รายงานช่องโหว่ของ WordPress: พฤศจิกายน 2021 ตอนที่ 4
เผยแพร่แล้ว: 2021-11-25ปลั๊กอินและธีมที่มีช่องโหว่เป็นสาเหตุอันดับ 1 ที่เว็บไซต์ WordPress ถูกแฮ็ก รายงานช่องโหว่ของ WordPress รายสัปดาห์ที่ขับเคลื่อนโดย WPScan ครอบคลุมถึงปลั๊กอิน ธีม และช่องโหว่หลักของ WordPress และสิ่งที่ควรทำหากคุณเรียกใช้ปลั๊กอินหรือธีมที่มีช่องโหว่บนเว็บไซต์ของคุณ
ช่องโหว่แต่ละจุดจะมีระดับความรุนแรง ต่ำ ปานกลาง สูง หรือ วิกฤต การเปิดเผยและการรายงานช่องโหว่อย่างมีความรับผิดชอบเป็นส่วนสำคัญในการทำให้ชุมชน WordPress ปลอดภัย
โปรดแชร์โพสต์นี้กับเพื่อนของคุณเพื่อช่วยเผยแพร่และทำให้ WordPress ปลอดภัยยิ่งขึ้นสำหรับทุกคน
โฮสติ้ง WordPress: GoDaddy ถูกแฮ็ก
ในการเปิดเผยข้อมูลด้านความปลอดภัยที่เผยแพร่เมื่อวันที่ 21 พฤศจิกายน พ.ศ. 2564 GoDaddy กล่าวว่าลูกค้าที่มีการใช้งานและไม่ได้ใช้งานถึง 1.2 ล้านคนถูกเปิดเผยหลังจากที่แฮกเกอร์ได้เข้าถึงแพลตฟอร์มโฮสติ้ง WordPress ที่มีการจัดการของตน
เราเขียนโพสต์เพื่อแกะรายละเอียดบางส่วนของการแฮ็ก GoDaddy ล่าสุด ผลกระทบต่อลูกค้า และคำแนะนำของเราเกี่ยวกับสิ่งที่ต้องทำหากคุณเป็นลูกค้าโฮสติ้ง WordPress ที่ GoDaddy
ช่องโหว่หลักของ WordPress
คอร์ WordPress เวอร์ชันล่าสุดคือ 5.8.2 ตามแนวทางปฏิบัติที่ดีที่สุด อย่าลืมรัน WordPress core เวอร์ชันล่าสุดเสมอ!
ช่องโหว่ของปลั๊กอิน WordPress
ในส่วนนี้ ช่องโหว่ของปลั๊กอิน WordPress ล่าสุดได้รับการเปิดเผยแล้ว รายการปลั๊กอินแต่ละรายการประกอบด้วยประเภทของช่องโหว่ หมายเลขเวอร์ชันหากมีการแพตช์ และระดับความรุนแรง
1. Pixel Cat Lite
ปลั๊กอิน: Pixel Cat Lite
ช่องโหว่ : Admin+ Stored Cross-Site Scripting
แพตช์ในเวอร์ชัน : 2.6.3
คะแนน ความรุนแรง : ต่ำ
ปลั๊กอิน: Pixel Cat Lite
ช่องโหว่ : CSRF ถึง Stored Cross-Site Scripting
แพตช์ในเวอร์ชัน : 2.6.2
คะแนน ความรุนแรง : สูง
2. ออล-อิน-วัน-แกลเลอรี่
ปลั๊กอิน: All-In-One-Gallery
ช่องโหว่ : Admin+ Local File Inclusion
แพตช์ในเวอร์ชัน : 2.5.0
คะแนน ความรุนแรง : ต่ำ
3. StopBadbots
ปลั๊กอิน: StopBadbots
ช่องโหว่ : Reflected Cross-Site Scripting
แพตช์ในเวอร์ชัน : 6.67
คะแนน ความรุนแรง : วิกฤต
4. เข้าสู่ระบบชั่วคราวโดยไม่ต้องใช้รหัสผ่าน
ปลั๊กอิน: เข้าสู่ระบบชั่วคราวโดยไม่ต้องใช้รหัสผ่าน
ช่องโหว่ : Subscriber+ Plugin's Settings Update
แพตช์ในเวอร์ชัน : 1.7.1
คะแนน ความรุนแรง : ปานกลาง
5. ProfilePress
ปลั๊กอิน: ProfilePress
ช่องโหว่ : Reflected Cross-Site Scripting
แพตช์ในเวอร์ชัน : 3.2.3
คะแนน ความรุนแรง : ปานกลาง
ปลั๊กอิน: ProfilePress
ช่องโหว่ : Reflected Cross-Site Scripting
แพตช์ในเวอร์ชัน : 3.2.3
คะแนน ความรุนแรง : สูง
6. ปฏิทินกิจกรรมสมัยใหม่
ปลั๊กอิน: ปฏิทินกิจกรรมสมัยใหม่
ช่องโหว่ : Unauthenticated Blind SQL Injection
แพตช์ในเวอร์ชัน : 6.1.5
คะแนน ความรุนแรง : สูง
ปลั๊กอิน: ปฏิทินกิจกรรมสมัยใหม่
ช่องโหว่ : Reflected Cross-Site Scripting
แพตช์ในเวอร์ชัน : 6.1.5
คะแนน ความรุนแรง : สูง
7. รูปภาพเด่นอัตโนมัติ
ปลั๊กอิน: รูปภาพเด่นอัตโนมัติ
ช่องโหว่ : Reflected Cross-Site Scripting
แพตช์ในเวอร์ชัน : 3.9.3
คะแนน ความรุนแรง : ปานกลาง
8. สุดยอด NoFollow
ปลั๊กอิน: สุดยอด NoFollow
ช่องโหว่ : Contributor+ Stored Cross-Site Scripting
Patched in Version : No Know Fix – ปลั๊กอินถูกปิด
คะแนน ความรุนแรง : ปานกลาง
9. NEX-Forms
ปลั๊กอิน: NEX-Forms
ช่องโหว่ : ผู้ดูแลระบบหลายราย + การเขียนสคริปต์ข้ามไซต์ที่จัดเก็บไว้
Patched in Version : No Know Fix – ปลั๊กอินถูกปิด
คะแนน ความรุนแรง : ต่ำ
10. SEO Booster
ปลั๊กอิน: SEO Booster
ช่องโหว่ : Admin+ SQL Injection
Patched in Version : No Know Fix – ปลั๊กอินถูกปิด
คะแนน ความรุนแรง : ปานกลาง
11. บันทึกระบบ WP
ปลั๊กอิน: บันทึกระบบ WP
ช่องโหว่ : Unauthenticated Stored Cross-Site Scripting
แพตช์ ในเวอร์ชัน : 1.0.21
คะแนน ความรุนแรง : วิกฤต
12. Rotator อ้างแรงบันดาลใจ
ปลั๊กอิน: ตัวหมุนคำพูดที่สร้างแรงบันดาลใจ
ช่องโหว่ : Admin+ Stored Cross-Site Scripting
Patched in Version : No Know Fix – ปลั๊กอินถูกปิด
คะแนน ความรุนแรง : ต่ำ
13. ผู้ส่งออกโพสต์เดียว
ปลั๊กอิน: ผู้ส่งออกโพสต์เดียว
ช่องโหว่ : อัปเดตการตั้งค่าของปลั๊กอินผ่าน CSRF
Patched in Version : No Know Fix – ปลั๊กอินถูกปิด
คะแนน ความรุนแรง : ปานกลาง
14. แบบอักษรท้องถิ่นแบบยืดหยุ่น
ปลั๊กอิน: Flex Local Fonts
ช่องโหว่ : Admin+ Stored Cross-Site-Scripting
Patched in Version : No Know Fix – ปลั๊กอินถูกปิด
คะแนน ความรุนแรง : ต่ำ
15. เปลี่ยนโลโก้ผู้ดูแลระบบ WP
ปลั๊กอิน: ตัวเปลี่ยนโลโก้ผู้ดูแลระบบ WP
ช่องโหว่ : อัปเดตการตั้งค่าของปลั๊กอินผ่าน CSRF
Patched in Version : No Know Fix – ปลั๊กอินถูกปิด
คะแนน ความรุนแรง : ปานกลาง
16. แบบฟอร์มติดต่อฐานข้อมูลขั้นสูง
ปลั๊กอิน: แบบฟอร์มติดต่อฐานข้อมูลขั้นสูง
ช่องโหว่ : การโทร AJAX โดยไม่ได้รับอนุญาต
แพทช์ในเวอร์ชัน : ไม่มีโปรแกรมแก้ไขที่รู้จัก
คะแนน ความรุนแรง : ปานกลาง
17. ปุ่มเงา
ปลั๊กอิน: ปุ่มเงา
ช่องโหว่ : Unauthenticated Stored Cross-Site Scripting
แพทช์ในเวอร์ชัน : ไม่มีโปรแกรมแก้ไขที่รู้จัก
คะแนน ความรุนแรง : สูง
18. แกลลอรี่ผลงานกรอง
ปลั๊กอิน: กรองคลังผลงาน
ช่องโหว่ : Arbitrary Gallery การลบผ่าน CSRF
แพทช์ในเวอร์ชัน : ไม่มีโปรแกรมแก้ไขที่รู้จัก
คะแนน ความรุนแรง : ปานกลาง
19. WP Limits
ปลั๊กอิน: WP Limits
ช่องโหว่ : อัปเดตการตั้งค่าของปลั๊กอินผ่าน CSRF
แพทช์ในเวอร์ชัน : ไม่มีโปรแกรมแก้ไขที่รู้จัก
คะแนน ความรุนแรง : ปานกลาง
20. รหัสย่อหน้า/โพสต์เนื้อหา
ปลั๊กอิน: รหัสย่อหน้า/โพสต์เนื้อหา
ช่องโหว่ : Contributor+ การเข้าถึงโพสต์/หน้าโดยพลการ
แพทช์ในเวอร์ชัน : ไม่มีโปรแกรมแก้ไขที่รู้จัก
คะแนน ความรุนแรง : ปานกลาง
21. ปรับปรุงหน้ารวม
ปลั๊กอิน: ปรับปรุงหน้ารวม
ช่องโหว่ : Contributor+ การเข้าถึงโพสต์/หน้าโดยพลการ
แพทช์ในเวอร์ชัน : ไม่มีโปรแกรมแก้ไขที่รู้จัก
คะแนน ความรุนแรง : ปานกลาง
22. มีเดียมาติก
ปลั๊กอิน: Mediamatic
ช่องโหว่ : Subscriber+ SQL Injection
แพทช์ในเวอร์ชัน : ไม่มีโปรแกรมแก้ไขที่รู้จัก
คะแนน ความรุนแรง : สูง
23. แสดงข้อมูลเมตาของโพสต์
ปลั๊กอิน: แสดงข้อมูลเมตาของโพสต์
ช่องโหว่ : Contributor+ Stored Cross-Site Scripting
แพทช์ในเวอร์ชัน : ไม่มีโปรแกรมแก้ไขที่รู้จัก
คะแนน ความรุนแรง : ปานกลาง
24. ท็อปลิงค์
ปลั๊กอิน: ToTop Link
ช่องโหว่ : Unauthenticated PHP Object Injection
แพทช์ในเวอร์ชัน : ไม่มีโปรแกรมแก้ไขที่รู้จัก
คะแนน ความรุนแรง : ปานกลาง
25. รหัสย่อ Meta ของผู้ใช้
ปลั๊กอิน: รหัสย่อ Meta ของผู้ใช้
ช่องโหว่ : Contributor+ การเข้าถึงข้อมูลเมตาของผู้ใช้โดยพลการโดยไม่ได้รับอนุญาต
แพทช์ในเวอร์ชัน : ไม่มีโปรแกรมแก้ไขที่รู้จัก
คะแนน ความรุนแรง : สูง
26. คอลเลกชันคำคม
Plugin: Quotes Collection
ช่องโหว่ : Admin+ SQL Injection
แพทช์ในเวอร์ชัน : ไม่มีโปรแกรมแก้ไขที่รู้จัก
คะแนน ความรุนแรง : ปานกลาง
27. การแจ้งเตือนแบบพุชสำหรับ WordPress (Lite)
ปลั๊กอิน: การแจ้งเตือนแบบพุชสำหรับ WordPress (Lite)
ช่องโหว่ : อัปเดตการตั้งค่าผ่าน CSRF
แพตช์ในเวอร์ชัน : 6.0.1
คะแนน ความรุนแรง : ปานกลาง
28. SportsPress
ปลั๊กอิน: SportsPress
ช่องโหว่ : Reflected Cross-Site Scripting
แพตช์ในเวอร์ชัน : 2.7.9
คะแนน ความรุนแรง : สูง
29. เข้าสู่ระบบ/สมัครสมาชิกป๊อปอัป
ปลั๊กอิน: เข้าสู่ระบบ/สมัครสมาชิกป๊อปอัป
ช่องโหว่ : Reflected Cross-Site Scripting
แพตช์ในเวอร์ชัน : 2.2
คะแนน ความรุนแรง : สูง
30. ดูตัวอย่างอีเมลสำหรับ WooCommerce
ปลั๊กอิน: ดูตัวอย่างอีเมลสำหรับ WooCommerce
ช่องโหว่ : Reflected Cross-Site Scripting
แพตช์ในเวอร์ชัน : 2.0.0
คะแนน ความรุนแรง : ปานกลาง
31. ส่วนหน้าผู้ใช้ WP
ปลั๊กอิน: WP User Frontend
ช่องโหว่ : การเป็นสมาชิก โปรไฟล์ การลงทะเบียน & ปลั๊กอินโพสต์การส่งสำหรับ WordPress
แพตช์ ในเวอร์ชัน : 3.5.25
คะแนน ความรุนแรง : ปานกลาง
32. Directorist – Business Directory Plugin
ปลั๊กอิน: ผู้อำนวยการ – ปลั๊กอินไดเรกทอรีธุรกิจ
ช่องโหว่ : CSRF ไปยัง Remote File Upload
แพตช์ ในเวอร์ชัน : 7.0.6.2
คะแนน ความรุนแรง : วิกฤต
33. แบบฟอร์มลงทะเบียนง่าย ๆ
ปลั๊กอิน: แบบฟอร์มลงทะเบียนง่าย
ช่องโหว่ : CSRF ถึง Stored Cross-Site Scripting
แพทช์ในเวอร์ชัน : ไม่มีโปรแกรมแก้ไขที่รู้จัก
คะแนน ความรุนแรง : สูง
34. WP รีเซ็ตโปร
ปลั๊กอิน: WP รีเซ็ต Pro
ช่องโหว่ : Subscriber+ Database Reset
แก้ไขในเวอร์ชัน : 5.99
คะแนน ความรุนแรง : วิกฤต
ปลั๊กอิน: WP รีเซ็ต Pro
ช่องโหว่ : รีเซ็ตฐานข้อมูลผ่าน CSRF
แก้ไขในเวอร์ชัน : 5.99
คะแนน ความรุนแรง : วิกฤต
35. WordPress + Microsoft Office 365
ปลั๊กอิน: WordPress + Microsoft Office 365
ช่องโหว่ : Unauthenticated Stored Cross-Site Scripting
แพตช์ในเวอร์ชัน : 15.4
คะแนน ความรุนแรง : วิกฤต
36. โพสต์ซ้ำ
ปลั๊กอิน: โพสต์ซ้ำ
ช่องโหว่ : Authenticated SQL Injection
แพตช์ในเวอร์ชัน : 1.2.0
คะแนน ความรุนแรง : ปานกลาง
37. การสำรองข้อมูลการโยกย้าย
ปลั๊กอิน: การสำรองข้อมูลการโยกย้าย
ช่องโหว่ : Admin+ Stored Cross-Site Scripting
แพตช์ในเวอร์ชัน : 1.1.6
คะแนน ความรุนแรง : ปานกลาง
วิธีป้องกันเว็บไซต์ WordPress ของคุณจากปลั๊กอินและธีมที่มีช่องโหว่
ดังที่คุณเห็นจากรายงานนี้ มีการเปิดเผยปลั๊กอิน WordPress และช่องโหว่ของธีมใหม่จำนวนมากในแต่ละสัปดาห์ เราทราบดีว่าการติดตามการเปิดเผยช่องโหว่ที่รายงานทุกครั้งอาจเป็นเรื่องยาก ดังนั้นปลั๊กอิน iThemes Security Pro จึงช่วยให้แน่ใจได้ง่ายว่าไซต์ของคุณไม่ได้ใช้งานธีม ปลั๊กอิน หรือเวอร์ชันหลักของ WordPress ที่มีช่องโหว่ที่ทราบ
1. ติดตั้งปลั๊กอิน iThemes Security Pro
ปลั๊กอิน iThemes Security Pro ทำให้ไซต์ WordPress ของคุณแข็งแกร่งขึ้นจากวิธีการทั่วไปที่เว็บไซต์ถูกแฮ็ก ด้วย 30 วิธีในการรักษาความปลอดภัยไซต์ของคุณในปลั๊กอินเดียวที่ใช้งานง่าย
2. เปิดใช้งานการสแกนไซต์เพื่อตรวจสอบช่องโหว่ที่รู้จัก
คุณลักษณะการจัดการเวอร์ชันใน iThemes Security Pro ทำงานร่วมกับ Site Scan เพื่อปกป้องไซต์ของคุณ ธีม ปลั๊กอิน และเวอร์ชันหลักของ WordPress ที่มีช่องโหว่จะได้รับการอัปเดตโดยอัตโนมัติสำหรับคุณ
3. ตรวจสอบการเปลี่ยนแปลงไฟล์
กุญแจสำคัญในการระบุการละเมิดความปลอดภัยอย่างรวดเร็วคือการตรวจสอบการเปลี่ยนแปลงไฟล์บนเว็บไซต์ของคุณ ฟีเจอร์การตรวจจับการเปลี่ยนแปลงไฟล์ใน iThemes Security Pro จะสแกนไฟล์ในเว็บไซต์ของคุณและแจ้งเตือนคุณเมื่อมีการเปลี่ยนแปลงบนเว็บไซต์ของคุณ
รับ iThemes Security Pro พร้อมการตรวจสอบความปลอดภัยเว็บไซต์ 24/7
iThemes Security Pro ปลั๊กอินความปลอดภัย WordPress ของเรามีมากกว่า 50 วิธีในการรักษาความปลอดภัยและปกป้องเว็บไซต์ของคุณจากช่องโหว่ด้านความปลอดภัยทั่วไปของ WordPress ด้วย WordPress การรับรองความถูกต้องด้วยสองปัจจัย การป้องกันแบบเดรัจฉาน การบังคับใช้รหัสผ่านที่รัดกุม และอื่นๆ คุณสามารถเพิ่มระดับการรักษาความปลอดภัยเพิ่มเติมให้กับเว็บไซต์ของคุณได้