รายงานช่องโหว่ของ WordPress: พฤศจิกายน 2021 ตอนที่ 3
เผยแพร่แล้ว: 2021-11-20ปลั๊กอินและธีมที่มีช่องโหว่เป็นสาเหตุอันดับ 1 ที่เว็บไซต์ WordPress ถูกแฮ็ก รายงานช่องโหว่ของ WordPress รายสัปดาห์ที่ขับเคลื่อนโดย WPScan ครอบคลุมถึงปลั๊กอิน ธีม และช่องโหว่หลักของ WordPress และสิ่งที่ควรทำหากคุณเรียกใช้ปลั๊กอินหรือธีมที่มีช่องโหว่บนเว็บไซต์ของคุณ
ช่องโหว่แต่ละจุดจะมีระดับความรุนแรง ต่ำ ปานกลาง สูง หรือ วิกฤต การเปิดเผยและการรายงานช่องโหว่อย่างมีความรับผิดชอบเป็นส่วนสำคัญในการทำให้ชุมชน WordPress ปลอดภัย
โปรดแชร์โพสต์นี้กับเพื่อนของคุณเพื่อช่วยเผยแพร่และทำให้ WordPress ปลอดภัยยิ่งขึ้นสำหรับทุกคน
ช่องโหว่หลักของ WordPress
คอร์ WordPress เวอร์ชันล่าสุดคือ 5.8.2 ตามแนวทางปฏิบัติที่ดีที่สุด อย่าลืมรัน WordPress core เวอร์ชันล่าสุดเสมอ!
1. WordPress
ช่องโหว่ : DST Root CA X3 Certificate หมดอายุ
แพตช์ในเวอร์ชัน : 5.8.2
คำอธิบาย: ไฟล์ wp-includes/certificates/ca-bundle.crt มี DST Root CA X3 ซึ่งหมดอายุในวันที่ 30 กันยายน 2021 ซึ่งทำให้เกิดคำเตือนด้านความปลอดภัยในบางกรณี
ช่องโหว่ของปลั๊กอิน WordPress
ในส่วนนี้ ช่องโหว่ของปลั๊กอิน WordPress ล่าสุดได้รับการเปิดเผยแล้ว รายการปลั๊กอินแต่ละรายการประกอบด้วยประเภทของช่องโหว่ หมายเลขเวอร์ชันหากมีการแพตช์ และระดับความรุนแรง
1. การลงทะเบียนสำหรับปฏิทินกิจกรรม
ปลั๊กอิน: การลงทะเบียนสำหรับปฏิทินกิจกรรม
ช่องโหว่ : Unauthenticated SQL Injection
แพต ช์ในเวอร์ชัน : 2.7.6
คะแนน ความรุนแรง : สูง
2. เข้าสู่ระบบWP
ปลั๊กอิน: เข้าสู่ระบบWP
ช่องโหว่ : Reflected Cross-Site Scripting
แพต ช์ในเวอร์ชัน : 3.0.0.5
คะแนน ความรุนแรง : สูง
3. เครื่องมือสลับสกุลเงิน WooCommerce
ปลั๊กอิน: เครื่องมือสลับสกุลเงิน WooCommerce
ช่องโหว่ : Reflected Cross-Site Scripting
แพตช์ ในเวอร์ชัน : 1.3.7.1
คะแนน ความรุนแรง : ปานกลาง
4. การป้องกันเนื้อหาคัดลอกอย่างปลอดภัยและการล็อคเนื้อหา
ปลั๊กอิน: การป้องกันเนื้อหาคัดลอกอย่างปลอดภัยและการล็อคเนื้อหา
ช่องโหว่ : สมาชิก+ การเปิดเผยที่อยู่อีเมล
แพตช์ในเวอร์ชัน : 2.8.2
คะแนน ความรุนแรง : สูง
5. จอง
ปลั๊กอิน: Bookly
ช่องโหว่ : พนักงานจัดเก็บ Cross-Site Scripting
แพต ช์ในเวอร์ชัน : 20.3.1
คะแนน ความรุนแรง : ปานกลาง
6. บันทึกอีเมล
ปลั๊กอิน: บันทึกอีเมล
ช่องโหว่ : Reflected Cross-Site Scripting
แพตช์ในเวอร์ชัน : 2.4.8
คะแนน ความรุนแรง : สูง
7. Tawk.to แชทสด
ปลั๊กอิน: Tawk.to แชทสด
ช่องโหว่ : Subscriber+ Visitor Monitoring & Chatเอาออก
แพต ช์ในเวอร์ชัน : 0.6.0
คะแนน ความรุนแรง : สูง
8. การเข้าถึงข้อมูล WP
ปลั๊กอิน: การเข้าถึงข้อมูล WP
ช่องโหว่ : Admin+ SQL Injection
แพตช์ในเวอร์ชัน : 5.0.0
คะแนน ความรุนแรง : สูง
9. PDF.js Viewer
ปลั๊กอิน: PDF.js Viewer
ช่องโหว่ : Contributor+ Stored Cross-Site Scripting
แพตช์ในเวอร์ชัน : 2.0.2
คะแนน ความรุนแรง : ปานกลาง
10. สำรองและกู้คืน
ปลั๊กอิน: สำรองและกู้คืน
ช่องโหว่ : Admin+ Arbitrary File Deletion
แพทช์ในเวอร์ชัน : ไม่มีโปรแกรมแก้ไขที่รู้จัก
คะแนน ความรุนแรง : ปานกลาง
11. LearnPress
ปลั๊กอิน: LearnPress
ช่องโหว่ : Admin+ SQL Injection
แพตช์ในเวอร์ชัน : 4.1.4
คะแนน ความรุนแรง : ปานกลาง
12. รับค่าฟิลด์ที่กำหนดเอง
ปลั๊กอิน: รับค่าฟิลด์ที่กำหนดเอง
ช่องโหว่ : Contributor+ Stored Cross-Site Scripting
แพตช์ในเวอร์ชัน : 4.0.1
คะแนน ความรุนแรง : ปานกลาง
13. แพ็คเกจการจอง
ปลั๊กอิน: แพ็คเกจการจอง
ช่องโหว่ : Reflected Cross-Site Scripting
แพตช์ในเวอร์ชัน : 1.5.11
คะแนน ความรุนแรง : ปานกลาง
14. คะแนนไลค์ของปุ่ม
ปลั๊กอิน: คะแนนชอบปุ่ม
ช่องโหว่ : ส่งออกโหวตโดยไม่ได้รับอนุญาตไปยังการเปิดเผยข้อมูลอีเมลและที่อยู่ IP
แพตช์ ในเวอร์ชัน : 2.6.38
คะแนน ความรุนแรง : สูง
15. แบบฟอร์ม Caldera
ปลั๊กอิน: แบบฟอร์ม Caldera
ช่องโหว่ : Admin+ Stored Cross-Site Scripting
แพตช์ในเวอร์ชัน : 1.9.5
คะแนน ความรุนแรง : ต่ำ
16. เทมเพลตเริ่มต้น
ปลั๊กอิน: เทมเพลตเริ่มต้น
ช่องโหว่ : Contributor+ Block Import to Stored XSS
แพตช์ในเวอร์ชัน : 2.7.1
คะแนน ความรุนแรง : สูง
17. แบบฟอร์มการติดต่อ อีเมล
ปลั๊กอิน: อีเมลแบบฟอร์มติดต่อ
ช่องโหว่ : Admin+ Stored Cross-Site Scripting
แพตช์ ในเวอร์ชัน : 1.3.25
คะแนน ความรุนแรง : ต่ำ
18. คลังวิดีโอ – Vimeo และ YouTube Gallery
ปลั๊กอิน: แกลเลอรีวิดีโอ – แกลเลอรี Vimeo และ YouTube
ช่องโหว่ : Admin+ Stored Cross-Site Scripting
แพตช์ในเวอร์ชัน : 1.1.5
คะแนน ความรุนแรง : ต่ำ
19. WordPress โพสต์ยอดนิยม
ปลั๊กอิน: WordPress โพสต์ยอดนิยม
ช่องโหว่ : Admin+ Stored Cross-Site Scripting
แพตช์ในเวอร์ชัน : 5.3.4
คะแนน ความรุนแรง : ต่ำ
วิธีป้องกันเว็บไซต์ WordPress ของคุณจากปลั๊กอินและธีมที่มีช่องโหว่
ดังที่คุณเห็นจากรายงานนี้ มีการเปิดเผยปลั๊กอิน WordPress และช่องโหว่ของธีมใหม่จำนวนมากในแต่ละสัปดาห์ เราทราบดีว่าการติดตามการเปิดเผยช่องโหว่ที่รายงานทุกครั้งอาจเป็นเรื่องยาก ดังนั้นปลั๊กอิน iThemes Security Pro จึงช่วยให้แน่ใจได้ง่ายว่าไซต์ของคุณไม่ได้ใช้งานธีม ปลั๊กอิน หรือเวอร์ชันหลักของ WordPress ที่มีช่องโหว่ที่ทราบ
1. ติดตั้งปลั๊กอิน iThemes Security Pro
ปลั๊กอิน iThemes Security Pro ทำให้ไซต์ WordPress ของคุณแข็งแกร่งขึ้นจากวิธีการทั่วไปที่เว็บไซต์ถูกแฮ็ก ด้วย 30 วิธีในการรักษาความปลอดภัยไซต์ของคุณในปลั๊กอินเดียวที่ใช้งานง่าย
2. เปิดใช้งานการสแกนไซต์เพื่อตรวจสอบช่องโหว่ที่รู้จัก
คุณลักษณะการจัดการเวอร์ชันใน iThemes Security Pro ทำงานร่วมกับ Site Scan เพื่อปกป้องไซต์ของคุณ ธีม ปลั๊กอิน และเวอร์ชันหลักของ WordPress ที่มีช่องโหว่จะได้รับการอัปเดตโดยอัตโนมัติสำหรับคุณ
3. ตรวจสอบการเปลี่ยนแปลงไฟล์
กุญแจสำคัญในการระบุการละเมิดความปลอดภัยอย่างรวดเร็วคือการตรวจสอบการเปลี่ยนแปลงไฟล์บนเว็บไซต์ของคุณ ฟีเจอร์การตรวจจับการเปลี่ยนแปลงไฟล์ใน iThemes Security Pro จะสแกนไฟล์ในเว็บไซต์ของคุณและแจ้งเตือนคุณเมื่อมีการเปลี่ยนแปลงบนเว็บไซต์ของคุณ
รับ iThemes Security Pro พร้อมการตรวจสอบความปลอดภัยเว็บไซต์ 24/7
iThemes Security Pro ปลั๊กอินความปลอดภัย WordPress ของเรามีมากกว่า 50 วิธีในการรักษาความปลอดภัยและปกป้องเว็บไซต์ของคุณจากช่องโหว่ด้านความปลอดภัยทั่วไปของ WordPress ด้วย WordPress การรับรองความถูกต้องด้วยสองปัจจัย การป้องกันแบบเดรัจฉาน การบังคับใช้รหัสผ่านที่รัดกุม และอื่นๆ คุณสามารถเพิ่มระดับการรักษาความปลอดภัยเพิ่มเติมให้กับเว็บไซต์ของคุณได้