รายงานช่องโหว่ของ WordPress: พฤศจิกายน 2021 ตอนที่ 1
เผยแพร่แล้ว: 2021-11-03ปลั๊กอินและธีมที่มีช่องโหว่เป็นสาเหตุอันดับ 1 ที่เว็บไซต์ WordPress ถูกแฮ็ก รายงานช่องโหว่ของ WordPress รายสัปดาห์ที่ขับเคลื่อนโดย WPScan ครอบคลุมถึงปลั๊กอิน ธีม และช่องโหว่หลักของ WordPress และสิ่งที่ควรทำหากคุณเรียกใช้ปลั๊กอินหรือธีมที่มีช่องโหว่บนเว็บไซต์ของคุณ
ช่องโหว่แต่ละจุดจะมีระดับความรุนแรง ต่ำ ปานกลาง สูง หรือ วิกฤต การเปิดเผยและการรายงานช่องโหว่อย่างมีความรับผิดชอบเป็นส่วนสำคัญในการทำให้ชุมชน WordPress ปลอดภัย
โปรดแชร์โพสต์นี้กับเพื่อนของคุณเพื่อช่วยเผยแพร่และทำให้ WordPress ปลอดภัยยิ่งขึ้นสำหรับทุกคน
ช่องโหว่หลักของ WordPress
คอร์ WordPress เวอร์ชันล่าสุดคือ 5.8.1 ตามแนวทางปฏิบัติที่ดีที่สุด อย่าลืมรัน WordPress core เวอร์ชันล่าสุดเสมอ!
ช่องโหว่ของปลั๊กอิน WordPress
ในส่วนนี้ ช่องโหว่ของปลั๊กอิน WordPress ล่าสุดได้รับการเปิดเผยแล้ว รายการปลั๊กอินแต่ละรายการประกอบด้วยประเภทของช่องโหว่ หมายเลขเวอร์ชันหากมีการแพตช์ และระดับความรุนแรง
1. รีวิวพลัส
ปลั๊กอิน: บทวิจารณ์ Plus
ช่องโหว่ : Subscriber+ Reviews DoS
แพตช์ ในเวอร์ชัน : 1.2.14
คะแนน ความรุนแรง : ต่ำ
2. แกลเลอรี่ภาพสไลด์
ปลั๊กอิน: แกลเลอรีสไลด์โชว์
ช่องโหว่ : Admin+ Stored Cross-Site Scripting
แพตช์ในเวอร์ชัน : 1.7.4
คะแนน ความรุนแรง : ต่ำ
3. MainWP เด็ก
ปลั๊กอิน: MainWP Child
ช่องโหว่ : Admin+ SQL Injection
แพตช์ในเวอร์ชัน : 4.1.8
คะแนน ความรุนแรง : ปานกลาง
4. แคตตาล็อกผลิตภัณฑ์อีคอมเมิร์ซสำหรับ WordPress
ปลั๊กอิน: แคตตาล็อกผลิตภัณฑ์อีคอมเมิร์ซสำหรับ WordPress
ช่องโหว่ : Reflected Cross-Site Scripting
แพตช์ ในเวอร์ชัน : 3.0.39
คะแนน ความรุนแรง : สูง
5. ฝรั่งหลายภาษาสำหรับ WordPress
ปลั๊กอิน: Falang หลายภาษาสำหรับ WordPress
ช่องโหว่ : Reflected Cross-Site Scripting
แพตช์ในเวอร์ชัน : 1.3.18
คะแนน ความรุนแรง : สูง
6. ตัวจัดการบทเรียนวิดีโอ
ปลั๊กอิน: ตัวจัดการบทเรียนวิดีโอ
ช่องโหว่ : Admin+ Stored Cross-Site Scripting
แพตช์ในเวอร์ชัน : 1.7.2
คะแนน ความรุนแรง : ต่ำ
7. WP ตรวจการสะกด
ปลั๊กอิน: ตรวจสอบการสะกด WP
ช่องโหว่ : Reflected Cross-Site Scripting
แพตช์ในเวอร์ชัน : 9.3
คะแนน ความรุนแรง : สูง
8. อีคอมเมิร์ซ – การรับรองความถูกต้องด้วยสองปัจจัย
ปลั๊กอิน: อีคอมเมิร์ซ – การตรวจสอบสิทธิ์สองปัจจัย
ช่องโหว่ : Reflected Cross-Site Scripting
แพตช์ในเวอร์ชัน : 1.0.5
คะแนน ความรุนแรง : สูง
9. MAZ Loader
ปลั๊กอิน: MAZ Loader
ช่องโหว่ : การลบโดยพลการ Loader ผ่าน CSRF
แพทช์ในเวอร์ชัน : ไม่มีโปรแกรมแก้ไขที่รู้จัก
คะแนน ความรุนแรง : สูง
10. ประตูอายุ
ปลั๊กอิน: Age Gate
ช่องโหว่ : Unauthenticated Import Settings
แพต ช์ในเวอร์ชัน : 2.17.1
คะแนน ความรุนแรง : วิกฤต
11. โพสต์ซ้ำ
ปลั๊กอิน: โพสต์ซ้ำ
ช่องโหว่ : Authenticated SQL Injection
แพตช์ในเวอร์ชัน : 1.2.0
คะแนน ความรุนแรง : ปานกลาง
12. การแจ้งเตือน
ปลั๊กอิน: การแจ้งเตือน
ช่องโหว่ : Admin+ Stored Cross-Site Scripting
แพตช์ในเวอร์ชัน : 8.0.0
คะแนน ความรุนแรง : ต่ำ
13. ไดเร็กทอรีธุรกิจการเชื่อมต่อ
ปลั๊กอิน: Connections Business Directory
ช่องโหว่ : Admin+ CSV Injection
แพตช์ในเวอร์ชัน : 9.7
คะแนน ความรุนแรง : ปานกลาง
14. สื่อแท็ก
ปลั๊กอิน: Media-Tags
ช่องโหว่ : Admin+ Stored Cross-Site Scripting
Patched in Version : No Know Fix – ปลั๊กอินถูกปิด
คะแนน ความรุนแรง : ต่ำ
15. เกี่ยวกับผู้แต่ง Box
ปลั๊กอิน: เกี่ยวกับกล่องผู้แต่ง
ช่องโหว่ : Contributor+ Stored Cross-Site Scripting
แพตช์ในเวอร์ชัน : 1.0.2
คะแนน ความรุนแรง : ปานกลาง
16. การสมัครและการเป็นสมาชิกสำหรับ PayPal
ปลั๊กอิน: การสมัครและการเป็นสมาชิกสำหรับ PayPal
ช่องโหว่ : Reflected Cross-Site Scripting ผ่านเพจ Parameter
แพตช์ในเวอร์ชัน : 1.1.3
คะแนน ความรุนแรง : สูง
17. รับบริจาคด้วย PayPal
ปลั๊กอิน: รับบริจาคด้วย PayPal
ช่องโหว่ : Reflected Cross-Site Scripting ผ่านเพจ Parameter
แพตช์ในเวอร์ชัน : 1.3.1
คะแนน ความรุนแรง : สูง
18. กิจกรรม PayPal ง่าย ๆ
ปลั๊กอิน: Easy PayPal Events
ช่องโหว่ : Reflected Cross-Site Scripting ผ่านเพจ Parameter
แพตช์ในเวอร์ชัน : 1.1.2
คะแนน ความรุนแรง : สูง
19. ป๊อปอัปอะไรก็ได้
ปลั๊กอิน: ป๊อปอัปอะไรก็ได้
ช่องโหว่ : Contributor+ Stored Cross-Site Scripting
แพตช์ในเวอร์ชัน : 2.0.4
คะแนน ความรุนแรง : สูง
20. JS Job Manager
ปลั๊กอิน: JS Job Manager
ช่องโหว่ : Unauthenticated Arbitrary Plugin Installation/Activation
แพตช์ในเวอร์ชัน : 1.1.9
คะแนน ความรุนแรง : วิกฤต
21. เปลี่ยนวันเวลาเป็นกลุ่ม
ปลั๊กอิน: เปลี่ยนเวลาเป็นกลุ่ม
ช่องโหว่ : ไม่มีการอนุญาต
แพตช์ในเวอร์ชัน : 1.12
คะแนน ความรุนแรง : ปานกลาง
22. แบบฟอร์มนินจา
ปลั๊กอิน: แบบฟอร์มนินจา
ช่องโหว่ : Admin+ SQL Injection
แพต ช์ในเวอร์ชัน : 3.6.4
คะแนน ความรุนแรง : ปานกลาง
23. การส่งออกไฟล์แนบ WP
ปลั๊กอิน: การส่งออกไฟล์แนบ WP
ช่องโหว่ : Unauthenticated Posts Download
แพตช์ ในเวอร์ชัน : 0.2.4
คะแนน ความรุนแรง : สูง
24. ตัวเลื่อนข้อความเนื้อหาบนโพสต์
ปลั๊กอิน: ตัวเลื่อนข้อความเนื้อหาบนโพสต์
ช่องโหว่ : Authenticated Stored Cross-Site Scripting (XSS)
แพตช์ในเวอร์ชัน : 6.9
คะแนน ความรุนแรง : ปานกลาง
25. ตัวนำเข้าการสาธิต HashThemes
ปลั๊กอิน: ตัวนำเข้าการสาธิต HashThemes
ช่องโหว่ : การควบคุมการเข้าถึงที่ไม่เหมาะสมเพื่อรีเซ็ตบล็อก
แพตช์ในเวอร์ชัน : 1.1.2
คะแนน ความรุนแรง : วิกฤต
26. การลงทะเบียนสำหรับปฏิทินกิจกรรม
ปลั๊กอิน: การลงทะเบียนสำหรับปฏิทินกิจกรรม
ช่องโหว่ : Reflected Cross-Site Scripting
แพตช์ในเวอร์ชัน : 2.7.5
คะแนน ความรุนแรง : สูง
27. Mang Board WP
ปลั๊กอิน: Mang Board WP
ช่องโหว่ : SQL Injection
แพตช์ในเวอร์ชัน : 1.6.9
คะแนน ความรุนแรง : สูง
28. OptinMonster
ปลั๊กอิน: OptinMonster
ช่องโหว่ : REST-API Endpoints ที่ไม่มีการป้องกัน
แพตช์ในเวอร์ชัน : 2.6.5
คะแนน ความรุนแรง : สูง
29. NextScripts: โปสเตอร์โซเชียลเน็ตเวิร์กอัตโนมัติ
ปลั๊กอิน: NextScripts: Social Networks Auto-Poster
ช่องโหว่ : Reflected Cross-Site Scripting
แพตช์ ในเวอร์ชัน : 4.3.21
คะแนน ความรุนแรง : สูง
30. ฟีดโพสต์โซเชียล Smash Balloon
ปลั๊กอิน: ฟีดโพสต์โซเชียล Smash Balloon
ช่องโหว่ : Subscriber+ Arbitrary Plugin Settings Update to Stored XSS
แพตช์ในเวอร์ชัน : 4.0.1
คะแนน ความรุนแรง : สูง
31. WP-Pro-Quiz
ปลั๊กอิน: WP-Pro-Quiz
ช่องโหว่ : การลบแบบทดสอบโดยพลการผ่าน CSRF
Patched in Version : No Know Fix – ปลั๊กอินถูกปิด
คะแนน ความรุนแรง : ปานกลาง
32. แบบฟอร์มติดต่อโดย Supsystic
ปลั๊กอิน: แบบฟอร์มติดต่อโดย Supsystic
ช่องโหว่ : Admin+ Stored Cross-Site Scripting
แพทช์ในเวอร์ชัน : ไม่มีโปรแกรมแก้ไขที่รู้จัก
คะแนน ความรุนแรง : ต่ำ
33. WP-สถิติ
ปลั๊กอิน: WP-Stats
ช่องโหว่ : CSRF ไปยัง Stored Cross-Site Scripting (XSS)
แพตช์ในเวอร์ชัน : 2.52
คะแนน ความรุนแรง : สูง
วิธีป้องกันเว็บไซต์ WordPress ของคุณจากปลั๊กอินและธีมที่มีช่องโหว่
ดังที่คุณเห็นจากรายงานนี้ มีการเปิดเผยปลั๊กอิน WordPress และช่องโหว่ของธีมใหม่จำนวนมากในแต่ละสัปดาห์ เราทราบดีว่าการติดตามการเปิดเผยช่องโหว่ที่รายงานทุกครั้งอาจเป็นเรื่องยาก ดังนั้นปลั๊กอิน iThemes Security Pro ทำให้ง่ายต่อการตรวจสอบให้แน่ใจว่าไซต์ของคุณไม่ได้ใช้ธีม ปลั๊กอิน หรือเวอร์ชันหลักของ WordPress ที่มีช่องโหว่ที่ทราบ
1. ติดตั้งปลั๊กอิน iThemes Security Pro
ปลั๊กอิน iThemes Security Pro ทำให้ไซต์ WordPress ของคุณแข็งแกร่งขึ้นจากวิธีการทั่วไปที่เว็บไซต์ถูกแฮ็ก ด้วย 30 วิธีในการรักษาความปลอดภัยไซต์ของคุณในปลั๊กอินเดียวที่ใช้งานง่าย
2. เปิดใช้งานการสแกนไซต์เพื่อตรวจสอบช่องโหว่ที่รู้จัก
คุณลักษณะการจัดการเวอร์ชันใน iThemes Security Pro ทำงานร่วมกับ Site Scan เพื่อปกป้องไซต์ของคุณ ธีม ปลั๊กอิน และเวอร์ชันหลักของ WordPress ที่มีช่องโหว่จะได้รับการอัปเดตโดยอัตโนมัติสำหรับคุณ
3. ตรวจสอบการเปลี่ยนแปลงไฟล์
กุญแจสำคัญในการระบุการละเมิดความปลอดภัยอย่างรวดเร็วคือการตรวจสอบการเปลี่ยนแปลงไฟล์บนเว็บไซต์ของคุณ ฟีเจอร์การตรวจจับการเปลี่ยนแปลงไฟล์ใน iThemes Security Pro จะสแกนไฟล์ในเว็บไซต์ของคุณและแจ้งเตือนคุณเมื่อมีการเปลี่ยนแปลงบนเว็บไซต์ของคุณ
รับ iThemes Security Pro พร้อมการตรวจสอบเว็บไซต์ทุกวันตลอด 24 ชั่วโมง
iThemes Security Pro ปลั๊กอินความปลอดภัย WordPress ของเรามีมากกว่า 50 วิธีในการรักษาความปลอดภัยและปกป้องเว็บไซต์ของคุณจากช่องโหว่ด้านความปลอดภัยทั่วไปของ WordPress ด้วย WordPress การรับรองความถูกต้องด้วยสองปัจจัย การป้องกันแบบเดรัจฉาน การบังคับใช้รหัสผ่านที่รัดกุม และอื่นๆ คุณสามารถเพิ่มระดับการรักษาความปลอดภัยเพิ่มเติมให้กับเว็บไซต์ของคุณได้