รายงานช่องโหว่ของ WordPress: มกราคม 2022 ตอนที่ 2
เผยแพร่แล้ว: 2022-01-12ปลั๊กอินและธีมที่มีช่องโหว่เป็นสาเหตุอันดับ 1 ที่เว็บไซต์ WordPress ถูกแฮ็ก รายงานช่องโหว่ของ WordPress รายสัปดาห์ที่ขับเคลื่อนโดย WPScan ครอบคลุมถึงปลั๊กอิน ธีม และช่องโหว่หลักของ WordPress และสิ่งที่ควรทำหากคุณเรียกใช้ปลั๊กอินหรือธีมที่มีช่องโหว่บนเว็บไซต์ของคุณ
ช่องโหว่แต่ละจุดจะมีระดับความรุนแรง ต่ำ ปานกลาง สูง หรือ วิกฤต การเปิดเผยและการรายงานช่องโหว่อย่างมีความรับผิดชอบเป็นส่วนสำคัญในการทำให้ชุมชน WordPress ปลอดภัย ใหม่ในรายงานนี้: ช่องโหว่ต่างๆ ถูกจัดเรียงลำดับตามจำนวนการติดตั้งที่ใช้งานอยู่ แทนที่จะเป็นวันที่เปิดเผย
โปรดแชร์โพสต์นี้กับเพื่อนของคุณเพื่อช่วยเผยแพร่และทำให้ WordPress ปลอดภัยยิ่งขึ้นสำหรับทุกคน !
ช่องโหว่หลักของ WordPress
คอร์ WordPress เวอร์ชันล่าสุดเปิดตัวเมื่อวันที่ 6 มกราคม 2022 เป็นรุ่นความปลอดภัยระยะสั้น เนื่องจาก WordPress 5.8.3 เป็นรุ่นความปลอดภัย เราขอแนะนำให้คุณอัปเดตไซต์ทั้งหมดของคุณทันที
คุณสามารถอัปเดตเป็น WordPress 5.8.3 โดยดาวน์โหลดจาก WordPress.org หรือไปที่แดชบอร์ดผู้ดูแลระบบ WordPress > อัปเดต แล้วคลิก อัปเดต ทันที
หากคุณมีไซต์ที่เปิดใช้งานการอัปเดตพื้นหลังอัตโนมัติ ไซต์เหล่านั้นควรจะอัปเดตสำเร็จแล้ว
WordPress Core
ช่องโหว่ : SQL Injection ผ่าน WP_Query
แพต ช์ในเวอร์ชัน : 5.8.3
คำอธิบาย: เนื่องจากขาดการฆ่าเชื้อที่เหมาะสมใน WP_Meta_Query จึงมีโอกาสเกิด Blind SQL Injection
ช่องโหว่ : ผู้แต่ง + XSS ที่จัดเก็บผ่าน Post Slugs
แพต ช์ในเวอร์ชัน : 5.8.3
คำอธิบาย: ผู้ใช้ที่ได้รับการพิสูจน์ตัวตนที่มีสิทธิพิเศษต่ำ (เช่นผู้เขียน) ในแกนหลักของ WordPress สามารถเรียกใช้ JavaScript/ดำเนินการโจมตี XSS ที่เก็บไว้ผ่านโพสต์ทาก ซึ่งอาจส่งผลต่อผู้ใช้ที่มีสิทธิพิเศษสูง
ช่องโหว่ : Super Admin Object Injection ในหลายไซต์
แพต ช์ในเวอร์ชัน : 5.8.3
คำอธิบาย: ในหลายไซต์ ผู้ใช้ที่มีบทบาทผู้ดูแลระบบระดับสูงสามารถเลี่ยงการเสริมความแข็งแกร่งอย่างชัดแจ้ง/เพิ่มเติมภายใต้เงื่อนไขบางประการผ่านการฉีดวัตถุ
ช่องโหว่ : SQL Injection ผ่าน WP_Meta_Query
แพต ช์ในเวอร์ชัน : 5.8.3
คำอธิบาย: เนื่องจากขาดการฆ่าเชื้อที่เหมาะสมใน WP_Meta_Query จึงมีโอกาสเกิด Blind SQL Injection
ช่องโหว่ของปลั๊กอิน WordPress
ในส่วนนี้ ช่องโหว่ของปลั๊กอิน WordPress ล่าสุดได้รับการเปิดเผยแล้ว รายการปลั๊กอินแต่ละรายการประกอบด้วยประเภทของช่องโหว่ การติดตั้งที่ใช้งานอยู่ หมายเลขเวอร์ชันหากมีการแพตช์ และระดับความรุนแรง
1. การสนับสนุน SVG
ปลั๊กอิน: รองรับ SVG
ช่องโหว่ : Admin+ Stored Cross-Site Scripting
การติดตั้งที่ใช้งานอยู่ : 800,000+
แพตช์ ในเวอร์ชัน : 2.3.20
คะแนน ความรุนแรง : ต่ำ
2. การล้างข้อมูลสินทรัพย์
ปลั๊กอิน: การล้างข้อมูลสินทรัพย์
ช่องโหว่ : สะท้อนการเขียนสคริปต์ข้ามไซต์ผ่าน AJAX Action
การติดตั้งที่ใช้งานอยู่ : 100,000+
แพตช์ ในเวอร์ชัน : 1.3.8.5
คะแนน ความรุนแรง : สูง
ปลั๊กอิน: การล้างข้อมูลสินทรัพย์
ช่องโหว่ : Reflected Cross-Site Scripting
การติดตั้งที่ใช้งานอยู่ : 100,000+
แพตช์ ในเวอร์ชัน : 1.3.8.5
คะแนน ความรุนแรง : ปานกลาง
3. สมาชิกแบบชำระเงิน Pro
ปลั๊กอิน: สมาชิกแบบชำระเงิน Pro
ช่องโหว่ : Unauthenticated Blind SQL Injection
การติดตั้งที่ใช้งานอยู่ : 100,000+
แพตช์ในเวอร์ชัน : 2.6.7
คะแนน ความรุนแรง : วิกฤต
4. NextScripts: โปสเตอร์โซเชียลเน็ตเวิร์กอัตโนมัติ
ปลั๊กอิน: NextScripts: Social Networks Auto-Poster
ช่องโหว่ : Arbitrary Post Delete ผ่าน CSRF
การติดตั้งที่ใช้งานอยู่ : 90,000+
แพตช์ ในเวอร์ชัน : 4.3.25
คะแนน ความรุนแรง : ปานกลาง
ปลั๊กอิน: NextScripts: Social Networks Auto-Poster
ช่องโหว่ : ไม่ได้ตรวจสอบสิทธิ์ XSS
การติดตั้งที่ใช้งานอยู่ : 90,000+
แพตช์ ในเวอร์ชัน : 4.3.25
คะแนน ความรุนแรง : สูง
5. งาช้างค้นหา
ปลั๊กอิน: Ivory Search
ช่องโหว่ : Contributor+ Stored Cross-Site Scripting
การติดตั้งที่ใช้งาน : 80,000+
แพตช์ในเวอร์ชัน : 5.4.1
คะแนน ความรุนแรง : สูง
6. ฟีดโซเชียลง่าย ๆ
ปลั๊กอิน: Easy Social Feed
ช่องโหว่ : Reflected Cross-Site Scripting (XSS)
กำลัง ติดตั้ง : 70,000+
แพตช์ในเวอร์ชัน : 6.2.7
คะแนน ความรุนแรง : สูง
7. ตัวแก้ไขสไตล์ Visual CSS
ปลั๊กอิน: Visual CSS Style Editor
ช่องโหว่ : Reflected Cross-Site Scripting
การติดตั้งที่ใช้งาน : 50,000+
แพตช์ในเวอร์ชัน : 7.5.4
คะแนน ความรุนแรง : สูง
8. แบบฟอร์มการติดต่อ En
ปลั๊กอิน: รายการแบบฟอร์มติดต่อ
ช่องโหว่ : Unauthenticated Stored Cross-Site Scripting
การติดตั้งที่ใช้งานอยู่ : 40,000+
แพตช์ในเวอร์ชัน : 1.1.7
คะแนน ความรุนแรง : สูง
9. ตัวจัดการ Cron ขั้นสูง
ปลั๊กอิน: ตัวจัดการ Cron ขั้นสูง
ช่องโหว่ : Subscriber+ Arbitrary Events/Schedules Creation/Deletion
การติดตั้งที่ใช้งานอยู่ : 30,000+
แพตช์ในเวอร์ชัน : 2.4.2
คะแนน ความรุนแรง : ปานกลาง
10. WPLegalPages
ปลั๊กอิน: WPLegalPages
ช่องโหว่ : Subscriber+ Arbitrary Settings Update เป็น XSS . ที่เก็บไว้
การติดตั้งที่ใช้งานอยู่ : 20,000+
แพตช์ในเวอร์ชัน : 2.7.1
คะแนน ความรุนแรง : ปานกลาง
11. สถิติผู้เข้าชม WP (ปริมาณการใช้ข้อมูลตามเวลาจริง)
ปลั๊กอิน: สถิติผู้เข้าชม WP (ปริมาณการใช้ข้อมูลตามเวลาจริง)
ช่องโหว่ : Subscriber+ SQL Injection
การติดตั้งที่ใช้งานอยู่ : 20,000+
แพตช์ในเวอร์ชัน : 4.8
คะแนน ความรุนแรง : สูง
12. โฟลเดอร์ชั่วร้าย
ปลั๊กอิน: โฟลเดอร์ชั่วร้าย
ช่องโหว่ : Subscriber+ SQL Injection
การติดตั้งที่ใช้งานอยู่ : 10,000+
แพตช์ ในเวอร์ชัน : 2.8.10
คะแนน ความรุนแรง : สูง
13. SupportCandy
ปลั๊กอิน: SupportCandy
ช่องโหว่ : Contributor+ Stored Cross-Site Scripting
การติดตั้งที่ใช้งานอยู่ : 10,000+
แพต ช์ในเวอร์ชัน : 2.2.7
คะแนน ความรุนแรง : ปานกลาง
ปลั๊กอิน: SupportCandy
ช่องโหว่ : CSRF ไปยัง Cross-Site Scripting
การติดตั้งที่ใช้งานอยู่ : 10,000+
แพต ช์ในเวอร์ชัน : 2.2.7
คะแนน ความรุนแรง : ปานกลาง
ปลั๊กอิน: SupportCandy
ช่องโหว่ : การลบตั๋วโดยพลการผ่าน CSRF
การติดตั้งที่ใช้งานอยู่ : 10,000+
แพต ช์ในเวอร์ชัน : 2.2.7
คะแนน ความรุนแรง : สูง
ปลั๊กอิน: SupportCandy
ช่องโหว่ : Unauthenticated Arbitrary Ticket Deletion
การติดตั้งที่ใช้งานอยู่ : 10,000+
แพต ช์ในเวอร์ชัน : 2.2.7
คะแนน ความรุนแรง : สูง
ปลั๊กอิน: SupportCandy
ช่องโหว่ : Reflected Cross-Site Scripting
การติดตั้งที่ใช้งานอยู่ : 10,000+
แพต ช์ในเวอร์ชัน : 2.2.7
คะแนน ความรุนแรง : ปานกลาง
14. จัดเรียงผลิตภัณฑ์ Woocommerce ใหม่
ปลั๊กอิน: จัดเรียงผลิตภัณฑ์ Woocommerce ใหม่
ช่องโหว่ : Subscriber+ SQL Injection
การติดตั้งที่ใช้งานอยู่ : 10,000+
แพตช์ในเวอร์ชัน : 3.0.8
คะแนน ความรุนแรง : สูง
15. ตัวบล็อกประเทศ IP2Location
ปลั๊กอิน: IP2Location Country Blocker
ช่องโหว่ : Arbitrary Country Ban ผ่าน CSRF
การติดตั้งที่ใช้งานอยู่ : 10,000+
แพตช์ ในเวอร์ชัน : 2.26.6
คะแนน ความรุนแรง : ปานกลาง
ปลั๊กอิน: IP2Location Country Blocker
ช่องโหว่ : Subscriber+ Arbitrary Country Ban
การติดตั้งที่ใช้งานอยู่ : 10,000+
แพตช์ ในเวอร์ชัน : 2.26.6
คะแนน ความรุนแรง : ปานกลาง
ปลั๊กอิน: IP2Location Country Blocker
จุดอ่อน : บ้านบายพาส
การติดตั้งที่ใช้งานอยู่ : 10,000+
แพตช์ ในเวอร์ชัน : 2.26.6
คะแนน ความรุนแรง : ปานกลาง
16. การสนับสนุนที่ยอดเยี่ยม – WordPress HelpDesk & Support Plugin
ปลั๊กอิน: การสนับสนุนที่ยอดเยี่ยม – Titan Framework
ช่องโหว่ : Reflected Cross-Site Scripting (XSS)
การติดตั้งที่ใช้งานอยู่ : 10,000+
แพตช์ ในเวอร์ชัน : 6.0.11
คะแนน ความรุนแรง : สูง
17. แคตตาล็อกสินค้าขั้นสูง
ปลั๊กอิน: Ultimate Product Catalog
ช่องโหว่ : Subscriber+ Arbitrary Product Creation & Settings Update
การติดตั้งที่ใช้งานอยู่ : 10,000
แพตช์ ในเวอร์ชัน : 5.0.26
คะแนน ความรุนแรง : ปานกลาง
18. ตัวฝังเอกสาร
ปลั๊กอิน: Document Embedder
ช่องโหว่ : Subscriber+ Arbitrary Private/Draft Post Title Disclosure
การติดตั้งที่ใช้งานอยู่ : 9,000+
แพต ช์ในเวอร์ชัน : 1.7.9
คะแนน ความรุนแรง : ปานกลาง
ปลั๊กอิน: Document Embedder
ช่องโหว่ : Unauthenticated Arbitrary Private/Draft Post Title Disclosure
การติดตั้งที่ใช้งานอยู่ : 9,000+
แพต ช์ในเวอร์ชัน : 1.7.9
คะแนน ความรุนแรง : ปานกลาง
19. RVM – แผนที่เวกเตอร์ที่ตอบสนอง
ปลั๊กอิน: RVM – แผนที่เวกเตอร์ที่ตอบสนอง
ช่องโหว่ : Subscriber+ Arbitrary File Read
การติดตั้งที่ใช้งานอยู่ : 6,000+
แพตช์ในเวอร์ชัน : 6.4.2
คะแนน ความรุนแรง : สูง
20. มีเดียมาติก
ปลั๊กอิน: Mediamatic
ช่องโหว่ : Subscriber+ SQL Injection
การติดตั้งที่ใช้งานอยู่ : 3,000+
แพตช์ในเวอร์ชัน : 2.8.1
คะแนน ความรุนแรง : สูง
21. วูพระ
ปลั๊กอิน: Woopra
ช่องโหว่ : Unauthenticated Arbitrary File Upload
การติดตั้งที่ใช้งานอยู่ : 2,000+
แพต ช์ในเวอร์ชัน : 1.4.3.2
คะแนน ความรุนแรง : วิกฤต
22. ตัวจัดการการเข้าถึงสิทธิ์ของผู้ใช้
ปลั๊กอิน: User Rights Access Manager
ช่องโหว่ : การจำกัดการเข้าถึง Bypass
การติดตั้งที่ใช้งานอยู่ : 900+
แพตช์ในเวอร์ชัน : 1.0.8
คะแนน ความรุนแรง : ปานกลาง
23. ปุ่ม YuMoney
ปลั๊กอิน: ปุ่ม YuMoney – Titan Framework
ช่องโหว่ : Reflected Cross-Site Scripting (XSS)
การติดตั้งที่ใช้งานอยู่ : 900+
แพตช์ในเวอร์ชัน : 2.4.0
คะแนน ความรุนแรง : สูง
24. การรวม TrustMate.io สำหรับ WooCommerce
ปลั๊กอิน: การรวม TrustMate.io สำหรับ WooCommerce
ช่องโหว่ : Subscriber+ Arbitrary Plugin's Settings Update
การติดตั้งที่ใช้งานอยู่ : 300+
แพตช์ ในเวอร์ชัน : 1.8.12
คะแนน ความรุนแรง : สูง
ปลั๊กอิน: การรวม TrustMate.io สำหรับ WooCommerce
ช่องโหว่ : Subscriber+ Arbitrary Blog Option Update
การติดตั้งที่ใช้งานอยู่ : 300+
แพตช์ในเวอร์ชัน : 1.7.1
คะแนน ความรุนแรง : สูง
25. นักสู้ตัวจริง
ปลั๊กอิน: True Ranker
ช่องโหว่ : Unauthenticated Arbitrary File Access ผ่าน Path Traversal
การติดตั้งที่ใช้งานอยู่ : 300+
แพตช์ในเวอร์ชัน : 2.2.4
คะแนน ความรุนแรง : สูง
26. WebHotelier สำหรับ WordPress
ปลั๊กอิน: WebHotelier สำหรับ WordPress – Titan Framework
ช่องโหว่ : Reflected Cross-Site Scripting (XSS)
การติดตั้งที่ใช้งานอยู่ : 200+
แพตช์ในเวอร์ชัน : 1.6.1
คะแนน ความรุนแรง : สูง
ช่องโหว่ปลั๊กอินพรีเมียม
ในส่วนนี้ ช่องโหว่ปลั๊กอินพรีเมียมล่าสุดของ WordPress ได้รับการเปิดเผยแล้ว รายการปลั๊กอินแต่ละรายการประกอบด้วยประเภทของช่องโหว่ หมายเลขเวอร์ชันหากมีการแพตช์ และระดับความรุนแรง
27. ขั้นสูง Cron Manager Pro
ปลั๊กอิน: Advanced Cron Manager Pro
ช่องโหว่ : Subscriber+ Arbitrary Events/Schedules Creation/Deletion
แพตช์ในเวอร์ชัน : 2.5.3
คะแนน ความรุนแรง : ปานกลาง
ช่องโหว่ของปลั๊กอิน WordPress: ไม่มีการแก้ไขที่เป็นที่รู้จัก
ในส่วนนี้ ช่องโหว่ล่าสุดของปลั๊กอิน WordPress ได้รับการเปิดเผยในปลั๊กอินแบบปิด รายการปลั๊กอินแต่ละรายการประกอบด้วยประเภทของช่องโหว่ ระดับความรุนแรง และวันที่ปิด
28. แบบฟอร์มการติดต่อ 7 สกิน
ปลั๊กอิน: ติดต่อแบบฟอร์ม 7 สกิน
ช่องโหว่ : Reflected Cross-Site Scripting (XSS)
การติดตั้งที่ใช้งานอยู่ : 30,000+
แพทช์ในเวอร์ชัน : ไม่มีโปรแกรมแก้ไขที่รู้จัก
คะแนน ความรุนแรง : ปานกลาง
29. WooRockets Nitro
ปลั๊กอิน: WooRockets Nitro
ช่องโหว่ : Unauthenticated Arbitrary Plugin Installation
แพทช์ในเวอร์ชัน : ไม่มีโปรแกรมแก้ไขที่รู้จัก
คะแนน ความรุนแรง : วิกฤต
30. พันธมิตรอเมซอน
ปลั๊กอิน: Amazon Affiliate
ช่องโหว่ : Reflected Cross-Site Scripting
แพทช์ในเวอร์ชัน : ไม่มีโปรแกรมแก้ไขที่รู้จัก
คะแนน ความรุนแรง : ปานกลาง
วิธีป้องกันเว็บไซต์ WordPress ของคุณจากปลั๊กอินและธีมที่มีช่องโหว่
ดังที่คุณเห็นจากรายงานนี้ มีการเปิดเผยปลั๊กอิน WordPress และช่องโหว่ของธีมใหม่จำนวนมากในแต่ละสัปดาห์ เราทราบดีว่าการติดตามการเปิดเผยช่องโหว่ที่รายงานทุกครั้งอาจเป็นเรื่องยาก ดังนั้นปลั๊กอิน iThemes Security Pro จึงช่วยให้แน่ใจได้ง่ายว่าไซต์ของคุณไม่ได้ใช้งานธีม ปลั๊กอิน หรือเวอร์ชันหลักของ WordPress ที่มีช่องโหว่ที่ทราบ
1. ติดตั้งปลั๊กอิน iThemes Security Pro
ปลั๊กอิน iThemes Security Pro ทำให้ไซต์ WordPress ของคุณแข็งแกร่งขึ้นจากวิธีการทั่วไปที่เว็บไซต์ถูกแฮ็ก ด้วย 30 วิธีในการรักษาความปลอดภัยไซต์ของคุณในปลั๊กอินเดียวที่ใช้งานง่าย
2. เปิดใช้งานการสแกนไซต์เพื่อตรวจสอบช่องโหว่ที่รู้จัก
คุณลักษณะการจัดการเวอร์ชันใน iThemes Security Pro ทำงานร่วมกับ Site Scan เพื่อปกป้องไซต์ของคุณ ธีม ปลั๊กอิน และเวอร์ชันหลักของ WordPress ที่มีช่องโหว่จะได้รับการอัปเดตโดยอัตโนมัติสำหรับคุณ
3. เปิดใช้งานการตรวจจับการเปลี่ยนแปลงไฟล์
กุญแจสำคัญในการระบุการละเมิดความปลอดภัยอย่างรวดเร็วคือการตรวจสอบการเปลี่ยนแปลงไฟล์บนเว็บไซต์ของคุณ ฟีเจอร์การตรวจจับการเปลี่ยนแปลงไฟล์ใน iThemes Security Pro จะสแกนไฟล์ในเว็บไซต์ของคุณและแจ้งเตือนคุณเมื่อมีการเปลี่ยนแปลงบนเว็บไซต์ของคุณ
รับ iThemes Security Pro พร้อมการตรวจสอบความปลอดภัยเว็บไซต์ 24/7
iThemes Security Pro ปลั๊กอินความปลอดภัย WordPress ของเรามีมากกว่า 50 วิธีในการรักษาความปลอดภัยและปกป้องเว็บไซต์ของคุณจากช่องโหว่ด้านความปลอดภัยทั่วไปของ WordPress ด้วย WordPress การรับรองความถูกต้องด้วยสองปัจจัย การป้องกันแบบเดรัจฉาน การบังคับใช้รหัสผ่านที่รัดกุม และอื่นๆ คุณสามารถเพิ่มระดับการรักษาความปลอดภัยเพิ่มเติมให้กับเว็บไซต์ของคุณได้
