รายงานช่องโหว่ของ WordPress: ธันวาคม 2021 ตอนที่ 3
เผยแพร่แล้ว: 2021-12-16ปลั๊กอินและธีมที่มีช่องโหว่เป็นสาเหตุอันดับ 1 ที่เว็บไซต์ WordPress ถูกแฮ็ก รายงานช่องโหว่ของ WordPress รายสัปดาห์ที่ขับเคลื่อนโดย WPScan ครอบคลุมถึงปลั๊กอิน ธีม และช่องโหว่หลักของ WordPress และสิ่งที่ควรทำหากคุณเรียกใช้ปลั๊กอินหรือธีมที่มีช่องโหว่บนเว็บไซต์ของคุณ
ช่องโหว่แต่ละจุดจะมีระดับความรุนแรง ต่ำ ปานกลาง สูง หรือ วิกฤต การเปิดเผยและการรายงานช่องโหว่อย่างมีความรับผิดชอบเป็นส่วนสำคัญในการทำให้ชุมชน WordPress ปลอดภัย ใหม่ในรายงานนี้: ช่องโหว่ต่างๆ ถูกจัดเรียงลำดับตามจำนวนการติดตั้งที่ใช้งานอยู่ แทนที่จะเป็นวันที่เปิดเผย
โปรดแชร์โพสต์นี้กับเพื่อนของคุณเพื่อช่วยเผยแพร่และทำให้ WordPress ปลอดภัยยิ่งขึ้นสำหรับทุกคน
ข่าว WordPress
เนื่องจากช่วงเวลาการช็อปปิ้งออนไลน์ที่คึกคักที่สุดของปีกำลังเร่งรีบ อาชญากรไซเบอร์จึงยุ่งอยู่กับความพยายามที่จะ "แฮกโลก" เมื่อเร็ว ๆ นี้ Wordfence รายงานว่ามีการโจมตีจำนวนมากที่กำหนดเป้าหมายไปยังไซต์ WordPress 1.6 ล้านไซต์ในช่วงเวลาเพียง 36 ชั่วโมง!
ในที่สุด BleepingComputer เพิ่งรายงานว่าแฮกเกอร์ได้ติดตั้งโค้ด Skimmer ลงในปลั๊กอินแบบสุ่ม เพื่อเพิ่มความปลอดภัยให้กับไซต์อีคอมเมิร์ซ เราขอแนะนำให้ต้องมีการตรวจสอบสิทธิ์แบบสองปัจจัยสำหรับผู้ใช้ที่เป็นผู้ดูแลระบบทั้งหมด เปิดใช้งานอุปกรณ์ที่เชื่อถือได้ การตรวจจับการเปลี่ยนแปลงไฟล์ และให้อ่านและตรวจสอบบันทึกการรักษาความปลอดภัยของ WordPress เป็นประจำ
ช่องโหว่หลักของ WordPress
คอร์ WordPress เวอร์ชันล่าสุดคือ 5.8.2 ตามแนวทางปฏิบัติที่ดีที่สุด อย่าลืมรัน WordPress core เวอร์ชันล่าสุดเสมอ!
ช่องโหว่ของปลั๊กอิน WordPress
ในส่วนนี้ ช่องโหว่ของปลั๊กอิน WordPress ล่าสุดได้รับการเปิดเผยแล้ว รายการปลั๊กอินแต่ละรายการประกอบด้วยประเภทของช่องโหว่ หมายเลขเวอร์ชันหากมีการแพตช์ และระดับความรุนแรง
1. องค์ประกอบ
ปลั๊กอิน: Elementor
ช่องโหว่ : DOM Cross-Site-Scripting
การติดตั้งที่ใช้งานอยู่ : 5+ ล้าน
แพตช์ในเวอร์ชัน : 3.4.8
คะแนน ความรุนแรง : สูง
2. อัพดราฟท์พลัส
ปลั๊กอิน: UpdraftPlus
ช่องโหว่ : Reflected Cross-Site Scripting
การติดตั้งที่ใช้งานอยู่ : 3+ ล้าน
แพตช์ ในเวอร์ชัน : 1.16.66
คะแนน ความรุนแรง : สูง
3. WooCommerce PDF ใบแจ้งหนี้ & สลิปบรรจุภัณฑ์
ปลั๊กอิน: WooCommerce PDF ใบแจ้งหนี้ & สลิปบรรจุภัณฑ์
ช่องโหว่ : Reflected Cross-Site Scripting
การติดตั้งที่ใช้งานอยู่ : 300,000+
แพต ช์ในเวอร์ชัน : 2.10.5
คะแนน ความรุนแรง : สูง
4. ความสามารถในการเผยแพร่
ปลั๊กอิน: ความสามารถในการเผยแพร่
ช่องโหว่ : Unauthenticated Arbitrary Options Update to Blog Compromise
การติดตั้งที่ใช้งานอยู่ : 100,000+
แพตช์ในเวอร์ชัน : 2.3.1
คะแนน ความรุนแรง : วิกฤต
ปลั๊กอิน: ความสามารถในการเผยแพร่ Pro
ช่องโหว่ : Unauthenticated Arbitrary Options Update to Blog Compromise
แพตช์ในเวอร์ชัน : 2.3.1
คะแนน ความรุนแรง : วิกฤต
5. Chaty ฟรี
ปลั๊กอิน: Chaty ฟรี
ช่องโหว่ : Reflected Cross-Site Scripting
การติดตั้งที่ใช้งานอยู่ : 100,000+
แพตช์ในเวอร์ชัน : 2.8.3
คะแนน ความรุนแรง : สูง
ปลั๊กอิน: Chaty Pro
ช่องโหว่ : Reflected Cross-Site Scripting
แพตช์ในเวอร์ชัน : 2.8.2
คะแนน ความรุนแรง : สูง
6. โปรแกรมเสริม PowerPack สำหรับ Elementor
ปลั๊กอิน: ส่วนเสริม PowerPack สำหรับ Elementor
ช่องโหว่ : Reflected Cross-Site Scripting
การติดตั้งที่ใช้งานอยู่ : 60,000+
แพตช์ในเวอร์ชัน : 2.6.2
คะแนน ความรุนแรง : สูง
7. ปฏิทินการจอง
ปลั๊กอิน: ปฏิทินการจอง
ช่องโหว่ : Reflected Cross-Site Scripting
การติดตั้งที่ใช้งานอยู่ : 60,000+
แพต ช์ในเวอร์ชัน : 8.9.2
คะแนน ความรุนแรง : สูง
8. 10 เว็บฟีดรูปภาพโซเชียล
ปลั๊กอิน: ฟีดรูปภาพโซเชียล 10 เว็บ
ช่องโหว่ : Reflected Cross-Site Scripting (XSS)
การติดตั้งที่ใช้งานอยู่ : 60,000+
แพตช์ ในเวอร์ชัน : 1.4.29
คะแนน ความรุนแรง : สูง
9. บทวิจารณ์เว็บไซต์
ปลั๊กอิน: บทวิจารณ์เว็บไซต์
ช่องโหว่ : Unauthenticated Stored Cross-Site Scripting
การติดตั้งที่ใช้งานอยู่ : 40,000+
แพตช์ ในเวอร์ชัน : 5.17.3
คะแนน ความรุนแรง : สูง
10. แพ็กเร่งความเร็ว
ปลั๊กอิน: Speed Booster Pack
ช่องโหว่ : Admin+ SQL Injection
การติดตั้งที่ใช้งานอยู่ : 30,000+
แพตช์ในเวอร์ชัน : 4.3.3.1
คะแนน ความรุนแรง : ปานกลาง
11. โซลูชัน Multivendor Marketplace สำหรับ WooCommerce
ปลั๊กอิน: โซลูชัน Multivendor Marketplace สำหรับ WooCommerce
ช่องโหว่ : Unauthenticated AJAX Calls
การติดตั้งที่ใช้งานอยู่ : 10,000+
แพตช์ในเวอร์ชัน : 3.8.4
คะแนน ความรุนแรง : สูง
12. หน้าต่างโมดอล
ปลั๊กอิน: Modal Window
ช่องโหว่ : RFI ที่นำไปสู่ RCE ผ่าน CSRF
การติดตั้งที่ใช้งานอยู่ : 10,000+
แพตช์ในเวอร์ชัน : 5.2.2
คะแนน ความรุนแรง : สูง
13. WP Coder
ปลั๊กอิน: WP Coder
ช่องโหว่ : RFI ที่นำไปสู่ RCE ผ่าน CSRF
การติดตั้งที่ใช้งานอยู่ : 10,000+
แพตช์ในเวอร์ชัน : 2.5.2
คะแนน ความรุนแรง : สูง
14. การลงทะเบียนเวทย์มนตร์
ปลั๊กอิน: RegistrationMagic
ช่องโหว่ : Admin+ SQL Injection
การติดตั้งที่ใช้งานอยู่ : 10,000+
แพตช์ ในเวอร์ชัน : 5.0.1.6
คะแนน ความรุนแรง : ปานกลาง
ปลั๊กอิน: RegistrationMagic
ช่องโหว่ : Authentication Bypass
การติดตั้งที่ใช้งานอยู่ : 10,000+
แพตช์ ในเวอร์ชัน : 5.0.1.8
คะแนน ความรุนแรง : วิกฤต
15. เหตุการณ์ที่ทำได้ง่าย
ปลั๊กอิน: กิจกรรมที่ทำได้ง่าย
ช่องโหว่ : Subscriber+ SQL Injection
การติดตั้งที่ใช้งานอยู่ : 6,000+
แพตช์ ในเวอร์ชัน : 2.2.36
คะแนน ความรุนแรง : สูง
16. เครื่องกำเนิดปุ่ม
ปลั๊กอิน: ตัวสร้าง ปุ่ม
ช่องโหว่ : RFI ที่นำไปสู่ RCE ผ่าน CSRF
การติดตั้งที่ใช้งานอยู่ : 5,000+
แพตช์ในเวอร์ชัน : 2.3.3
คะแนน ความรุนแรง : สูง
17. แท็บ – หีบเพลง, คำถามที่พบบ่อย
ปลั๊กอิน: แท็บ – หีบเพลง, คำถามที่พบบ่อย
ช่องโหว่ : Unauthenticated AJAX Calls
การติดตั้งที่ใช้งานอยู่ : 2000+
แพตช์ในเวอร์ชัน : 1.3.2
คะแนน ความรุนแรง : วิกฤต
18. การจัดระดับดาว
ปลั๊กอิน: การจัดระดับดาว
ช่องโหว่ : ความคิดเห็นปฏิเสธการให้บริการ
การติดตั้งที่ใช้งานอยู่ : 800+
แพตช์ในเวอร์ชัน : 3.5.1
คะแนน ความรุนแรง : ปานกลาง
19. WPcalc
ปลั๊กอิน: WPcalc
ช่องโหว่ : Authenticated SQL Injection
Patched in Version : No Know Fix – ปลั๊กอินถูกปิด
คะแนน ความรุนแรง : ปานกลาง
วิธีป้องกันเว็บไซต์ WordPress ของคุณจากปลั๊กอินและธีมที่มีช่องโหว่
ดังที่คุณเห็นจากรายงานนี้ มีการเปิดเผยปลั๊กอิน WordPress และช่องโหว่ของธีมใหม่จำนวนมากในแต่ละสัปดาห์ เราทราบดีว่าการติดตามการเปิดเผยช่องโหว่ที่รายงานทุกครั้งอาจเป็นเรื่องยาก ดังนั้นปลั๊กอิน iThemes Security Pro จึงช่วยให้แน่ใจได้ง่ายว่าไซต์ของคุณไม่ได้ใช้งานธีม ปลั๊กอิน หรือเวอร์ชันหลักของ WordPress ที่มีช่องโหว่ที่ทราบ
1. ติดตั้งปลั๊กอิน iThemes Security Pro
ปลั๊กอิน iThemes Security Pro ทำให้ไซต์ WordPress ของคุณแข็งแกร่งขึ้นจากวิธีการทั่วไปที่เว็บไซต์ถูกแฮ็ก ด้วย 30 วิธีในการรักษาความปลอดภัยไซต์ของคุณในปลั๊กอินเดียวที่ใช้งานง่าย
2. เปิดใช้งานการสแกนไซต์เพื่อตรวจสอบช่องโหว่ที่รู้จัก
คุณลักษณะการจัดการเวอร์ชันใน iThemes Security Pro ทำงานร่วมกับ Site Scan เพื่อปกป้องไซต์ของคุณ ธีม ปลั๊กอิน และเวอร์ชันหลักของ WordPress ที่มีช่องโหว่จะได้รับการอัปเดตโดยอัตโนมัติสำหรับคุณ
3. เปิดใช้งานการตรวจจับการเปลี่ยนแปลงไฟล์
กุญแจสำคัญในการระบุการละเมิดความปลอดภัยอย่างรวดเร็วคือการตรวจสอบการเปลี่ยนแปลงไฟล์บนเว็บไซต์ของคุณ ฟีเจอร์การตรวจจับการเปลี่ยนแปลงไฟล์ใน iThemes Security Pro จะสแกนไฟล์ในเว็บไซต์ของคุณและแจ้งเตือนคุณเมื่อมีการเปลี่ยนแปลงบนเว็บไซต์ของคุณ
รับ iThemes Security Pro พร้อมการตรวจสอบความปลอดภัยเว็บไซต์ 24/7
iThemes Security Pro ปลั๊กอินความปลอดภัย WordPress ของเรามีมากกว่า 50 วิธีในการรักษาความปลอดภัยและปกป้องเว็บไซต์ของคุณจากช่องโหว่ด้านความปลอดภัยทั่วไปของ WordPress ด้วย WordPress การรับรองความถูกต้องด้วยสองปัจจัย การป้องกันแบบเดรัจฉาน การบังคับใช้รหัสผ่านที่รัดกุม และอื่นๆ คุณสามารถเพิ่มระดับการรักษาความปลอดภัยเพิ่มเติมให้กับเว็บไซต์ของคุณได้
