รายงานช่องโหว่ของ WordPress: ธันวาคม 2021 ตอนที่ 1
เผยแพร่แล้ว: 2021-12-02ปลั๊กอินและธีมที่มีช่องโหว่เป็นสาเหตุอันดับ 1 ที่เว็บไซต์ WordPress ถูกแฮ็ก รายงานช่องโหว่ของ WordPress รายสัปดาห์ที่ขับเคลื่อนโดย WPScan ครอบคลุมถึงปลั๊กอิน ธีม และช่องโหว่หลักของ WordPress และสิ่งที่ควรทำหากคุณเรียกใช้ปลั๊กอินหรือธีมที่มีช่องโหว่บนเว็บไซต์ของคุณ
ช่องโหว่แต่ละจุดจะมีระดับความรุนแรง ต่ำ ปานกลาง สูง หรือ วิกฤต การเปิดเผยและการรายงานช่องโหว่อย่างมีความรับผิดชอบเป็นส่วนสำคัญในการทำให้ชุมชน WordPress ปลอดภัย
โปรดแชร์โพสต์นี้กับเพื่อนของคุณเพื่อช่วยเผยแพร่และทำให้ WordPress ปลอดภัยยิ่งขึ้นสำหรับทุกคน
โฮสติ้ง WordPress: GoDaddy ถูกแฮ็ก
ในการเปิดเผยข้อมูลด้านความปลอดภัยที่เผยแพร่เมื่อวันที่ 21 พฤศจิกายน พ.ศ. 2564 GoDaddy กล่าวว่าลูกค้าที่มีการใช้งานและไม่ได้ใช้งานถึง 1.2 ล้านคนถูกเปิดเผยหลังจากที่แฮกเกอร์ได้เข้าถึงแพลตฟอร์มโฮสติ้ง WordPress ที่มีการจัดการของตน
เราเขียนโพสต์เพื่อแกะรายละเอียดบางส่วนของการแฮ็ก GoDaddy ล่าสุด ผลกระทบต่อลูกค้า และคำแนะนำของเราเกี่ยวกับสิ่งที่ต้องทำหากคุณเป็นลูกค้าโฮสติ้ง WordPress ที่ GoDaddy
ช่องโหว่หลักของ WordPress
คอร์ WordPress เวอร์ชันล่าสุดคือ 5.8.2 ตามแนวทางปฏิบัติที่ดีที่สุด อย่าลืมรัน WordPress core เวอร์ชันล่าสุดเสมอ!
ช่องโหว่ของปลั๊กอิน WordPress
ในส่วนนี้ ช่องโหว่ของปลั๊กอิน WordPress ล่าสุดได้รับการเปิดเผยแล้ว รายการปลั๊กอินแต่ละรายการประกอบด้วยประเภทของช่องโหว่ หมายเลขเวอร์ชันหากมีการแพตช์ และระดับความรุนแรง
1. โลโก้ม้าหมุน
ปลั๊กอิน: โลโก้ Carousel
ช่องโหว่ : Contributor+ Stored Cross-Site Scripting
แพตช์ในเวอร์ชัน : 3.4.2
คะแนน ความรุนแรง : ปานกลาง
ปลั๊กอิน: โลโก้ Carousel
ช่องโหว่ : การเข้าถึงโพสต์ส่วนตัวโดยไม่ได้รับอนุญาต
แพตช์ในเวอร์ชัน : 3.4.2
คะแนน ความรุนแรง : ปานกลาง
2. Ni WooCommerce สถานะการสั่งซื้อที่กำหนดเอง
ปลั๊กอิน: Ni WooCommerce สถานะการสั่งซื้อที่กำหนดเอง
ช่องโหว่ : Subscriber+ SQL Injection
แพต ช์ในเวอร์ชัน : 1.9.7
คะแนน ความรุนแรง : สูง
3. WCFM
ปลั๊กอิน: WCFM
ช่องโหว่ : Unauthenticated SQL Injection
แพต ช์ในเวอร์ชัน : 3.4.12
คะแนน ความรุนแรง : สูง
4. แบบฟอร์มเอเวอเรสต์
ปลั๊กอิน: Everest Forms
ช่องโหว่ : Reflected Cross-Site Scripting
แพตช์ในเวอร์ชัน : 1.8.0
คะแนน ความรุนแรง : ปานกลาง
5. สถิติผู้เข้าชม WP (ปริมาณการใช้ข้อมูลตามเวลาจริง)
ปลั๊กอิน: สถิติผู้เข้าชม WP (ปริมาณการใช้ข้อมูลตามเวลาจริง)
ช่องโหว่ : Subscriber+ SQL Injection
แพตช์ในเวอร์ชัน : 4.8
คะแนน ความรุนแรง : สูง
6. รุ่งโรจน์ บริจาค
ปลั๊กอิน: Kudos Donations
ช่องโหว่ : การลบรายการโดยพลการผ่าน CSRF
แพตช์ในเวอร์ชัน : 3.1.2
คะแนน ความรุนแรง : สูง
7. ไอซ์แกรม
ปลั๊กอิน: Icegram
ช่องโหว่ : Reflected Cross-Site Scripting
แพตช์ในเวอร์ชัน : 2.0.5
คะแนน ความรุนแรง : ปานกลาง
8. Blog2Social
ปลั๊กอิน: Blog2Social
ช่องโหว่ : Reflected Cross-Site Scripting
แพตช์ ในเวอร์ชัน : 6.8.7
คะแนน ความรุนแรง : สูง
9. สมาชิกแบบชำระเงิน Pro
ปลั๊กอิน: สมาชิกแบบชำระเงิน Pro
ช่องโหว่ : Reflected Cross-Site Scripting
แพตช์ในเวอร์ชัน : 2.6.6
คะแนน ความรุนแรง : สูง
10. ตัวแก้ไขบทบาทผู้ใช้ WPFront
ปลั๊กอิน: WPFront User Role Editor
ช่องโหว่ : Reflected Cross-Site Scripting
แพตช์ ในเวอร์ชัน : 3.2.1.11184
คะแนน ความรุนแรง : ปานกลาง
11. ทิกเกอร์
ปลั๊กอิน: Ticker
ช่องโหว่ : Unauthenticated Stored Cross-Site Scripting
แพตช์ ในเวอร์ชัน : 3.4.8.3
คะแนน ความรุนแรง : สูง
12. WP ปลาหางนกยูง
ปลั๊กอิน: WP Guppy
ช่องโหว่ : การเปิดเผยข้อมูลที่ละเอียดอ่อน
แพตช์ในเวอร์ชัน : 1.3
คะแนน ความรุนแรง : สูง
13. เข้าสู่ระบบ JWT อย่างง่าย
ปลั๊กอิน: เข้าสู่ระบบ JWT อย่างง่าย
ช่องโหว่ : การสร้างรหัสผ่านที่ไม่ปลอดภัย
แพตช์ในเวอร์ชัน : 3.3.0
คะแนน ความรุนแรง : ต่ำ
14. myCRED
ปลั๊กอิน: myCRED
ช่องโหว่ : Reflected Cross-Site Scripting
แพต ช์ในเวอร์ชัน : 1.7.8
คะแนน ความรุนแรง : สูง
15. ซ่อน WP ของฉัน
ปลั๊กอิน: ซ่อน WP ของฉัน
ช่องโหว่ : Unauthenticated Plugin Deactivation
แพตช์ในเวอร์ชัน : 6.2.4
คะแนน ความรุนแรง : ปานกลาง
ปลั๊กอิน: ซ่อน WP ของฉัน
ช่องโหว่ : Unauthenticated SQL Injection
แพตช์ในเวอร์ชัน : 6.2.4
คะแนน ความรุนแรง : สูง
16. การสนับสนุนที่ยอดเยี่ยม – WordPress HelpDesk & Support Plugin
ปลั๊กอิน: การสนับสนุนที่ยอดเยี่ยม – WordPress HelpDesk & Support Plugin
ช่องโหว่ : Reflected Cross-Site Scripting
แพตช์ ในเวอร์ชัน : 6.0.7
คะแนน ความรุนแรง : สูง
17. แสดงข้อมูลเมตาของโพสต์
ปลั๊กอิน: แสดงข้อมูลเมตาของโพสต์
ช่องโหว่ : Contributor+ Stored Cross-Site Scripting
แพตช์ในเวอร์ชัน : 1.5.0
คะแนน ความรุนแรง : ปานกลาง
18. ไอคอนโซเชียลมีเดียลอยตัว
ปลั๊กอิน: ไอคอนโซเชียลมีเดียลอยตัว
ช่องโหว่ : Admin+ Stored Cross-Site Scripting
Patched in Version : No Know Fix – ปลั๊กอินถูกปิด
คะแนน ความรุนแรง : ต่ำ
19. Gwolle สมุดเยี่ยม
ปลั๊กอิน: Gwolle Guestbook
ช่องโหว่ : Reflected Cross-Site Scripting
แพตช์ในเวอร์ชัน : 4.2.0
คะแนน ความรุนแรง : ปานกลาง
วิธีป้องกันเว็บไซต์ WordPress ของคุณจากปลั๊กอินและธีมที่มีช่องโหว่
ดังที่คุณเห็นจากรายงานนี้ มีการเปิดเผยปลั๊กอิน WordPress และช่องโหว่ของธีมใหม่จำนวนมากในแต่ละสัปดาห์ เราทราบดีว่าการติดตามการเปิดเผยช่องโหว่ที่รายงานทุกครั้งอาจเป็นเรื่องยาก ดังนั้นปลั๊กอิน iThemes Security Pro จึงช่วยให้แน่ใจได้ง่ายว่าไซต์ของคุณไม่ได้ใช้งานธีม ปลั๊กอิน หรือเวอร์ชันหลักของ WordPress ที่มีช่องโหว่ที่ทราบ
1. ติดตั้งปลั๊กอิน iThemes Security Pro
ปลั๊กอิน iThemes Security Pro ทำให้ไซต์ WordPress ของคุณแข็งแกร่งขึ้นจากวิธีการทั่วไปที่เว็บไซต์ถูกแฮ็ก ด้วย 30 วิธีในการรักษาความปลอดภัยไซต์ของคุณในปลั๊กอินเดียวที่ใช้งานง่าย
2. เปิดใช้งานการสแกนไซต์เพื่อตรวจสอบช่องโหว่ที่รู้จัก
คุณลักษณะการจัดการเวอร์ชันใน iThemes Security Pro ทำงานร่วมกับ Site Scan เพื่อปกป้องไซต์ของคุณ ธีม ปลั๊กอิน และเวอร์ชันหลักของ WordPress ที่มีช่องโหว่จะได้รับการอัปเดตโดยอัตโนมัติสำหรับคุณ
3. เปิดใช้งานการตรวจจับการเปลี่ยนแปลงไฟล์
กุญแจสำคัญในการระบุการละเมิดความปลอดภัยอย่างรวดเร็วคือการตรวจสอบการเปลี่ยนแปลงไฟล์บนเว็บไซต์ของคุณ ฟีเจอร์การตรวจจับการเปลี่ยนแปลงไฟล์ใน iThemes Security Pro จะสแกนไฟล์ในเว็บไซต์ของคุณและแจ้งเตือนคุณเมื่อมีการเปลี่ยนแปลงบนเว็บไซต์ของคุณ
รับ iThemes Security Pro พร้อมการตรวจสอบความปลอดภัยเว็บไซต์ 24/7
iThemes Security Pro ปลั๊กอินความปลอดภัย WordPress ของเรามีมากกว่า 50 วิธีในการรักษาความปลอดภัยและปกป้องเว็บไซต์ของคุณจากช่องโหว่ด้านความปลอดภัยทั่วไปของ WordPress ด้วย WordPress การรับรองความถูกต้องด้วยสองปัจจัย การป้องกันแบบเดรัจฉาน การบังคับใช้รหัสผ่านที่รัดกุม และอื่นๆ คุณสามารถเพิ่มระดับการรักษาความปลอดภัยเพิ่มเติมให้กับเว็บไซต์ของคุณได้
