รายงานช่องโหว่ของ WordPress: ธันวาคม 2021 ตอนที่ 5
เผยแพร่แล้ว: 2021-12-29ปลั๊กอินและธีมที่มีช่องโหว่เป็นสาเหตุอันดับ 1 ที่เว็บไซต์ WordPress ถูกแฮ็ก รายงานช่องโหว่ของ WordPress รายสัปดาห์ที่ขับเคลื่อนโดย WPScan ครอบคลุมถึงปลั๊กอิน ธีม และช่องโหว่หลักของ WordPress และสิ่งที่ควรทำหากคุณเรียกใช้ปลั๊กอินหรือธีมที่มีช่องโหว่บนเว็บไซต์ของคุณ
ช่องโหว่แต่ละจุดจะมีระดับความรุนแรง ต่ำ ปานกลาง สูง หรือ วิกฤต การเปิดเผยและการรายงานช่องโหว่อย่างมีความรับผิดชอบเป็นส่วนสำคัญในการทำให้ชุมชน WordPress ปลอดภัย ใหม่ในรายงานนี้: ช่องโหว่ต่างๆ ถูกจัดเรียงลำดับตามจำนวนการติดตั้งที่ใช้งานอยู่ แทนที่จะเป็นวันที่เปิดเผย
โปรดแชร์โพสต์นี้กับเพื่อนของคุณเพื่อช่วยเผยแพร่และทำให้ WordPress ปลอดภัยยิ่งขึ้นสำหรับทุกคน !
ช่องโหว่หลักของ WordPress
คอร์ WordPress เวอร์ชันล่าสุดคือ 5.8.2 ตามแนวทางปฏิบัติที่ดีที่สุด อย่าลืมรัน WordPress core เวอร์ชันล่าสุดเสมอ!
ช่องโหว่ของปลั๊กอิน WordPress
ในส่วนนี้ ช่องโหว่ของปลั๊กอิน WordPress ล่าสุดได้รับการเปิดเผยแล้ว รายการปลั๊กอินแต่ละรายการประกอบด้วยประเภทของช่องโหว่ การติดตั้งที่ใช้งานอยู่ หมายเลขเวอร์ชันหากมีการแพตช์ และระดับความรุนแรง
1. แบบฟอร์มติดต่อ 7 ส่วนเสริมฐานข้อมูล
ปลั๊กอิน: แบบฟอร์มติดต่อ 7 ส่วนเสริมฐานข้อมูล
ช่องโหว่ : Unauthenticated Stored Cross-Site Scripting
การติดตั้งที่ใช้งานอยู่ : 400,000+
แพตช์ ในเวอร์ชัน : 1.2.6.2
คะแนน ความรุนแรง : ปานกลาง
ปลั๊กอิน: แบบฟอร์มติดต่อ 7 ส่วนเสริมฐานข้อมูล
ช่องโหว่ : การลบแบบฟอร์มโดยพลการผ่าน CSRF
การติดตั้งที่ใช้งานอยู่ : 400,000+
แพตช์ ในเวอร์ชัน : 1.2.6.2
คะแนน ความรุนแรง : ปานกลาง
2. แบบฟอร์มง่าย ๆ สำหรับ Mailchimp
ปลั๊กอิน: แบบฟอร์มง่าย ๆ สำหรับ Mailchimp
ช่องโหว่ : Reflected Cross-Site Scripting
การติดตั้งที่ใช้งานอยู่ : 100,000+
แพต ช์ในเวอร์ชัน : 6.8.6
คะแนน ความรุนแรง : ปานกลาง
3. Relevanssi – การค้นหาที่ดีกว่า
Plugin: Relevanssi – A Better Search
ช่องโหว่ : Unauthenticated Stored Cross-Site Scripting
การติดตั้งที่ใช้งานอยู่ : 100,000+
แพตช์ ในเวอร์ชัน : 4.14.3
คะแนน ความรุนแรง : สูง
4. แบบฟอร์มจดหมายข่าว, SMTP, การตลาดทางอีเมลและการสมัครรับข้อมูลโดย Sendinblue
ปลั๊กอิน: แบบฟอร์มจดหมายข่าว, SMTP, การตลาดทางอีเมลและการสมัครรับข้อมูลโดย Sendinblue
ช่องโหว่ : Reflected Cross-Site Scripting
การติดตั้งที่ใช้งานอยู่ : 90,000+
แพตช์ ในเวอร์ชัน : 3.1.25
คะแนน ความรุนแรง : สูง
5. Product Feed PRO สำหรับ WooCommerce
ปลั๊กอิน: Product Feed PRO สำหรับ WooCommerce
ช่องโหว่ : Subscriber+ Settings Update เป็น XSS . ที่เก็บไว้
การติดตั้งที่ใช้งาน : 80,000+
แพตช์ ในเวอร์ชัน : 11.0.7
คะแนน ความรุนแรง : สูง
6. โพสต์กริด
ปลั๊กอิน: Post Grid
ช่องโหว่ : Contributor+ SQL Injection
การติดตั้งที่ใช้งานอยู่ : 60,000+
แพตช์ในเวอร์ชัน : 2.1.13
คะแนน ความรุนแรง : ปานกลาง
7. แบบฟอร์มการติดต่อ En
ปลั๊กอิน: รายการแบบฟอร์มติดต่อ
ช่องโหว่ : Unauthenticated Stored Cross-Site Scripting
การติดตั้งที่ใช้งานอยู่ : 40,000+
แพตช์ในเวอร์ชัน : 1.2.4
คะแนน ความรุนแรง : สูง
8. ตั๋วงาน
ปลั๊กอิน: ตั๋วกิจกรรม
ช่องโหว่ : Open Redirect
การติดตั้งที่ใช้งานอยู่ : 40,000+
แพตช์ในเวอร์ชัน : 5.2.2
คะแนน ความรุนแรง : ปานกลาง
9. ฟิลด์กำหนดเองขั้นสูง: Extended
ปลั๊กอิน: ฟิลด์กำหนดเองขั้นสูง: Extended
ช่องโหว่ : Admin+ SQL Injection
การติดตั้งที่ใช้งานอยู่ : 40,000+
แพตช์ ในเวอร์ชัน : 0.8.8.7
คะแนน ความรุนแรง : ปานกลาง
10. รับบริจาคด้วย PayPal
ปลั๊กอิน: รับบริจาคด้วย PayPal
ช่องโหว่ : Arbitrary Post Delete ผ่าน CSRF
การติดตั้งที่ใช้งานอยู่ : 30,000+
แพตช์ในเวอร์ชัน : 1.3.4
คะแนน ความรุนแรง : สูง
11. สนามภาพถ่าย ACF
ปลั๊กอิน: ฟิลด์แกลเลอรีภาพถ่าย ACF
ช่องโหว่ : Reflected Cross-Site Scripting
การติดตั้งที่ใช้งานอยู่ : 30,000+
แพต ช์ในเวอร์ชัน : 1.7.5
คะแนน ความรุนแรง : ปานกลาง
12. การตรวจสอบการดาวน์โหลดอย่างง่าย
ปลั๊กอิน: การตรวจสอบการดาวน์โหลดอย่างง่าย
ช่องโหว่ : หลาย CSRF
การติดตั้งที่ใช้งานอยู่ : 30,000+
แพต ช์ในเวอร์ชัน : 3.9.11
คะแนน ความรุนแรง : ปานกลาง
13. ปกป้องผู้ดูแลระบบ WP
ปลั๊กอิน: ปกป้อง WP Admin
ช่องโหว่ : Unauthenticated Plugin Deactivation
การติดตั้งที่ใช้งานอยู่ : 30,000+
แพตช์ในเวอร์ชัน : 3.6.2
คะแนน ความรุนแรง : ปานกลาง
14. สำรองและจัดเตรียมโดย WP Time Capsule
ปลั๊กอิน: สำรองและจัดเตรียมโดย WP Time Capsule
ช่องโหว่ : Reflected Cross-Site Scripting
การติดตั้งที่ใช้งานอยู่ : 20,000+
แพตช์ ในเวอร์ชัน : 1.22.7
คะแนน ความรุนแรง : สูง
15. ปฏิทินกิจกรรม
ปลั๊กอิน: ปฏิทินกิจกรรม
ช่องโหว่ : Reflected Cross-Site Scripting
การติดตั้งที่ใช้งานอยู่ : 20,000+
แพตช์ ในเวอร์ชัน : 1.1.51
คะแนน ความรุนแรง : สูง
ปลั๊กอิน: ปฏิทินกิจกรรม
ช่องโหว่ : Subscriber+ Event Creation
การติดตั้งที่ใช้งานอยู่ : 20,000+
แพตช์ ในเวอร์ชัน : 1.1.51
คะแนน ความรุนแรง : ปานกลาง
16. การจองร้านอาหารห้าดาว
ปลั๊กอิน: การจองร้านอาหารระดับห้าดาว
ช่องโหว่ : Subscriber+ Stored Cross-Site Scripting
การติดตั้งที่ใช้งานอยู่ : 20,000+
แพตช์ในเวอร์ชัน : 2.4.8
คะแนน ความรุนแรง : สูง
17. ฟอรัม Asgaros
ปลั๊กอิน: ฟอรัม Asgaros
ช่องโหว่ : Admin+ SQL Injection ผ่าน forum_id
การติดตั้งที่ใช้งานอยู่ : 20,000+
แพตช์ ในเวอร์ชัน : 1.15.15
คะแนน ความรุนแรง : ปานกลาง
18. WP125
ปลั๊กอิน: WP125
ช่องโหว่ : การลบโฆษณาโดยพลการผ่าน CSRF
การติดตั้งที่ใช้งานอยู่ : 10,000+
แพตช์ในเวอร์ชัน : 1.5.5
คะแนน ความรุนแรง : ปานกลาง
19. ผู้จัดการบริษัทในเครือ
ปลั๊กอิน: Affiliates Manager
ช่องโหว่ : Unauthenticated Stored Cross-Site Scripting
การติดตั้งที่ใช้งานอยู่ : 10,000+
แพต ช์ในเวอร์ชัน : 2.9.0
คะแนน ความรุนแรง : สูง
20. เครื่องมือ SEO อัจฉริยะ
ปลั๊กอิน: เครื่องมือ SEO อัจฉริยะ
ช่องโหว่ : Reflected Cross-Site Scripting
การติดตั้งที่ใช้งานอยู่ : 9,000+
แพตช์ในเวอร์ชัน : 3.0.6
คะแนน ความรุนแรง : ปานกลาง
21. tarteaucitron.js – กฎหมายเกี่ยวกับคุกกี้ & GDPR
ปลั๊กอิน: tarteaucitron.js – กฎหมายคุกกี้ & GDPR
ช่องโหว่ : CSRF ถึง Stored Cross-Site Scripting
การติดตั้งที่ใช้งาน : 7,000+
แพตช์ในเวอร์ชัน : 1.6
คะแนน ความรุนแรง : ปานกลาง
ปลั๊กอิน: tarteaucitron.js – กฎหมายคุกกี้ & GDPR
ช่องโหว่ : Admin + Stored Cross-Site Scripting
การติดตั้งที่ใช้งาน : 7,000+
แพตช์ในเวอร์ชัน : 1.6.1
คะแนน ความรุนแรง : ต่ำ
22. SEO Booster
ปลั๊กอิน: SEO Booster
ช่องโหว่ : Admin+ SQL Injection
การติดตั้งที่ใช้งานอยู่ : 4,000+
แพตช์ในเวอร์ชัน : 3.8
คะแนน ความรุนแรง : ปานกลาง
23. ผู้สร้างแบนเนอร์ของ Booking.com
ปลั๊กอิน: ผู้สร้างแบนเนอร์ของ Booking.com
ช่องโหว่ : Admin+ Stored Cross-Site Scripting
การติดตั้งที่ใช้งานอยู่ : 3,000+
แพตช์ในเวอร์ชัน : 1.4.3
คะแนน ความรุนแรง : ต่ำ
24. ฟิลด์พิเศษของโปรไฟล์
ปลั๊กอิน: ฟิลด์พิเศษของโปรไฟล์
ช่องโหว่ : Reflected Cross-Site Scripting
การติดตั้งที่ใช้งานอยู่ : 2,000+
แพตช์ในเวอร์ชัน : 1.2.4
คะแนน ความรุนแรง : สูง
25. ผู้ช่วยผลิตภัณฑ์ Booking.com
ปลั๊กอิน: ผู้ช่วยผลิตภัณฑ์ Booking.com
ช่องโหว่ : Admin+ Stored Cross-Site Scripting
การติดตั้งที่ใช้งานอยู่ : 2,000+
แพตช์ในเวอร์ชัน : 1.0.2
คะแนน ความรุนแรง : ต่ำ
26. SUR Official
ปลั๊กอิน: SEUR Official
ช่องโหว่ : Admin+ Stored Cross-Site Scripting
การติดตั้งที่ใช้งานอยู่ : 1,000+
แพตช์ในเวอร์ชัน : 1.7.0
คะแนน ความรุนแรง : ปานกลาง
27. การรวมสเปรดชีต
ปลั๊กอิน: การรวมสเปรดชีต
ช่องโหว่ : CSRF Bypass
การติดตั้งที่ใช้งานอยู่ : 1,000+
แพตช์ในเวอร์ชัน : 3.6.0
คะแนน ความรุนแรง : ปานกลาง
ปลั๊กอิน: การรวมสเปรดชีต
ช่องโหว่ : Reflected Cross-Site Scripting
การติดตั้งที่ใช้งานอยู่ : 1,000+
แพตช์ในเวอร์ชัน : 3.6.0
คะแนน ความรุนแรง : สูง
28. โฆษณาพันธมิตร ClickBank
ปลั๊กอิน: ClickBank Affiliate Ads
ช่องโหว่ : Admin+ Stored Cross-Site Scripting
การติดตั้งที่ใช้งานอยู่ : 700+
แพตช์ในเวอร์ชัน : 1.35
คะแนน ความรุนแรง : ต่ำ
ปลั๊กอิน: ClickBank Affiliate Ads
ช่องโหว่ : CSRF ถึง Stored Cross-Site Scripting
การติดตั้งที่ใช้งานอยู่ : 700+
แพตช์ในเวอร์ชัน : 1.35
คะแนน ความรุนแรง : สูง
29. สเตติก
ปลั๊กอิน: Stetic
ช่องโหว่ : CSRF ถึง Stored Cross-Site Scripting
การติดตั้งที่ใช้งานอยู่ : 300+
แพตช์ในเวอร์ชัน : 1.0.9
คะแนน ความรุนแรง : สูง
30. ผู้จัดการกิจกรรมมือถือ
ปลั๊กอิน: Mobile Events Manager
ช่องโหว่ : Admin+ Stored Cross-Site Scripting
การติดตั้งที่ใช้งานอยู่ : 20+
แพตช์ในเวอร์ชัน : 1.4.4
คะแนน ความรุนแรง : ต่ำ
ช่องโหว่ของปลั๊กอิน WordPress: ไม่มีการแก้ไขที่เป็นที่รู้จัก
ในส่วนนี้ ช่องโหว่ล่าสุดของปลั๊กอิน WordPress ได้รับการเปิดเผยในปลั๊กอินแบบปิด รายการปลั๊กอินแต่ละรายการประกอบด้วยประเภทของช่องโหว่ ระดับความรุนแรง และวันที่ปิด
31. ความคิดเห็นใด ๆ
ปลั๊กอิน: AnyComment
ช่องโหว่ : Reflected Cross-Site Scripting
การติดตั้งที่ใช้งานอยู่ : 4,000+
แพทช์ในเวอร์ชัน : ไม่มีโปรแกรมแก้ไขที่รู้จัก
คะแนน ความรุนแรง : ปานกลาง
ช่องโหว่ของปลั๊กอิน WordPress: ปิดปลั๊กอินแล้ว
ในส่วนนี้ ช่องโหว่ล่าสุดของปลั๊กอิน WordPress ได้รับการเปิดเผยในปลั๊กอินแบบปิด รายการปลั๊กอินแต่ละรายการประกอบด้วยประเภทของช่องโหว่ ระดับความรุนแรง และวันที่ปิด
32. แท็บ
ปลั๊กอิน: แท็บ
ช่องโหว่ : Unauthenticated Arbitrary Option Update
แพตช์ในเวอร์ชัน : 3.6.0 – ปิดปลั๊กอินแล้ว
คะแนน ความรุนแรง : วิกฤต
33. ส่วนเสริมรหัสย่อ
ปลั๊กอิน: ส่วนเสริมรหัสย่อ
ช่องโหว่ : Unauthenticated Arbitrary Option Update
แพตช์ในเวอร์ชัน : 3.1.0 – ปิดปลั๊กอินแล้ว
คะแนน ความรุนแรง : วิกฤต
วิธีป้องกันเว็บไซต์ WordPress ของคุณจากปลั๊กอินและธีมที่มีช่องโหว่
ดังที่คุณเห็นจากรายงานช่องโหว่ของ WordPress รายสัปดาห์ ปลั๊กอิน WordPress ใหม่และช่องโหว่ของธีมจำนวนมากจะถูกเปิดเผยในแต่ละสัปดาห์ เราทราบดีว่าการติดตามการเปิดเผยช่องโหว่ที่รายงานทุกครั้งอาจเป็นเรื่องยาก ดังนั้นปลั๊กอิน iThemes Security Pro จึงช่วยให้แน่ใจได้ง่ายว่าไซต์ของคุณไม่ได้ใช้งานธีม ปลั๊กอิน หรือเวอร์ชันหลักของ WordPress ที่มีช่องโหว่ที่ทราบ
1. ติดตั้งปลั๊กอิน iThemes Security Pro
ปลั๊กอิน iThemes Security Pro ทำให้ไซต์ WordPress ของคุณแข็งแกร่งขึ้นจากวิธีการทั่วไปที่เว็บไซต์ถูกแฮ็ก ด้วย 30 วิธีในการรักษาความปลอดภัยไซต์ของคุณในปลั๊กอินเดียวที่ใช้งานง่าย
2. เปิดใช้งานการสแกนไซต์เพื่อตรวจสอบช่องโหว่ที่รู้จัก
คุณลักษณะการจัดการเวอร์ชันใน iThemes Security Pro ทำงานร่วมกับ Site Scan เพื่อปกป้องไซต์ของคุณ ธีม ปลั๊กอิน และเวอร์ชันหลักของ WordPress ที่มีช่องโหว่จะได้รับการอัปเดตโดยอัตโนมัติสำหรับคุณ
3. เปิดใช้งานการตรวจจับการเปลี่ยนแปลงไฟล์
กุญแจสำคัญในการระบุการละเมิดความปลอดภัยอย่างรวดเร็วคือการตรวจสอบการเปลี่ยนแปลงไฟล์บนเว็บไซต์ของคุณ ฟีเจอร์การตรวจจับการเปลี่ยนแปลงไฟล์ใน iThemes Security Pro จะสแกนไฟล์ในเว็บไซต์ของคุณและแจ้งเตือนคุณเมื่อมีการเปลี่ยนแปลงบนเว็บไซต์ของคุณ
รับ iThemes Security Pro ด้วยการสแกนไซต์
iThemes Security Pro ปลั๊กอินความปลอดภัย WordPress ของเรามีมากกว่า 50 วิธีในการรักษาความปลอดภัยและปกป้องเว็บไซต์ของคุณจากช่องโหว่ด้านความปลอดภัยทั่วไปของ WordPress ด้วย WordPress การรับรองความถูกต้องด้วยสองปัจจัย การป้องกันแบบเดรัจฉาน การบังคับใช้รหัสผ่านที่รัดกุม และอื่นๆ คุณสามารถเพิ่มระดับการรักษาความปลอดภัยเพิ่มเติมให้กับเว็บไซต์ของคุณได้
