รายงานช่องโหว่ของ WordPress: มกราคม 2022 ตอนที่ 1
เผยแพร่แล้ว: 2022-01-06ปลั๊กอินและธีมที่มีช่องโหว่เป็นสาเหตุอันดับ 1 ที่เว็บไซต์ WordPress ถูกแฮ็ก รายงานช่องโหว่ของ WordPress รายสัปดาห์ที่ขับเคลื่อนโดย WPScan ครอบคลุมถึงปลั๊กอิน ธีม และช่องโหว่หลักของ WordPress และสิ่งที่ควรทำหากคุณเรียกใช้ปลั๊กอินหรือธีมที่มีช่องโหว่บนเว็บไซต์ของคุณ
ช่องโหว่แต่ละจุดจะมีระดับความรุนแรง ต่ำ ปานกลาง สูง หรือ วิกฤต การเปิดเผยและการรายงานช่องโหว่อย่างมีความรับผิดชอบเป็นส่วนสำคัญในการทำให้ชุมชน WordPress ปลอดภัย ใหม่ในรายงานนี้: ช่องโหว่ต่างๆ ถูกจัดเรียงลำดับตามจำนวนการติดตั้งที่ใช้งานอยู่ แทนที่จะเป็นวันที่เปิดเผย
โปรดแชร์โพสต์นี้กับเพื่อนของคุณเพื่อช่วยเผยแพร่และทำให้ WordPress ปลอดภัยยิ่งขึ้นสำหรับทุกคน !
สรุปรายงานช่องโหว่ของ WordPress ปี 2021: เปิดเผยช่องโหว่ 1,263 รายการ ปลั๊กอิน 98%
- ในปี 2564 มีการเปิดเผยช่องโหว่ของปลั๊กอินและธีมทั้งหมด 1,263 รายการ ช่องโหว่ของปลั๊กอิน WordPress ประกอบด้วย 98% ของช่องโหว่ทั้งหมดที่มีการรายงาน
- กันยายน 2564 พบช่องโหว่มากที่สุด โดยมีการเปิดเผยช่องโหว่ทั้งหมด 323 รายการในเดือนนั้นเพียงเดือนเดียว
- ช่องโหว่ของปลั๊กอินประเภทที่พบบ่อยที่สุดที่เปิดเผยในปี 2564 คือ cross-site scripting (XSS) และการฉีด SQL ผู้เขียนปลั๊กอินส่วนใหญ่ออกแพตช์ ในขณะที่ปลั๊กอินบางตัวยังคงปิดอยู่
- เนื่องจากการเปิดเผยช่องโหว่ที่เพิ่มขึ้น เราจึงเปลี่ยนความถี่ของรายงานช่องโหว่เป็นสัปดาห์ละครั้ง แทนที่จะเป็นเดือนละสองครั้ง
- ด้วยความคิดเห็นของคุณ เราจึงเริ่มแสดงรายการการเปิดเผยปลั๊กอินตามลำดับหรือการติดตั้งที่ใช้งานอยู่ เรายังเริ่มจัดกลุ่มปลั๊กอินแบบฟรีและแบบโปร โดยมีส่วนแยกต่างหากสำหรับปลั๊กอินแบบปิดและปลั๊กอินที่ไม่ทราบวิธีแก้ไข
ช่องโหว่หลักของ WordPress
คอร์ WordPress เวอร์ชันล่าสุดคือ 5.8.2 ตามแนวทางปฏิบัติที่ดีที่สุด อย่าลืมรัน WordPress core เวอร์ชันล่าสุดเสมอ!
ช่องโหว่ของปลั๊กอิน WordPress
ในส่วนนี้ ช่องโหว่ของปลั๊กอิน WordPress ล่าสุดได้รับการเปิดเผยแล้ว รายการปลั๊กอินแต่ละรายการประกอบด้วยประเภทของช่องโหว่ การติดตั้งที่ใช้งานอยู่ หมายเลขเวอร์ชันหากมีการแพตช์ และระดับความรุนแรง
1. UpdraftPlus
ปลั๊กอิน: UpdraftPlus
ช่องโหว่ : Reflected Cross-Site Scripting
การติดตั้งที่ใช้งานอยู่ : 3+ ล้าน
แพตช์ ในเวอร์ชัน : 1.16.569
คะแนน ความรุนแรง : สูง
ปลั๊กอิน: UpdraftPlus
ช่องโหว่ : Admin+ Stored Cross-Site Scripting
การติดตั้งที่ใช้งานอยู่ : 3+ ล้าน
แพตช์ ในเวอร์ชัน : 1.6.59
คะแนน ความรุนแรง : ต่ำ
ปลั๊กอิน: UpdraftPlus
ช่องโหว่ : Admin+ Local File Inclusion
การติดตั้งที่ใช้งานอยู่ : 3+ ล้าน
แพตช์ ในเวอร์ชัน : 1.16.59
คะแนน ความรุนแรง : ปานกลาง
2. ตัวแปลง WebP สำหรับสื่อ
ปลั๊กอิน: WebP Converter สำหรับสื่อ
ช่องโหว่ : Unauthenticated Open redirect
การติดตั้งที่ใช้งานอยู่ : 100,000+
แพตช์ในเวอร์ชัน : 4.0.3
คะแนน ความรุนแรง : ปานกลาง
3. WOOF – ตัวกรองผลิตภัณฑ์สำหรับ WooCommerce
ปลั๊กอิน: WOOF – ตัวกรองผลิตภัณฑ์สำหรับ WooCommerce
ช่องโหว่ : Reflected Cross-Site Scripting
การติดตั้งที่ใช้งานอยู่ : 100,000+
แพตช์ ในเวอร์ชัน : 1.2.6.3
คะแนน ความรุนแรง : สูง
4. LearnPress
ปลั๊กอิน: LearnPress
ช่องโหว่ : Admin+ Stored Cross-Site Scripting
การติดตั้งที่ใช้งานอยู่ : 100,000+
แพตช์ในเวอร์ชัน : 4.1.3.2
คะแนน ความรุนแรง : ปานกลาง
5. โคลนหน้าโพสต์ WP
ปลั๊กอิน: โคลนหน้าโพสต์ WP
ช่องโหว่ : โพสต์โดยไม่ได้รับอนุญาต
การติดตั้งที่ใช้งาน : 80,000+
แพตช์ในเวอร์ชัน : 1.2
คะแนน ความรุนแรง : ปานกลาง
6. ประเภทไฟล์เสริม WP
ปลั๊กอิน: WP Extra File Types
ช่องโหว่ : CSRF ถึง Stored Cross-Site Scripting
การติดตั้งที่ใช้งาน : 50,000+
แก้ไขในเวอร์ชัน : 0.5.1
คะแนน ความรุนแรง : สูง
7. ติวเตอร์ LMS
ปลั๊กอิน: ติวเตอร์ LMS
ช่องโหว่ : Subscriber+ Stored Cross-Site Scripting
การติดตั้งที่ใช้งานอยู่ : 40,000+
แพตช์ ในเวอร์ชัน : 1.9.12
คะแนน ความรุนแรง : สูง
ปลั๊กอิน: ติวเตอร์ LMS
ช่องโหว่ : Reflected Cross-Site Scripting
การติดตั้งที่ใช้งานอยู่ : 40,000+
แพตช์ ในเวอร์ชัน : 1.9.12
คะแนน ความรุนแรง : สูง
8. แดชบอร์ดที่กำหนดเอง & หน้าเข้าสู่ระบบ
ปลั๊กอิน: แดชบอร์ดที่กำหนดเอง & หน้าเข้าสู่ระบบ
ช่องโหว่ : Admin+ Stored Cross-Site Scripting
การติดตั้งที่ใช้งานอยู่ : 40,000+
แพตช์ในเวอร์ชัน : 7.0
คะแนน ความรุนแรง : ปานกลาง
9. คำถามที่พบบ่อยที่สุด
ปลั๊กอิน: Ultimate FAQ
ช่องโหว่ : Subscriber+ Arbitrary FAQ Creation
การติดตั้งที่ใช้งานอยู่ : 30,000+
แพตช์ในเวอร์ชัน : 2.1.2
คะแนน ความรุนแรง : ปานกลาง
10. ส่วนหน้าผู้ใช้ WP
ปลั๊กอิน: WP User Frontend
ช่องโหว่ : SQL Injection to Reflected Cross-site Scripting
การติดตั้งที่ใช้งานอยู่ : 30,000+
แพตช์ ในเวอร์ชัน : 3.5.26
คะแนน ความรุนแรง : สูง
11. myCred
ปลั๊กอิน: myCred
ช่องโหว่ : Reflected Cross-Site Scripting
การติดตั้งที่ใช้งานอยู่ : 20,000+
แพตช์ในเวอร์ชัน : 2.4
คะแนน ความรุนแรง : สูง
12. เอฟเฟกต์โฮเวอร์รูปภาพขั้นสูงสุด
ปลั๊กอิน: Image Hover Effects Ultimate
ช่องโหว่ : Reflected Cross-Site Scripting
การติดตั้งที่ใช้งานอยู่ : 20,000+
แพตช์ในเวอร์ชัน : 9.7.1
คะแนน ความรุนแรง : สูง
13. Qubely
ปลั๊กอิน: Qubely
ช่องโหว่ : Subscriber+ Arbitrary FAQ Creation
การติดตั้งที่ใช้งานอยู่ : 10,000+
แพต ช์ในเวอร์ชัน : 1.7.8
คะแนน ความรุนแรง : ปานกลาง
14. การลงทะเบียนเวทย์มนตร์
ปลั๊กอิน: การ ลงทะเบียน Magic
ช่องโหว่ : Reflected Cross-Site Scripting
การติดตั้งที่ใช้งานอยู่ : 10,000+
แพตช์ ในเวอร์ชัน : 5.0.1.9
คะแนน ความรุนแรง : สูง
15. การติดตามคำสั่งซื้อสำหรับ WooCommerce
ปลั๊กอิน: การติดตามคำสั่งซื้อสำหรับ WooCommerce
ช่องโหว่ : Reflected Cross-Site Scripting
การติดตั้งที่ใช้งานอยู่ : 10,000+
แพตช์ในเวอร์ชัน : 1.1.10
คะแนน ความรุนแรง : สูง
16. ลิงค์ห้องสมุด
ปลั๊กอิน: ลิงก์ไลบรารี
ช่องโหว่ : Reflected Cross-Site Scripting
การติดตั้งที่ใช้งานอยู่ : 10,000+
แพต ช์ในเวอร์ชัน : 7.2.8
คะแนน ความรุนแรง : ปานกลาง
ปลั๊กอิน: ลิงก์ไลบรารี
ช่องโหว่ : รีเซ็ตการตั้งค่าไลบรารีผ่าน CSRF
การติดตั้งที่ใช้งานอยู่ : 10,000+
แพต ช์ในเวอร์ชัน : 7.2.8
คะแนน ความรุนแรง : ปานกลาง
ปลั๊กอิน: ลิงก์ไลบรารี
ช่องโหว่ : Unauthenticated Arbitrary Links Deletion
การติดตั้งที่ใช้งานอยู่ : 10,000+
แพต ช์ในเวอร์ชัน : 7.2.8
คะแนน ความรุนแรง : ปานกลาง
17. สหายเอเอฟ
ปลั๊กอิน: AF Companion
ช่องโหว่ : Arbitrary Plugin Installation & Activation via CSRF
การติดตั้งที่ใช้งานอยู่ : 9,000+
แพตช์ในเวอร์ชัน : 1.2.0
คะแนน ความรุนแรง : สูง
18. วิดเจ็ตรายชื่อผู้เขียน KNR
ปลั๊กอิน: วิดเจ็ตรายการผู้เขียน KNR
ช่องโหว่ : Unauthenticated SQL Injection
การติดตั้งที่ใช้งานอยู่ : 200+
แพตช์ในเวอร์ชัน : 3.0.0
คะแนน ความรุนแรง : วิกฤต
19. ข้อมูลผู้ใช้คุกกี้ WP
ปลั๊กอิน: ข้อมูลผู้ใช้คุกกี้ WP
ช่องโหว่ : Admin+ SQL Injection
การติดตั้งที่ใช้งานอยู่ : 200+
แพตช์ในเวอร์ชัน : 1.0.9
คะแนน ความรุนแรง : ปานกลาง
ช่องโหว่ของปลั๊กอิน WordPress: ปิดปลั๊กอินแล้ว
ในส่วนนี้ ช่องโหว่ล่าสุดของปลั๊กอิน WordPress ได้รับการเปิดเผยในปลั๊กอินแบบปิด รายการปลั๊กอินแต่ละรายการประกอบด้วยประเภทของช่องโหว่ ระดับความรุนแรง และวันที่ปิด
20. LabTools
ปลั๊กอิน: LabTools
ช่องโหว่ : Subscriber+ Arbitrary Publication Deletion
Patched in Version : No Know Fix – ปลั๊กอินถูกปิด
คะแนน ความรุนแรง : ปานกลาง
21. การตรวจสอบโดเมน
ปลั๊กอิน: การตรวจสอบโดเมน
ช่องโหว่ : Reflected Cross-Site Scripting
Patched in Version : No Know Fix – ปลั๊กอินถูกปิด
คะแนน ความรุนแรง : สูง
22. ตัวแสดงบันทึกข้อผิดพลาด
ปลั๊กอิน: ตัวแสดงบันทึกข้อผิดพลาด
ช่องโหว่ : การลบไฟล์ข้อความโดยพลการผ่าน CSRF
Patched in Version : No Know Fix – ปลั๊กอินถูกปิด
คะแนน ความรุนแรง : ต่ำ
23. WP เยี่ยมชมประเทศ Reloaded
ปลั๊กอิน: WP เยี่ยมชมประเทศที่โหลดซ้ำ
ช่องโหว่ : Reflected Cross-Site Scripting
แก้ไข ในเวอร์ชัน : 3.1.1- ปิดปลั๊กอิน แล้ว
คะแนน ความรุนแรง : สูง
24. หลักสูตรการเรียนรู้
ปลั๊กอิน: หลักสูตรการเรียนรู้
ช่องโหว่ : Admin+ Stored Cross-Site Scripting
แพตช์ในเวอร์ชัน : 5.0 – ปิดปลั๊กอินแล้ว
คะแนน ความรุนแรง : ต่ำ
25. แบบสำรวจที่สมบูรณ์แบบ
ปลั๊กอิน: แบบสำรวจที่สมบูรณ์แบบ
ช่องโหว่ : AJAX Call to Stored XSS / Survey Settings Update
แพตช์ในเวอร์ชัน : 1.5.2 – ปิดปลั๊กอินแล้ว
คะแนน ความรุนแรง : สูง
ปลั๊กอิน: แบบสำรวจที่สมบูรณ์แบบ
ช่องโหว่ : AJAX Call to Stored XSS / Survey Settings Update
แพตช์ในเวอร์ชัน : 1.5.2 – ปิดปลั๊กอินแล้ว
คะแนน ความรุนแรง : สูง
ปลั๊กอิน: แบบสำรวจที่สมบูรณ์แบบ
ช่องโหว่ : Unauthenticated SQL Injection
แพตช์ในเวอร์ชัน : 1.5.2 – ปิดปลั๊กอินแล้ว
คะแนน ความรุนแรง : สูง
ปลั๊กอิน: แบบสำรวจที่สมบูรณ์แบบ
ช่องโหว่ : Reflected Cross-Site Scripting
แพตช์ในเวอร์ชัน : 1.5.2 – ปิดปลั๊กอินแล้ว
คะแนน ความรุนแรง : สูง
ปลั๊กอิน: แบบสำรวจที่สมบูรณ์แบบ
ช่องโหว่ : Unauthenticated Stored Cross-Site Scripting
Patched in Version : No Know Fix – ปลั๊กอินถูกปิด
คะแนน ความรุนแรง : สูง
ช่องโหว่ของปลั๊กอิน WordPress: ไม่มีการแก้ไขที่เป็นที่รู้จัก
ในส่วนนี้ ช่องโหว่ล่าสุดของปลั๊กอิน WordPress ได้รับการเปิดเผยในปลั๊กอินแบบปิด รายการปลั๊กอินแต่ละรายการประกอบด้วยประเภทของช่องโหว่ ระดับความรุนแรง และวันที่ปิด
26. มีเดียมาติก
ปลั๊กอิน: Mediamatic
ช่องโหว่ : Subscriber+ SQL Injection
การติดตั้งที่ใช้งานอยู่ : 3,000+
แพทช์ในเวอร์ชัน : ไม่มีโปรแกรมแก้ไขที่รู้จัก
คะแนน ความรุนแรง : สูง
วิธีป้องกันเว็บไซต์ WordPress ของคุณจากปลั๊กอินและธีมที่มีช่องโหว่
ดังที่คุณเห็นจากรายงานนี้ มีการเปิดเผยปลั๊กอิน WordPress และช่องโหว่ของธีมใหม่จำนวนมากในแต่ละสัปดาห์ เราทราบดีว่าการติดตามการเปิดเผยช่องโหว่ที่รายงานทุกครั้งอาจเป็นเรื่องยาก ดังนั้นปลั๊กอิน iThemes Security Pro จึงช่วยให้แน่ใจได้ง่ายว่าไซต์ของคุณไม่ได้ใช้งานธีม ปลั๊กอิน หรือเวอร์ชันหลักของ WordPress ที่มีช่องโหว่ที่ทราบ
1. ติดตั้งปลั๊กอิน iThemes Security Pro
ปลั๊กอิน iThemes Security Pro ทำให้ไซต์ WordPress ของคุณแข็งแกร่งขึ้นจากวิธีการทั่วไปที่เว็บไซต์ถูกแฮ็ก ด้วย 30 วิธีในการรักษาความปลอดภัยไซต์ของคุณในปลั๊กอินเดียวที่ใช้งานง่าย
2. เปิดใช้งานการสแกนไซต์เพื่อตรวจสอบช่องโหว่ที่รู้จัก
คุณลักษณะการจัดการเวอร์ชันใน iThemes Security Pro ทำงานร่วมกับ Site Scan เพื่อปกป้องไซต์ของคุณ ธีม ปลั๊กอิน และเวอร์ชันหลักของ WordPress ที่มีช่องโหว่จะได้รับการอัปเดตโดยอัตโนมัติสำหรับคุณ
3. เปิดใช้งานการตรวจจับการเปลี่ยนแปลงไฟล์
กุญแจสำคัญในการระบุการละเมิดความปลอดภัยอย่างรวดเร็วคือการตรวจสอบการเปลี่ยนแปลงไฟล์บนเว็บไซต์ของคุณ ฟีเจอร์การตรวจจับการเปลี่ยนแปลงไฟล์ใน iThemes Security Pro จะสแกนไฟล์ในเว็บไซต์ของคุณและแจ้งเตือนคุณเมื่อมีการเปลี่ยนแปลงบนเว็บไซต์ของคุณ
รับ iThemes Security Pro พร้อมการตรวจสอบความปลอดภัยเว็บไซต์ 24/7
iThemes Security Pro ปลั๊กอินความปลอดภัย WordPress ของเรามีมากกว่า 50 วิธีในการรักษาความปลอดภัยและปกป้องเว็บไซต์ของคุณจากช่องโหว่ด้านความปลอดภัยทั่วไปของ WordPress ด้วย WordPress การรับรองความถูกต้องด้วยสองปัจจัย การป้องกันแบบเดรัจฉาน การบังคับใช้รหัสผ่านที่รัดกุม และอื่นๆ คุณสามารถเพิ่มระดับการรักษาความปลอดภัยเพิ่มเติมให้กับเว็บไซต์ของคุณได้
