รายงานช่องโหว่ของ WordPress: พฤศจิกายน 2021 ตอนที่ 2
เผยแพร่แล้ว: 2021-11-10ปลั๊กอินและธีมที่มีช่องโหว่เป็นสาเหตุอันดับ 1 ที่เว็บไซต์ WordPress ถูกแฮ็ก รายงานช่องโหว่ของ WordPress รายสัปดาห์ที่ขับเคลื่อนโดย WPScan ครอบคลุมถึงปลั๊กอิน ธีม และช่องโหว่หลักของ WordPress และสิ่งที่ควรทำหากคุณเรียกใช้ปลั๊กอินหรือธีมที่มีช่องโหว่บนเว็บไซต์ของคุณ
ช่องโหว่แต่ละจุดจะมีระดับความรุนแรง ต่ำ ปานกลาง สูง หรือ วิกฤต การเปิดเผยและการรายงานช่องโหว่อย่างมีความรับผิดชอบเป็นส่วนสำคัญในการทำให้ชุมชน WordPress ปลอดภัย
โปรดแชร์โพสต์นี้กับเพื่อนของคุณเพื่อช่วยเผยแพร่และทำให้ WordPress ปลอดภัยยิ่งขึ้นสำหรับทุกคน
ช่องโหว่หลักของ WordPress
คอร์ WordPress เวอร์ชันล่าสุดคือ 5.8.1 ตามแนวทางปฏิบัติที่ดีที่สุด อย่าลืมรัน WordPress core เวอร์ชันล่าสุดเสมอ!
ช่องโหว่ของปลั๊กอิน WordPress
ในส่วนนี้ ช่องโหว่ของปลั๊กอิน WordPress ล่าสุดได้รับการเปิดเผยแล้ว รายการปลั๊กอินแต่ละรายการประกอบด้วยประเภทของช่องโหว่ หมายเลขเวอร์ชันหากมีการแพตช์ และระดับความรุนแรง
1. แกลลอรี่การประกวด
ปลั๊กอิน: แกลเลอรีการแข่งขัน
ช่องโหว่ : สมาชิก+ การเปิดเผยที่อยู่อีเมล
แพตช์ ในเวอร์ชัน : 13.1.0.7
คะแนน ความรุนแรง : ปานกลาง
ปลั๊กอิน: แกลเลอรีการแข่งขัน
ช่องโหว่ : ไม่มีการควบคุมการเข้าถึงการฉีด SQL ที่ไม่ได้ตรวจสอบสิทธิ์ / การเปิดเผยที่อยู่อีเมล
แพตช์ ในเวอร์ชัน : 13.1.0.6
คะแนน ความรุนแรง : สูง
2. ตรวจสอบและบันทึกอีเมล
ปลั๊กอิน: ตรวจสอบและบันทึกอีเมล
ช่องโหว่ : Reflected Cross-Site Scripting
แพตช์ในเวอร์ชัน : 1.0.4
คะแนน ความรุนแรง : สูง
3. BSK PDF Manager
ปลั๊กอิน: BSK PDF Manager
ช่องโหว่ : Admin+ SQL Injection
แพตช์ในเวอร์ชัน : 3.1.2
คะแนน ความรุนแรง : ปานกลาง
4. เครื่องคำนวณต้นทุนอย่างมีสไตล์
ปลั๊กอิน: เครื่องคำนวณต้นทุนอย่างมีสไตล์
ช่องโหว่ : สมาชิก + การโทร AJAX ที่ไม่ได้รับอนุญาตไปยัง XSS . ที่เก็บไว้
แพตช์ ในเวอร์ชัน : 7.0.4
คะแนน ความรุนแรง : สูง
5. หน้าร้านค้า WP
ปลั๊กอิน: หน้าร้านค้า WP
ช่องโหว่ : Admin+ Stored Cross-Site Scripting
แพตช์ในเวอร์ชัน : 1.2.8
คะแนน ความรุนแรง : ปานกลาง
6. Ibtana – ส่วนเสริมผลิตภัณฑ์อีคอมเมิร์ซ
ปลั๊กอิน: Ibtana – ส่วนเสริมผลิตภัณฑ์อีคอมเมิร์ซ
ช่องโหว่ : Reflected Cross-Site Scripting
แพตช์ ในเวอร์ชัน : 0.2.4
คะแนน ความรุนแรง : สูง
7. WP RSS Aggregator
ปลั๊กอิน: WP RSS Aggregator
ช่องโหว่ : Admin+ Stored Cross-Site Scripting
แพตช์ในเวอร์ชัน : 4.19.2
คะแนน ความรุนแรง : ต่ำ
8. สร้างบล็อก
ปลั๊กอิน: GenerateBlocks
ช่องโหว่ : Contributor+ Stored Cross-Site Scripting
แพตช์ในเวอร์ชัน : 1.4.0
คะแนน ความรุนแรง : ปานกลาง
9. อีเมลก่อนดาวน์โหลด
ปลั๊กอิน: อีเมลก่อนดาวน์โหลด
ช่องโหว่ : Admin+ SQL Injection
แพตช์ในเวอร์ชัน : 6.8
คะแนน ความรุนแรง : ปานกลาง
10. myCred
ปลั๊กอิน: myCred
ช่องโหว่ : Subscriber+ SQL Injection
แพตช์ในเวอร์ชัน : 2.3
คะแนน ความรุนแรง : สูง
11. Google Maps Easy
ปลั๊กอิน: Google Maps Easy
ช่องโหว่ : Admin+ Stored Cross-Site Scripting
แพต ช์ในเวอร์ชัน : 1.10.1
คะแนน ความรุนแรง : ต่ำ
12. ปฏิทินของฉัน
ปลั๊กอิน: ปฏิทินของฉัน
ช่องโหว่ : Subscriber+ Reflected Cross-Site Scripting
แพตช์ในเวอร์ชัน : 3.2.18
คะแนน ความรุนแรง : ปานกลาง
13. ตัวสร้างแบบฟอร์ม ARForms
ปลั๊กอิน: ตัวสร้างฟอร์ม ARForms
ช่องโหว่ : Admin+ Stored Cross-Site Scripting
แพตช์ในเวอร์ชัน : 1.5
คะแนน ความรุนแรง : ต่ำ
14. เครื่องมือ WP DSGVO
ปลั๊กอิน: เครื่องมือ WP DSGVO
ช่องโหว่ : Unauthenticated Arbitrary Post Delete
แพตช์ ในเวอร์ชัน : 3.1.24
คะแนน ความรุนแรง : สูง
15. WP นำเข้าทั้งหมด
ปลั๊กอิน: WP นำเข้าทั้งหมด
ช่องโหว่ : Admin+ Stored Cross-Site Scripting
แพตช์ในเวอร์ชัน : 3.6.3
คะแนน ความรุนแรง : ต่ำ
16. WPS ซ่อนการเข้าสู่ระบบ
ปลั๊กอิน: WPS ซ่อนการเข้าสู่ระบบ
ช่องโหว่ : การป้องกันบายพาสด้วย Referer-Header
แพตช์ในเวอร์ชัน : 1.9.1
คะแนน ความรุนแรง : ปานกลาง
17. WP Google แบบอักษร
ปลั๊กอิน: WP Google Fonts
ช่องโหว่ : Reflected Cross-Site Scripting
แพตช์ในเวอร์ชัน : 3.1.5
คะแนน ความรุนแรง : ปานกลาง
18. ผู้จัดการกิจกรรมสำหรับ WooCommerce
ปลั๊กอิน: ตัวจัดการเหตุการณ์สำหรับ WooCommerce
ช่องโหว่ : Unauthenticated Arbitrary Elementor Template นำเข้า
แพตช์ในเวอร์ชัน : 3.5.3
คะแนน ความรุนแรง : ปานกลาง
ปลั๊กอิน: ตัวจัดการเหตุการณ์สำหรับ WooCommerce
ช่องโหว่ : Unauthenticated Arbitrary Options Reset
แพตช์ในเวอร์ชัน : 3.5.3
คะแนน ความรุนแรง : สูง
19. AutomatorWP
ปลั๊กอิน: AutomatorWP
ช่องโหว่ : ไม่มีการอนุญาตและการยกระดับสิทธิ์
แพตช์ในเวอร์ชัน : 1.7.6
คะแนน ความรุนแรง : ปานกลาง
20. ตัวเลื่อนโลโก้และตู้โชว์
ปลั๊กอิน: ตัวเลื่อนโลโก้และตู้โชว์
ช่องโหว่ : Editor Plugin's Settings Update
แพตช์ ในเวอร์ชัน : 1.3.37
คะแนน ความรุนแรง : ต่ำ
21. รายการราคาอย่างมีสไตล์
ปลั๊กอิน: รายการราคาที่มีสไตล์
ช่องโหว่ : Unauthenticated Arbitrary Image Upload
แพต ช์ในเวอร์ชัน : 6.9.0
คะแนน ความรุนแรง : ปานกลาง
ปลั๊กอิน: รายการราคาที่มีสไตล์
ช่องโหว่ : Subscriber+ Arbitrary Image Upload
แพตช์ ในเวอร์ชัน : 6.9.1
คะแนน ความรุนแรง : ปานกลาง
22. การดีบัก WP
ปลั๊กอิน: WP Debugging
ช่องโหว่ : Unauthenticated Plugin's Settings Update
แพต ช์ในเวอร์ชัน : 2.11.0
คะแนน ความรุนแรง : ปานกลาง
23. รายชื่อโรงแรม
ปลั๊กอิน: รายชื่อโรงแรม
ช่องโหว่ : Authenticated Stored Cross-Site Scripting
แพตช์ในเวอร์ชัน : 1.3.3
คะแนน ความรุนแรง : ปานกลาง
24. ตัวติดตามอีเมล
ปลั๊กอิน: ตัวติดตามอีเมล
ช่องโหว่ : Reflected Cross-Site Scripting
แพตช์ในเวอร์ชัน : 5.2.6
คะแนน ความรุนแรง : สูง
25. แบบฟอร์มติดต่อโดย Supsystic
ปลั๊กอิน: แบบฟอร์มติดต่อโดย Supsystic
ช่องโหว่ : Admin+ Stored Cross-Site Scripting
แพตช์ ในเวอร์ชัน : 1.7.20
คะแนน ความรุนแรง : ต่ำ
26. เมนูร้านอาหารโดย MotoPress
ปลั๊กอิน: เมนูร้านอาหารโดย MotoPress
ช่องโหว่ : Admin+ Stored Cross Site Scripting
แพตช์ในเวอร์ชัน : 2.4.2
คะแนน ความรุนแรง : ต่ำ
27. การเปลี่ยนเส้นทาง SEO
ปลั๊กอิน: การเปลี่ยนเส้นทาง SEO
ช่องโหว่ : Subscriber+ SQL Injection
แพตช์ในเวอร์ชัน : 8.2
คะแนน ความรุนแรง : ปานกลาง
28. ติวเตอร์ LMS
ปลั๊กอิน: ติวเตอร์ LMS
ช่องโหว่ : Reflected Cross-Site Scripting
แพตช์ในเวอร์ชัน : 1.9.11
คะแนน ความรุนแรง : ปานกลาง
29. แบบฟอร์มนินจา
ปลั๊กอิน: แบบฟอร์มนินจา
ช่องโหว่ : Admin+ SQL Injection
แพต ช์ในเวอร์ชัน : 3.6.4
คะแนน ความรุนแรง : ปานกลาง
30. การลงทะเบียนสำหรับปฏิทินกิจกรรม
ปลั๊กอิน: การลงทะเบียนสำหรับปฏิทินกิจกรรม
ช่องโหว่ : Reflected Cross-Site Scripting
แพตช์ในเวอร์ชัน : 2.7.5
คะแนน ความรุนแรง : สูง
วิธีป้องกันเว็บไซต์ WordPress ของคุณจากปลั๊กอินและธีมที่มีช่องโหว่
ดังที่คุณเห็นจากรายงานนี้ มีการเปิดเผยปลั๊กอิน WordPress และช่องโหว่ของธีมใหม่จำนวนมากในแต่ละสัปดาห์ เราทราบดีว่าการติดตามการเปิดเผยช่องโหว่ที่รายงานทุกครั้งอาจเป็นเรื่องยาก ดังนั้นปลั๊กอิน iThemes Security Pro ทำให้ง่ายต่อการตรวจสอบให้แน่ใจว่าไซต์ของคุณไม่ได้ใช้ธีม ปลั๊กอิน หรือเวอร์ชันหลักของ WordPress ที่มีช่องโหว่ที่ทราบ
1. ติดตั้งปลั๊กอิน iThemes Security Pro
ปลั๊กอิน iThemes Security Pro ทำให้ไซต์ WordPress ของคุณแข็งแกร่งขึ้นจากวิธีการทั่วไปที่เว็บไซต์ถูกแฮ็ก ด้วย 30 วิธีในการรักษาความปลอดภัยไซต์ของคุณในปลั๊กอินเดียวที่ใช้งานง่าย
2. เปิดใช้งานการสแกนไซต์เพื่อตรวจสอบช่องโหว่ที่รู้จัก
คุณลักษณะการจัดการเวอร์ชันใน iThemes Security Pro ทำงานร่วมกับ Site Scan เพื่อปกป้องไซต์ของคุณ ธีม ปลั๊กอิน และเวอร์ชันหลักของ WordPress ที่มีช่องโหว่จะได้รับการอัปเดตโดยอัตโนมัติสำหรับคุณ
3. ตรวจสอบการเปลี่ยนแปลงไฟล์
กุญแจสำคัญในการระบุการละเมิดความปลอดภัยอย่างรวดเร็วคือการตรวจสอบการเปลี่ยนแปลงไฟล์บนเว็บไซต์ของคุณ ฟีเจอร์การตรวจจับการเปลี่ยนแปลงไฟล์ใน iThemes Security Pro จะสแกนไฟล์ในเว็บไซต์ของคุณและแจ้งเตือนคุณเมื่อมีการเปลี่ยนแปลงบนเว็บไซต์ของคุณ
รับ iThemes Security Pro พร้อมการตรวจสอบเว็บไซต์ทุกวันตลอด 24 ชั่วโมง
iThemes Security Pro ปลั๊กอินความปลอดภัย WordPress ของเรามีมากกว่า 50 วิธีในการรักษาความปลอดภัยและปกป้องเว็บไซต์ของคุณจากช่องโหว่ด้านความปลอดภัยทั่วไปของ WordPress ด้วย WordPress การรับรองความถูกต้องด้วยสองปัจจัย การป้องกันแบบเดรัจฉาน การบังคับใช้รหัสผ่านที่รัดกุม และอื่นๆ คุณสามารถเพิ่มระดับการรักษาความปลอดภัยเพิ่มเติมให้กับเว็บไซต์ของคุณได้