.0
Оценка серьезности : низкая

Уязвимость исправлена, поэтому вам следует обновиться до версии 2.5.0.

3. StopBadBots

Плагин: StopBadBots
Уязвимость : отраженный межсайтовый скриптинг
Исправлено в версии : 6.67
Оценка серьезности : критическая

Уязвимость исправлена, поэтому вам следует обновиться до версии 6.67.

4. Временный вход без пароля

Плагин: Временный вход без пароля
Уязвимость : обновление настроек плагина Subscriber+
Исправлено в версии : 1.7.1
Оценка серьезности : средняя

Уязвимость исправлена, поэтому вам следует обновиться до версии 1.7.1.

5. ПрофильПресс

Плагин: ProfilePress
Уязвимость : отраженный межсайтовый скриптинг
Исправлено в версии : 3.2.3
Оценка серьезности : средняя

Уязвимость исправлена, поэтому вам следует обновиться до версии 3.2.3.

Плагин: ProfilePress
Уязвимость : отраженный межсайтовый скриптинг
Исправлено в версии : 3.2.3
Оценка серьезности : высокая

Уязвимость исправлена, поэтому вам следует обновиться до версии 3.2.3.

6. Календарь современных событий

Плагин: Календарь современных событий
Уязвимость : слепая SQL-инъекция без аутентификации
Исправлено в версии : 6.1.5
Оценка серьезности : высокая

Уязвимость исправлена, поэтому вам следует обновиться до версии 6.1.5.

Плагин: Календарь современных событий
Уязвимость : отраженный межсайтовый скриптинг
Исправлено в версии : 6.1.5
Оценка серьезности : высокая

Уязвимость исправлена, поэтому вам следует обновиться до версии 6.1.5.

7. Автоматически избранное изображение

Плагин: Auto Featured Image
Уязвимость : отраженный межсайтовый скриптинг
Исправлено в версии : 3.9.3
Оценка серьезности : средняя

Уязвимость исправлена, поэтому вам следует обновиться до версии 3.9.3.

8. Абсолютный запрет на подписку

Плагин: Ultimate NoFollow
Уязвимость : Contributor+ Сохраненный межсайтовый скриптинг
Версия исправлена : неизвестное исправление — плагин закрыт
Оценка серьезности : средняя

Эта уязвимость НЕ была исправлена. Этот плагин закрыт 28 сентября 2021 г. Удалите и удалите.

9. NEX-формы

Плагин: NEX-Формы
Уязвимость : множественные межсайтовые сценарии, хранящиеся администратором+
Версия исправлена : неизвестное исправление — плагин закрыт
Оценка серьезности : низкая

Эта уязвимость НЕ была исправлена. Этот плагин закрыт 4 октября 2021 г. Удалите и удалите.

10. SEO-бустер

Плагин: SEO Booster
Уязвимость : Admin+ SQL Injection
Версия исправлена : неизвестное исправление — плагин закрыт
Оценка серьезности : средняя

Эта уязвимость НЕ была исправлена. Этот плагин закрыт 5 октября 2021 г. Удалите и удалите.

11. Системный журнал WP

Плагин: Системный журнал WP
Уязвимость : неаутентифицированный сохраненный межсайтовый скриптинг
Исправлено в версии : 1.0.21
Оценка серьезности : критическая

Уязвимость исправлена, поэтому вам следует обновиться до версии 1.0.21.

12. Вдохновляющий ротатор цитат

Плагин: Вдохновляющий ротатор цитат
Уязвимость : межсайтовый скриптинг, хранимый администратором+
Версия исправлена : неизвестное исправление — плагин закрыт
Оценка серьезности : низкая

Эта уязвимость НЕ была исправлена. Этот плагин был закрыт 23 сентября 2021 года. Удалите и удалите.

13. Одиночный почтовый экспортер

Плагин: экспортер отдельных сообщений
Уязвимость : обновление настроек плагина через CSRF
Версия исправлена : неизвестное исправление — плагин закрыт
Оценка серьезности : средняя

Эта уязвимость НЕ была исправлена. Этот плагин был закрыт 23 сентября 2021 года. Удалите и удалите.

14. Локальные шрифты Flex

Плагин: Flex Local Fonts
Уязвимость : межсайтовый скриптинг, хранимый администратором+
Версия исправлена : неизвестное исправление — плагин закрыт
Оценка серьезности : низкая

Эта уязвимость НЕ была исправлена. Этот плагин был закрыт 23 сентября 2021 года. Удалите и удалите.

15. Смена логотипа администратора WP

Плагин: WP Admin Logo Changer
Уязвимость : обновление настроек плагина через CSRF
Версия исправлена : неизвестное исправление — плагин закрыт
Оценка серьезности : средняя

Эта уязвимость НЕ была исправлена. Этот плагин закрыт 4 октября 2021 г. Удалите и удалите.

16. Расширенная база данных контактной формы

Плагин: Контактная форма Расширенная база данных
Уязвимость : неавторизованные вызовы AJAX
Исправлено в версии : неизвестное исправление
Оценка серьезности : средняя

Этот плагин был закрыт 27 сентября 2021 г. и недоступен для загрузки. Это временное закрытие до полного рассмотрения. Мы рекомендуем вам удалять и удалять, пока не будет найдено исправление.

17. Блестящие пуговицы

Плагин: Блестящие кнопки
Уязвимость : неаутентифицированный сохраненный межсайтовый скриптинг
Исправлено в версии : неизвестное исправление
Оценка серьезности : высокая

Этот плагин был закрыт 27 сентября 2021 г. и недоступен для загрузки. Это временное закрытие до полного рассмотрения. Мы рекомендуем вам удалять и удалять, пока не будет найдено исправление.

18. Галерея портфолио фильтров

Плагин: Галерея портфолио фильтров
Уязвимость : произвольное удаление галереи через CSRF
Исправлено в версии : неизвестное исправление
Оценка серьезности : средняя

Этот плагин был закрыт 27 сентября 2021 г. и недоступен для загрузки. Это временное закрытие до полного рассмотрения. Мы рекомендуем вам удалять и удалять, пока не будет найдено исправление.

19. Лимиты WP

Плагин: Ограничения WP
Уязвимость : обновление настроек плагина через CSRF
Исправлено в версии : неизвестное исправление
Оценка серьезности : средняя

Этот плагин был закрыт 4 октября 2021 г. и недоступен для загрузки. Это временное закрытие до полного рассмотрения. Мы рекомендуем вам удалять и удалять, пока не будет найдено исправление.

20. Шорткод страницы/публикации

Плагин: шорткод страницы/публикации
Уязвимость : автор + доступ к произвольным сообщениям/страницам
Исправлено в версии : неизвестное исправление
Оценка серьезности : средняя

Этот плагин был закрыт 4 октября 2021 г. и недоступен для загрузки. Это временное закрытие до полного рассмотрения. Мы рекомендуем вам удалять и удалять, пока не будет найдено исправление.

21. Улучшенная страница включения

Плагин: улучшенная страница включения
Уязвимость : автор + доступ к произвольным сообщениям/страницам
Исправлено в версии : неизвестное исправление
Оценка серьезности : средняя

Этот плагин был закрыт 8 октября 2021 г. и недоступен для загрузки. Это временное закрытие до полного рассмотрения. Мы рекомендуем вам удалять и удалять, пока не будет найдено исправление.

22. Медиаматичный

Плагин: Mediamatic
Уязвимость : подписчик + SQL-инъекция
Исправлено в версии : неизвестное исправление
Оценка серьезности : высокая

Этот плагин был закрыт 11 октября 2021 г. и недоступен для загрузки. Это временное закрытие до полного рассмотрения. Мы рекомендуем вам удалять и удалять, пока не будет найдено исправление.

23. Отображение метаданных поста

Плагин: отображение метаданных поста
Уязвимость : Contributor+ Сохраненный межсайтовый скриптинг
Исправлено в версии : неизвестное исправление
Оценка серьезности : средняя

Этот плагин был закрыт 21 октября 2021 г. и недоступен для загрузки. Это временное закрытие до полного рассмотрения. Мы рекомендуем вам удалять и удалять, пока не будет найдено исправление.

24. Верхняя ссылка

Плагин: Топ-ссылка
Уязвимость : неаутентифицированная инъекция PHP-объекта
Исправлено в версии : неизвестное исправление
Оценка серьезности : средняя

Этот плагин был закрыт 21 октября 2021 г. и недоступен для загрузки. Это временное закрытие до полного рассмотрения. Мы рекомендуем вам удалять и удалять, пока не будет найдено исправление.

25. Пользовательские мета-шорткоды

Плагин: пользовательские мета-шорткоды
Уязвимость : неавторизованный произвольный доступ к метаданным пользователя Contributor+
Исправлено в версии : неизвестное исправление
Оценка серьезности : высокая

Этот плагин был закрыт 12 октября 2021 г. и недоступен для загрузки. Это временное закрытие до полного рассмотрения. Мы рекомендуем вам удалять и удалять, пока не будет найдено исправление.

26. Коллекция цитат

Плагин: Коллекция цитат
Уязвимость : Admin+ SQL Injection
Исправлено в версии : неизвестное исправление
Оценка серьезности : средняя

Этот плагин был закрыт 13 октября 2021 г. и недоступен для загрузки. Это временное закрытие до полного рассмотрения. Мы рекомендуем вам удалять и удалять, пока не будет найдено исправление.

27. Push-уведомления для WordPress (облегченная версия)

Плагин: Push-уведомления для WordPress (Lite)
Уязвимость : обновление настроек через CSRF
Исправлено в версии : 6.0.1
Оценка серьезности : средняя

Уязвимость исправлена, поэтому вам следует обновиться до версии 6.0.1.

28. СпортПресс

Плагин: SportsPress
Уязвимость : отраженный межсайтовый скриптинг
Исправлено в версии : 2.7.9
Оценка серьезности : высокая

Уязвимость исправлена, поэтому вам следует обновиться до версии 2.7.9.

29. Всплывающее окно входа/регистрации

Плагин: всплывающее окно входа/регистрации
Уязвимость : отраженный межсайтовый скриптинг
Исправлено в версии : 2.2
Оценка серьезности : высокая

Уязвимость исправлена, поэтому вам следует обновиться до версии 2.2.

30. Предварительный просмотр электронных писем для WooCommerce

Плагин: предварительный просмотр электронных писем для WooCommerce
Уязвимость : отраженный межсайтовый скриптинг
Исправлено в версии : 2.0.0
Оценка серьезности : средняя

Уязвимость исправлена, поэтому вам следует обновиться до версии 3.0.0.5.

31. Интерфейс пользователя WP

Плагин: Пользовательский интерфейс WP
Уязвимость : членство, профиль, регистрация и плагин отправки сообщений для WordPress
Исправлено в версии : 3.5.25
Оценка серьезности : средняя

Уязвимость исправлена, поэтому вам следует обновиться до версии 3.5.25.

32. Директор — Плагин бизнес-каталога

Плагин: Директор – Плагин бизнес-каталога
Уязвимость : CSRF для удаленной загрузки файлов
Исправлено в версии : 7.0.6.2
Оценка серьезности : критическая

Уязвимость исправлена, поэтому следует обновиться до версии 7.0.6.2.

33. Простые регистрационные формы

Плагин: Простые регистрационные формы
Уязвимость : CSRF для сохраненных межсайтовых сценариев
Исправлено в версии : неизвестное исправление
Оценка серьезности : высокая

Этот плагин был закрыт 12 ноября 2021 г. и недоступен для загрузки. Это временное закрытие до полного рассмотрения. Мы рекомендуем вам удалять и удалять, пока не будет найдено исправление.

34. Сброс WP Pro

Плагин: WP Reset Pro
Уязвимость : сброс базы данных подписчика+
Исправлено в версии : 5.99
Оценка серьезности : критическая

Уязвимость исправлена, поэтому вам следует обновиться до версии 5.99.

Плагин: WP Reset Pro
Уязвимость : сброс базы данных через CSRF
Исправлено в версии : 5.99
Оценка серьезности : критическая

Уязвимость исправлена, поэтому вам следует обновиться до версии 5.99.

35. WordPress + Microsoft Office 365

Плагин: WordPress + Microsoft Office 365
Уязвимость : неаутентифицированный сохраненный межсайтовый скриптинг
Исправлено в версии : 15.4
Оценка серьезности : критическая

Уязвимость исправлена, поэтому вам следует обновиться до версии 15.4.

36. Дублировать пост

Плагин: Дублировать сообщение
Уязвимость : SQL-инъекция с проверкой подлинности
Исправлено в версии : 1.2.0
Оценка серьезности : средняя

Уязвимость исправлена, поэтому вам следует обновиться до версии 1.2.0.

37. Резервная миграция

Плагин: миграция резервных копий
Уязвимость : межсайтовый скриптинг, хранимый администратором+
Исправлено в версии : 1.1.6
Оценка серьезности : средняя

Уязвимость исправлена, поэтому вам следует обновиться до версии 1.1.6.

Как защитить свой сайт WordPress от уязвимых плагинов и тем

Как видно из этого отчета, каждую неделю раскрывается множество новых уязвимостей плагинов и тем WordPress. Мы знаем, что может быть сложно оставаться в курсе всех обнаруженных уязвимостей, поэтому плагин iThemes Security Pro позволяет легко убедиться, что на вашем сайте не используется тема, плагин или основная версия WordPress с известной уязвимостью.

1. Установите плагин iThemes Security Pro.

Плагин iThemes Security Pro защищает ваш сайт WordPress от наиболее распространенных способов взлома веб-сайтов. Более 30 способов защитить ваш сайт в одном простом в использовании плагине.

2. Включите сканирование сайта для проверки на наличие известных уязвимостей.

Функция управления версиями в iThemes Security Pro интегрируется со сканированием сайта для защиты вашего сайта. Уязвимые темы, плагины и основные версии WordPress будут автоматически обновлены для вас.

3. Отслеживайте изменения файлов

Ключом к быстрому обнаружению нарушения безопасности является отслеживание изменений файлов на вашем веб-сайте. Функция обнаружения изменений файлов в iThemes Security Pro будет сканировать файлы вашего веб-сайта и предупреждать вас, когда на вашем веб-сайте происходят изменения.

Получите iThemes Security Pro с круглосуточным мониторингом безопасности сайта

iThemes Security Pro, наш плагин безопасности WordPress, предлагает более 50 способов защитить ваш сайт от распространенных уязвимостей безопасности WordPress. Благодаря WordPress, двухфакторной аутентификации, защите от грубой силы, надежному принудительному использованию паролей и многим другим вы можете добавить дополнительные уровни безопасности на свой веб-сайт.

  • Сканер сайта на наличие уязвимостей плагинов и тем
  • Обнаружение изменения файла
  • Панель безопасности веб-сайта в режиме реального времени
  • Журналы безопасности WordPress
  • Надежные устройства
  • reCAPTCHA
  • Защита от грубой силы
  • Двухфакторная аутентификация
  • Волшебные ссылки для входа
  • Повышение привилегий
  • Проверка скомпрометированных паролей и отказ

Сэкономьте 40% на iThemes Security Pro