รายงานช่องโหว่ของ WordPress: ธันวาคม 2021 ตอนที่ 2
เผยแพร่แล้ว: 2021-12-15ปลั๊กอินและธีมที่มีช่องโหว่เป็นสาเหตุอันดับ 1 ที่เว็บไซต์ WordPress ถูกแฮ็ก รายงานช่องโหว่ของ WordPress รายสัปดาห์ที่ขับเคลื่อนโดย WPScan ครอบคลุมถึงปลั๊กอิน ธีม และช่องโหว่หลักของ WordPress และสิ่งที่ควรทำหากคุณเรียกใช้ปลั๊กอินหรือธีมที่มีช่องโหว่บนเว็บไซต์ของคุณ
ช่องโหว่แต่ละจุดจะมีระดับความรุนแรง ต่ำ ปานกลาง สูง หรือ วิกฤต การเปิดเผยและการรายงานช่องโหว่อย่างมีความรับผิดชอบเป็นส่วนสำคัญในการทำให้ชุมชน WordPress ปลอดภัย
โปรดแชร์โพสต์นี้กับเพื่อนของคุณเพื่อช่วยเผยแพร่และทำให้ WordPress ปลอดภัยยิ่งขึ้นสำหรับทุกคน
ข่าว WordPress: การรั่วไหลของข้อมูล Gravatar
สัปดาห์นี้ Gravatar ซึ่งเป็นบริการสากลสำหรับอวาตาร์ที่ไม่เหมือนใคร ถูกละเมิด แม้ว่า Gravatar รับรองว่าจะไม่มีการแฮ็ก
ข้อมูลถูกคัดลอก ซึ่งไม่ใช่การละเมิดเพราะไม่ได้ขโมยรหัสผ่านและข้อมูลส่วนตัวอื่นๆ ในทางกลับกัน ข้อมูลที่เปิดเผยต่อสาธารณะถูกรวบรวมในลักษณะที่ปกติแล้วไม่ได้มาโดยง่าย ในทางทฤษฎี ใครบางคนจะต้องรู้ชื่อผู้ใช้ของผู้ใช้ Gravatar เพื่อเข้าถึงที่อยู่อีเมลของผู้ใช้รายนั้น การขูดทำให้ผู้โจมตีดาวน์โหลดชื่อผู้ใช้และอีเมลได้พร้อมกัน
ช่องโหว่หลักของ WordPress
คอร์ WordPress เวอร์ชันล่าสุดคือ 5.8.2 ตามแนวทางปฏิบัติที่ดีที่สุด อย่าลืมรัน WordPress core เวอร์ชันล่าสุดเสมอ!
ช่องโหว่ของปลั๊กอิน WordPress
ในส่วนนี้ ช่องโหว่ของปลั๊กอิน WordPress ล่าสุดได้รับการเปิดเผยแล้ว รายการปลั๊กอินแต่ละรายการประกอบด้วยประเภทของช่องโหว่ หมายเลขเวอร์ชันหากมีการแพตช์ และระดับความรุนแรง
1. ตัวจัดการกิจกรรม
ปลั๊กอิน: ตัวจัดการเหตุการณ์
ช่องโหว่ : Admin+ SQL Injection
แพตช์ ในเวอร์ชัน : 5.9.8
คะแนน ความรุนแรง : ปานกลาง
ปลั๊กอิน: ตัวจัดการเหตุการณ์
ช่องโหว่ : Cross-Site Scripting (XSS)
แพตช์ ในเวอร์ชัน : 5.9.8
คะแนน ความรุนแรง : ต่ำ
2. รีวิวมากมายโดย Starfish
ปลั๊กอิน: บทวิจารณ์มากมายโดย Starfish
ช่องโหว่ : Admin+ SQL Injection
แพตช์ในเวอร์ชัน : 1.9.6
คะแนน ความรุนแรง : ปานกลาง
3. พิมพ์บอท
ปลั๊กอิน: Typebot
ช่องโหว่ : Admin+ Stored Cross Site Scripting
แพตช์ในเวอร์ชัน : 1.4.3
คะแนน ความรุนแรง : ต่ำ
4. แบบฟอร์มการติดต่อ & ตัวสร้างองค์ประกอบแบบฟอร์มโอกาสในการขาย
ปลั๊กอิน: แบบฟอร์มติดต่อ & ตัวสร้างองค์ประกอบแบบฟอร์มลูกค้าเป้าหมาย
ช่องโหว่ : Unauthenticated Stored Cross-Site Scripting
แพตช์ในเวอร์ชัน : 1.6.4
คะแนน ความรุนแรง : สูง
5. ดาวน์โหลดตัวจัดการ
ปลั๊กอิน: ตัวจัดการการดาวน์โหลด
ช่องโหว่ : Subscriber+ Stored Cross-Site Scripting
แพต ช์ในเวอร์ชัน : 3.2.22
คะแนน ความรุนแรง : สูง
6. WP RSS Aggregator
Plugin: Subscriber+ Stored Cross-Site Scripting
ช่องโหว่ : Admin+ SQL Injection
แพตช์ในเวอร์ชัน : 4.19.3
คะแนน ความรุนแรง : สูง
7. Buttonizer – ปุ่มแอคชั่นลอยน้ำอัจฉริยะ
ปลั๊กอิน: Buttonizer – ปุ่มแอคชั่นลอยน้ำอัจฉริยะ
ช่องโหว่ : Admin+ Stored Cross-Site Scripting
แพตช์ในเวอร์ชัน : 2.5.5
คะแนน ความรุนแรง : ต่ำ
8. การบันทึกจดหมาย WP
ปลั๊กอิน: WP Mail Logging
ช่องโหว่ : Redux Framework ที่ล้าสมัย
แพตช์ในเวอร์ชัน : 1.10.0
คะแนน ความรุนแรง : ปานกลาง
9. สเตติก
ปลั๊กอิน: Stetic
ช่องโหว่ : CSRF ถึง Stored Cross-Site Scripting
Patched in Version : No Know Fix – ปลั๊กอินถูกปิด
คะแนน ความรุนแรง : สูง
10. แบบฟอร์มการติดต่อด้วย Captcha
ปลั๊กอิน: แบบฟอร์มการติดต่อด้วย Captcha
ช่องโหว่ : CSRF ถึง Stored Cross-Site Scripting
Patched in Version : No Know Fix – ปลั๊กอินถูกปิด
คะแนน ความรุนแรง : สูง
11. การสนับสนุนที่ยอดเยี่ยม
ปลั๊กอิน: การสนับสนุนที่ยอดเยี่ยม
ช่องโหว่ : Reflected Cross-Site Scripting
แพตช์ ในเวอร์ชัน : 6.0.7
คะแนน ความรุนแรง : สูง
12. ฟอรัม Asgaros
ปลั๊กอิน: ฟอรัม Asgaros
ช่องโหว่ : Admin+ Stored Cross-Site Scripting
แพตช์ ในเวอร์ชัน : 1.15.14
คะแนน ความรุนแรง : ต่ำ
13. แคช LiteSpeed
ปลั๊กอิน: LiteSpeed Cache
ช่องโหว่ : IP Check Bypass ไปยัง XSS . ที่จัดเก็บโดยไม่ได้ตรวจสอบสิทธิ์
แพตช์ในเวอร์ชัน : 4.4.4
คะแนน ความรุนแรง : สูง
ปลั๊กอิน: LiteSpeed Cache
ช่องโหว่ : Admin+ Reflected Cross-Site Scripting
แพตช์ในเวอร์ชัน : 4.4.4
คะแนน ความรุนแรง : สูง
14. การประชุมทางวิดีโอด้วย Zoom
ปลั๊กอิน: การประชุมทางวิดีโอด้วย Zoom
ช่องโหว่ : Reflected Cross-Site Scripting
แพตช์ ในเวอร์ชัน : 3.8.16
คะแนน ความรุนแรง : สูง
15. บูสเตอร์สำหรับ Woocommerce
ปลั๊กอิน: บูสเตอร์สำหรับ Woocommerce
ช่องโหว่ : สะท้อนการเขียนสคริปต์ข้ามไซต์ในโมดูลการออกใบแจ้งหนี้ PDF
แพต ช์ในเวอร์ชัน : 5.4.9
คะแนน ความรุนแรง : สูง
ปลั๊กอิน: บูสเตอร์สำหรับ Woocommerce
ช่องโหว่ : สะท้อนสคริปต์ข้ามไซต์ในโมดูลทั่วไป
แพต ช์ในเวอร์ชัน : 5.4.9
คะแนน ความรุนแรง : สูง
ปลั๊กอิน: บูสเตอร์สำหรับ Woocommerce
ช่องโหว่ : สะท้อนสคริปต์ข้ามไซต์ใน Product XML Feeds Module
แพต ช์ในเวอร์ชัน : 5.4.9
คะแนน ความรุนแรง : สูง
16. แพ็กเร่งความเร็ว
ปลั๊กอิน: Speed Booster Pack
ช่องโหว่ : Admin+ SQL Injection
แพตช์ในเวอร์ชัน : 4.3.3.1
คะแนน ความรุนแรง : ปานกลาง
17. OMGF
ปลั๊กอิน: OMGF
ช่องโหว่ : Admin+ Arbitrary Folder Deletion via Path Traversal
แพต ช์ในเวอร์ชัน : 4.5.12
คะแนน ความรุนแรง : ปานกลาง
18. CAOS
ปลั๊กอิน: CAOS
ช่องโหว่ : Admin+ Arbitrary Folder Deletion via Path Traversal
แพตช์ในเวอร์ชัน : 4.1.9
คะแนน ความรุนแรง : ปานกลาง
19. WP Travel Engine
ปลั๊กอิน: WP Travel Engine
ช่องโหว่ : Editor+ Stored Cross-Site Scripting
แพตช์ในเวอร์ชัน : 5.3.1
คะแนน ความรุนแรง : ต่ำ
20. ดาวน์โหลด Monitor
ปลั๊กอิน: ดาวน์โหลด Monitor
ช่องโหว่ : Admin+ SQL Injection
แพตช์ในเวอร์ชัน : 4.4.5
คะแนน ความรุนแรง : ปานกลาง
21. เครื่องคำนวณสินเชื่อที่อยู่อาศัย / เครื่องคำนวณสินเชื่อ
ปลั๊กอิน: เครื่องคำนวณสินเชื่อที่อยู่อาศัย / เครื่องคำนวณสินเชื่อ
ช่องโหว่ : Contributor+ Stored Cross-Site Scripting
แพตช์ ในเวอร์ชัน : 1.5.17
คะแนน ความรุนแรง : ปานกลาง
22. ตัวแปร Swatches สำหรับ WooCommerce
ปลั๊กอิน: Variation Swatches สำหรับ WooCommerce
ช่องโหว่ : Subscriber+ Stored Cross-Site Scripting
แพตช์ในเวอร์ชัน : 2.1.2
คะแนน ความรุนแรง : สูง
23. โฆษณาพันธมิตร ClickBank
ปลั๊กอิน: ClickBank Affiliate Ads
ช่องโหว่ : CSRF ถึง Stored Cross-Site Scripting
Patched in Version : No Know Fix – ปลั๊กอินถูกปิด
คะแนน ความรุนแรง : สูง
ปลั๊กอิน: ClickBank Affiliate Ads
ช่องโหว่ : Admin+ Stored Cross-Site Scripting
Patched in Version : No Know Fix – ปลั๊กอินถูกปิด
คะแนน ความรุนแรง : ต่ำ
24. ฟิลด์กำหนดเองขั้นสูง
ปลั๊กอิน: ฟิลด์กำหนดเองขั้นสูง
ช่องโหว่ : Subscriber+ Arbitrary ACF Data/Field Groups View and Fields Move
แพตช์ในเวอร์ชัน : 5.11
คะแนน ความรุนแรง : ปานกลาง
25. คันโต
ปลั๊กอิน: Canto
ช่องโหว่ : Unauthenticated Blind SSRF
แพทช์ในเวอร์ชัน : ไม่มีโปรแกรมแก้ไขที่รู้จัก
คะแนน ความรุนแรง : ปานกลาง
26. ออล-อิน-วัน-แกลเลอรี่
ปลั๊กอิน: All-In-One-Gallery
ช่องโหว่ : Admin+ Local File Inclusion
แพตช์ในเวอร์ชัน : 2.5.0
คะแนน ความรุนแรง : ต่ำ
วิธีป้องกันเว็บไซต์ WordPress ของคุณจากปลั๊กอินและธีมที่มีช่องโหว่
ดังที่คุณเห็นจากรายงานนี้ มีการเปิดเผยปลั๊กอิน WordPress และช่องโหว่ของธีมใหม่จำนวนมากในแต่ละสัปดาห์ เราทราบดีว่าการติดตามการเปิดเผยช่องโหว่ที่รายงานทุกครั้งอาจเป็นเรื่องยาก ดังนั้นปลั๊กอิน iThemes Security Pro จึงช่วยให้แน่ใจได้ง่ายว่าไซต์ของคุณไม่ได้ใช้งานธีม ปลั๊กอิน หรือเวอร์ชันหลักของ WordPress ที่มีช่องโหว่ที่ทราบ
1. ติดตั้งปลั๊กอิน iThemes Security Pro
ปลั๊กอิน iThemes Security Pro ทำให้ไซต์ WordPress ของคุณแข็งแกร่งขึ้นจากวิธีการทั่วไปที่เว็บไซต์ถูกแฮ็ก ด้วย 30 วิธีในการรักษาความปลอดภัยไซต์ของคุณในปลั๊กอินเดียวที่ใช้งานง่าย
2. เปิดใช้งานการสแกนไซต์เพื่อตรวจสอบช่องโหว่ที่รู้จัก
คุณลักษณะการจัดการเวอร์ชันใน iThemes Security Pro ทำงานร่วมกับ Site Scan เพื่อปกป้องไซต์ของคุณ ธีม ปลั๊กอิน และเวอร์ชันหลักของ WordPress ที่มีช่องโหว่จะได้รับการอัปเดตโดยอัตโนมัติสำหรับคุณ
3. เปิดใช้งานการตรวจจับการเปลี่ยนแปลงไฟล์
กุญแจสำคัญในการระบุการละเมิดความปลอดภัยอย่างรวดเร็วคือการตรวจสอบการเปลี่ยนแปลงไฟล์บนเว็บไซต์ของคุณ ฟีเจอร์การตรวจจับการเปลี่ยนแปลงไฟล์ใน iThemes Security Pro จะสแกนไฟล์ในเว็บไซต์ของคุณและแจ้งเตือนคุณเมื่อมีการเปลี่ยนแปลงบนเว็บไซต์ของคุณ
รับ iThemes Security Pro พร้อมการตรวจสอบความปลอดภัยเว็บไซต์ 24/7
iThemes Security Pro ปลั๊กอินความปลอดภัย WordPress ของเรามีมากกว่า 50 วิธีในการรักษาความปลอดภัยและปกป้องเว็บไซต์ของคุณจากช่องโหว่ด้านความปลอดภัยทั่วไปของ WordPress ด้วย WordPress การรับรองความถูกต้องด้วยสองปัจจัย การป้องกันแบบเดรัจฉาน การบังคับใช้รหัสผ่านที่รัดกุม และอื่นๆ คุณสามารถเพิ่มระดับการรักษาความปลอดภัยเพิ่มเติมให้กับเว็บไซต์ของคุณได้
