รายงานช่องโหว่ของ WordPress: ตุลาคม 2021 ตอนที่ 2
เผยแพร่แล้ว: 2021-10-13ปลั๊กอินและธีมที่มีช่องโหว่เป็นสาเหตุอันดับ 1 ที่เว็บไซต์ WordPress ถูกแฮ็ก รายงานช่องโหว่ของ WordPress รายสัปดาห์ที่ขับเคลื่อนโดย WPScan ครอบคลุมถึงปลั๊กอิน ธีม และช่องโหว่หลักของ WordPress และสิ่งที่ควรทำหากคุณเรียกใช้ปลั๊กอินหรือธีมที่มีช่องโหว่บนเว็บไซต์ของคุณ
ช่องโหว่แต่ละจุดจะมีระดับความรุนแรง ต่ำ ปานกลาง สูง หรือ วิกฤต การเปิดเผยและการรายงานช่องโหว่อย่างมีความรับผิดชอบเป็นส่วนสำคัญในการทำให้ชุมชน WordPress ปลอดภัย
โปรดแชร์โพสต์นี้กับเพื่อนของคุณเพื่อช่วยเผยแพร่และทำให้ WordPress ปลอดภัยยิ่งขึ้นสำหรับทุกคน
ช่องโหว่หลักของ WordPress
เวอร์ชันล่าสุดของแกน WordPress คือ 5.8.1 ได้รับการเผยแพร่ในรูปแบบการรักษาความปลอดภัยและการบำรุงรักษา ตามแนวทางปฏิบัติที่ดีที่สุด อย่าลืมรัน WordPress core เวอร์ชันล่าสุดเสมอ!
ช่องโหว่ของปลั๊กอิน WordPress
ในส่วนนี้ ช่องโหว่ของปลั๊กอิน WordPress ล่าสุดได้รับการเปิดเผยแล้ว รายการปลั๊กอินแต่ละรายการประกอบด้วยประเภทของช่องโหว่ หมายเลขเวอร์ชันหากมีการแพตช์ และระดับความรุนแรง
1. ปุ่มซื้อ PayPal ง่าย ๆ
ปลั๊กอิน: ปุ่มซื้อ PayPal ง่าย ๆ
ช่องโหว่ : CSRF ถึง Stored Cross-Site Scripting
แพตช์ในเวอร์ชัน : 1.7.3
คะแนน ความรุนแรง : สูง
2. กิจกรรมทำได้ง่าย
ปลั๊กอิน: กิจกรรมที่ทำได้ง่าย
ช่องโหว่ : Admin+ Stored Cross-Site Scripting
แพต ช์ในเวอร์ชัน : 2.2.24
คะแนน ความรุนแรง : ต่ำ
3. ข้อความที่ดีขึ้นของ BP
ปลั๊กอิน: BP Better Messages
ช่องโหว่ : Reflected Cross-Site Scripting
แพตช์ ในเวอร์ชัน : 1.9.9.41
คะแนน ความรุนแรง : สูง
ปลั๊กอิน: BP Better Messages
ช่องโหว่ : หลาย CSRF
แพตช์ ในเวอร์ชัน : 1.9.9.41
คะแนน ความรุนแรง : ปานกลาง
4. ตัวสร้าง Themify
ปลั๊กอิน: Themify Builder
ช่องโหว่ : Reflected Cross-Site Scripting
แพตช์ในเวอร์ชัน : 5.3.2
คะแนน ความรุนแรง : สูง
5. ส่วนหัวการหมดอายุในอนาคตอันไกล
ปลั๊กอิน: Far Future Expiry Header
ช่องโหว่ : อัปเดตการตั้งค่าของปลั๊กอินผ่าน CSRF
แพตช์ในเวอร์ชัน : 1.5
คะแนน ความรุนแรง : ปานกลาง
6. การควบคุมแหล่งที่มาของภาพ
ปลั๊กอิน: การควบคุมแหล่งที่มาของภาพ
ช่องโหว่ : Contributor+ Arbitrary Post Meta Value Change
แพตช์ในเวอร์ชัน : 2.3.1
คะแนน ความรุนแรง : ปานกลาง
7. ตัวเลื่อนโลโก้และตู้โชว์
ปลั๊กอิน: ตัวเลื่อนโลโก้และตู้โชว์
ช่องโหว่ : Editor Plugin's Settings Update
แพตช์ ในเวอร์ชัน : 1.3.37
คะแนน ความรุนแรง : ต่ำ
8. Cardinity Payment Gateway สำหรับ WooCommerce
ปลั๊กอิน: Cardinity Payment Gateway สำหรับ WooCommerce
ช่องโหว่ : Reflected Cross-Site Scripting
แพตช์ในเวอร์ชัน : 3.0.7
คะแนน ความรุนแรง : สูง
9. เครื่องเล่นเพลง MP3 สำหรับเพลง วิทยุ และพอดคาสต์ โดย Sonaar
ปลั๊กอิน: เครื่องเล่นเสียง MP3 สำหรับเพลง วิทยุ และพอดคาสต์ โดย Sonaar
ช่องโหว่ : Multiple Admin+ Cross Site Scripting
แพตช์ในเวอร์ชัน : 2.4.2
คะแนน ความรุนแรง : ต่ำ
10. การบริจาค Paypal
ปลั๊กอิน: การบริจาค Paypal
ช่องโหว่ : CSRF ถึง Arbitrary Post Delete
แพตช์ในเวอร์ชัน : 1.3.1
คะแนน ความรุนแรง : ปานกลาง
ปลั๊กอิน: การบริจาค Paypal
ช่องโหว่ : CSRF ถึง Stored Cross-Site Scripting
แพตช์ในเวอร์ชัน : 1.3.1
คะแนน ความรุนแรง : สูง
11. เร็วๆ นี้ อยู่ระหว่างการก่อสร้างและบำรุงรักษาโหมดโดย Dazzler
ปลั๊กอิน: เร็วๆ นี้ อยู่ระหว่างการก่อสร้างและโหมดบำรุงรักษา โดย Dazzler
ช่องโหว่ : Admin+ Stored Cross-Site Scripting
แพตช์ในเวอร์ชัน : 1.6.7
คะแนน ความรุนแรง : ต่ำ
12. Translate WordPress – โปรแกรมแปลภาษาของ Google
ปลั๊กอิน: แปล WordPress – โปรแกรมแปลภาษาของ Google
ช่องโหว่ : Admin+ Stored Cross-Site Scripting
แพตช์ ในเวอร์ชัน : 6.0.12
คะแนน ความรุนแรง : ต่ำ
13. ผู้ช่วยผลิตภัณฑ์ Booking.com
ปลั๊กอิน: ผู้ช่วยผลิตภัณฑ์ Booking.com
ช่องโหว่ : Admin+ Stored Cross-Site Scripting
Patched in Version : No Know Fix – ปลั๊กอินถูกปิด
คะแนน ความรุนแรง : ต่ำ
14. ผู้สร้างแบนเนอร์ของ Booking.com
ปลั๊กอิน: ผู้สร้างแบนเนอร์ของ Booking.com
ช่องโหว่ : Admin+ Stored Cross-Site Scripting
Patched in Version : No Know Fix – ปลั๊กอินถูกปิด
คะแนน ความรุนแรง : ต่ำ
15. การตรวจสอบการดาวน์โหลดอย่างง่าย
ปลั๊กอิน: การตรวจสอบการดาวน์โหลดอย่างง่าย
ช่องโหว่ : รีเซ็ตบันทึกโดยไม่ได้รับอนุญาต
แพต ช์ในเวอร์ชัน : 3.9.6
คะแนน ความรุนแรง : ปานกลาง
ปลั๊กอิน: การตรวจสอบการดาวน์โหลดอย่างง่าย
ช่องโหว่ : การลบภาพขนาดย่อโดยพลการ
แพต ช์ในเวอร์ชัน : 3.9.6
คะแนน ความรุนแรง : ปานกลาง
ปลั๊กอิน: การตรวจสอบการดาวน์โหลดอย่างง่าย
ช่องโหว่ : Unauthenticated Log Access
แพต ช์ในเวอร์ชัน : 3.9.6
คะแนน ความรุนแรง : ปานกลาง
ปลั๊กอิน: การตรวจสอบการดาวน์โหลดอย่างง่าย
ช่องโหว่ : Reflected Cross-Site Scripting
แพตช์ ในเวอร์ชัน : 3.9.5
คะแนน ความรุนแรง : สูง
ปลั๊กอิน: การตรวจสอบการดาวน์โหลดอย่างง่าย
ช่องโหว่ : Contributor+ Stored Cross-Site Scripting ผ่าน File Thumbnail
แพตช์ ในเวอร์ชัน : 3.9.5
คะแนน ความรุนแรง : สูง
16. แชทสองทาง
ปลั๊กอิน: แชทสองทาง
ช่องโหว่ : หลาย CSRF
แพตช์ในเวอร์ชัน : 3.1.5
คะแนน ความรุนแรง : ปานกลาง
ปลั๊กอิน: แชทสองทาง
ช่องโหว่ : Admin+ Local File Inclusion
แพตช์ในเวอร์ชัน : 3.1.5
คะแนน ความรุนแรง : ต่ำ
17. WP-เรียกคืน
ปลั๊กอิน: WP-Recall
ช่องโหว่ : Reflected Cross-Site Scripting
แพตช์ ในเวอร์ชัน : 16.24.48
คะแนน ความรุนแรง : สูง
18. JobSearch WP กระดานงาน
ปลั๊กอิน: JobSearch WP Job Board
ช่องโหว่ : Subscriber+ Arbitrary Blog Options Update
แพตช์ในเวอร์ชัน : 1.8.2
คะแนน ความรุนแรง : สูง
ปลั๊กอิน: JobSearch WP Job Board
ช่องโหว่ : Unauthenticated Plugin's Settings Update
แพตช์ในเวอร์ชัน : 1.8.2
คะแนน ความรุนแรง : ปานกลาง
ปลั๊กอิน: JobSearch WP Job Board
ช่องโหว่ : Subscriber+ Add/Update ตารางการโทร
แพตช์ในเวอร์ชัน : 1.8.2
คะแนน ความรุนแรง : ปานกลาง
19. ตะกร้าสินค้าอีคอมเมิร์ซ TheCartPress
ปลั๊กอิน: ตะกร้าสินค้าอีคอมเมิร์ซ TheCartPress
ช่องโหว่ : CSRF ถึง Stored Cross-Site Scripting
Patched in Version : No Know Fix – ปลั๊กอินถูกปิด
คะแนน ความรุนแรง : สูง
20. MSstore API
ปลั๊กอิน: MSstore API
ช่องโหว่ : Unauthenticated PHP File Upload
Patched in Version : No Know Fix – ปลั๊กอินถูกปิด
คะแนน ความรุนแรง : วิกฤต
21. Media File Renamer – เปลี่ยนชื่ออัตโนมัติและด้วยตนเอง
ปลั๊กอิน: เปลี่ยนชื่อไฟล์มีเดีย – เปลี่ยนชื่ออัตโนมัติ & ด้วยตนเอง
ช่องโหว่ : Media Title/ชื่อไฟล์/Locking State Update ผ่าน CSRF
แพตช์ในเวอร์ชัน : 5.2.7
คะแนน ความรุนแรง : ปานกลาง
22. แบทช์แคท
ปลั๊กอิน: Batch Cat
ช่องโหว่ : Subscriber+ Arbitrary หมวดหมู่ Add/Set/Delete to Posts
Patched in Version : No Know Fix – ปลั๊กอินถูกปิด
คะแนน ความรุนแรง : ปานกลาง
23. qTranslate X
ปลั๊กอิน: qTranslate X
ช่องโหว่ : ผู้ดูแลระบบหลายราย + การเขียนสคริปต์ข้ามไซต์ที่จัดเก็บไว้
Patched in Version : No Know Fix – ปลั๊กอินถูกปิด
คะแนน ความรุนแรง : ต่ำ
24. ข้อมูลการเดินทางรอบโลก
ปลั๊กอิน: ข้อมูลการเดินทางรอบโลก
ช่องโหว่ : Reflected Cross-Site Scripting
Patched in Version : No Know Fix – ปลั๊กอินถูกปิด
คะแนน ความรุนแรง : สูง
25. WP Survey Plus
ปลั๊กอิน: WP Survey Plus
ช่องโหว่ : Subscriber+ AJAX Calls
Patched in Version : No Know Fix – ปลั๊กอินถูกปิด
คะแนน ความรุนแรง : สูง
26. หน้าแผนผังเว็บไซต์ WP
ปลั๊กอิน: หน้าแผนผังเว็บไซต์ WP
ช่องโหว่ : Admin+ Stored Cross Site Scripting
แพทช์ในเวอร์ชัน : ไม่มีโปรแกรมแก้ไขที่รู้จัก
คะแนน ความรุนแรง : ต่ำ
27. WP Bannerize 2.0.0
ปลั๊กอิน: WP Bannerize 2.0.0
ช่องโหว่ : Authenticated SQL Injection
Patched in Version : No Know Fix – ปลั๊กอินถูกปิด
คะแนน ความรุนแรง : สูง
28. Genie WP Favicon
ปลั๊กอิน: Genie WP Favicon
ช่องโหว่ : โดยพลการ Favicon เปลี่ยนผ่าน CSRF
Patched in Version : No Know Fix – ปลั๊กอินถูกปิด
คะแนน ความรุนแรง : ปานกลาง
29. Phoenix Media เปลี่ยนชื่อ
ปลั๊กอิน: Phoenix Media Rename
ช่องโหว่ : Author Arbitrary Media File Renameing
แพตช์ในเวอร์ชัน : 3.4.4
คะแนน ความรุนแรง : ปานกลาง
30. สถิติการเข้าชมแบบเรียลไทม์ของผู้เข้าชม
ปลั๊กอิน: สถิติการเข้าชมแบบเรียลไทม์ของผู้เข้าชม
ช่องโหว่ : Subscriber+ SQL Injection
แพตช์ในเวอร์ชัน : 3.9
คะแนน ความรุนแรง : สูง
31. ปุ่มแชร์ AddToAny
ปลั๊กอิน: ปุ่มแชร์ AddToAny
ช่องโหว่ : Admin+ Stored Cross-Site Scripting
แพตช์ ในเวอร์ชัน : 1.7.48
คะแนน ความรุนแรง : ต่ำ
32. ตัวสร้างฟอร์มที่น่าเกรงขาม
ปลั๊กอิน: ตัวสร้างฟอร์มที่น่าเกรงขาม
ช่องโหว่ : Admin+ Stored Cross-Site Scripting
แพตช์ ในเวอร์ชัน : 5.0.07
คะแนน ความรุนแรง : ต่ำ
33. ความปลอดภัยกันกระสุน
ปลั๊กอิน: BulletProof Security
ช่องโหว่ : การเปิดเผยข้อมูลที่ละเอียดอ่อน
แพตช์ในเวอร์ชัน : 5.2
คะแนน ความรุนแรง : ปานกลาง
34. WP การส่งออกทั้งหมด
ปลั๊กอิน: WP ส่งออกทั้งหมด
ช่องโหว่ : Admin+ Stored Cross-Site Scripting
แพตช์ในเวอร์ชัน : 1.3.1
คะแนน ความรุนแรง : ต่ำ
35. เปลี่ยนเส้นทาง 404 Error Page ไปยังโฮมเพจหรือหน้ากำหนดเองด้วย Logs
ปลั๊กอิน: เปลี่ยนเส้นทางหน้าข้อผิดพลาด 404 ไปที่หน้าแรกหรือหน้าที่กำหนดเองด้วย Logs
ช่องโหว่ : การลบบันทึกผ่าน CSRF
แพต ช์ในเวอร์ชัน : 1.7.9
คะแนน ความรุนแรง : ปานกลาง
36. ตัวนำเข้าการสาธิตการเข้าถึง
ปลั๊กอิน: เข้าถึงตัวนำเข้าการสาธิต
ช่องโหว่ : Subscriber+ Arbitrary File Upload
แพตช์ในเวอร์ชัน : 1.0.7
คะแนน ความรุนแรง : สูง
37. ดาวน์โหลด Monitor
ปลั๊กอิน: ดาวน์โหลด Monitor
ช่องโหว่ : การดาวน์โหลดบันทึกโดยไม่ได้รับอนุญาต
แพต ช์ในเวอร์ชัน : 1.9.7
คะแนน ความรุนแรง : ปานกลาง
ปลั๊กอิน: ดาวน์โหลด Monitor
ช่องโหว่ : Reflected Cross-Site Scripting (XSS)
แพตช์ในเวอร์ชัน : 1.7.1
คะแนน ความรุนแรง : ปานกลาง
ปลั๊กอิน: ดาวน์โหลด Monitor
ช่องโหว่ : Authenticated Directory Listing
แพตช์ในเวอร์ชัน : 1.6.4
คะแนน ความรุนแรง : ปานกลาง
ปลั๊กอิน: ดาวน์โหลด Monitor
ช่องโหว่ : การเขียนสคริปต์ข้ามไซต์แบบสะท้อนหลายจุด
แพตช์ ในเวอร์ชัน : 3.3.6.2
คะแนน ความรุนแรง : ปานกลาง
38. ป๊อปอัปไม่ จำกัด
ปลั๊กอิน: ป๊อปอัปไม่ จำกัด
ช่องโหว่ : Author+ SQL Injection
Patched in Version : No Know Fix – ปลั๊กอินถูกปิด
คะแนน ความรุนแรง : สูง
39. Schreikasten
ปลั๊กอิน: Schreikasten
ช่องโหว่ : Author+ SQL Injections
Patched in Version : No Know Fix – ปลั๊กอินถูกปิด
คะแนน ความรุนแรง : สูง
40. โพสต์เนื้อหา XMLRPC
ปลั๊กอิน: โพสต์เนื้อหา XMLRPC
ช่องโหว่ : Author+ SQL Injections
Patched in Version : No Know Fix – ปลั๊กอินถูกปิด
คะแนน ความรุนแรง : สูง
41. ฟอร์มว้าว
ปลั๊กอิน: Wow Forms
ช่องโหว่ : Author+ SQL Injections
Patched in Version : No Know Fix – ปลั๊กอินถูกปิด
คะแนน ความรุนแรง : สูง
42. ไฮเปอร์ลิงก์อัตโนมัติ
ปลั๊กอิน: G Auto-ไฮเปอร์ลิงก์
ช่องโหว่ : Author+ SQL Injection
Patched in Version : No Know Fix – ปลั๊กอินถูกปิด
คะแนน ความรุนแรง : ปานกลาง
43. กิ้งก่า CSS
ปลั๊กอิน: Chameleon CSS
ช่องโหว่ : Subscriber+ SQL Injection
Patched in Version : No Know Fix – ปลั๊กอินถูกปิด
คะแนน ความรุนแรง : วิกฤต
44. SpiderCatalog
ปลั๊กอิน: SpiderCatalog
ช่องโหว่ : Author+ SQL Injection
Patched in Version : No Know Fix – ปลั๊กอินถูกปิด
คะแนน ความรุนแรง : ปานกลาง
45. คณะกรรมการสนับสนุน
ปลั๊กอิน: บอร์ดสนับสนุน
ช่องโหว่ : Agent+ Stored Cross-Site Scripting
แพตช์ในเวอร์ชัน : 3.3.5
คะแนน ความรุนแรง : ปานกลาง
46. ประตูอายุ
ปลั๊กอิน: Age Gate
ช่องโหว่ : Authenticated Stored Cross-Site Scripting
แพตช์ ในเวอร์ชัน : 2.16.4
คะแนน ความรุนแรง : ปานกลาง
47. โพสต์ที่เกี่ยวข้องแบบอินไลน์
ปลั๊กอิน: โพสต์ที่เกี่ยวข้องแบบอินไลน์
ช่องโหว่ : Admin+ Cross-Site Scripting
แพตช์ในเวอร์ชัน : 3.0.5
คะแนน ความรุนแรง : ต่ำ
วิธีป้องกันเว็บไซต์ WordPress ของคุณจากปลั๊กอินและธีมที่มีช่องโหว่
ดังที่คุณเห็นจากรายงานนี้ มีการเปิดเผยปลั๊กอิน WordPress และช่องโหว่ของธีมใหม่จำนวนมากในแต่ละสัปดาห์ เราทราบดีว่าการติดตามการเปิดเผยช่องโหว่ที่รายงานทุกครั้งอาจเป็นเรื่องยาก ดังนั้นปลั๊กอิน iThemes Security Pro ทำให้ง่ายต่อการตรวจสอบให้แน่ใจว่าไซต์ของคุณไม่ได้ใช้ธีม ปลั๊กอิน หรือเวอร์ชันหลักของ WordPress ที่มีช่องโหว่ที่ทราบ
1. สแกนหาช่องโหว่ของเว็บไซต์ที่รู้จัก
ปลั๊กอิน iThemes Security Pro สแกนหาเหตุผลที่ #1 ไซต์ WordPress ถูกแฮ็ก: ปลั๊กอินและธีมที่ล้าสมัยพร้อมช่องโหว่ที่ทราบ
2. อัปเดตอัตโนมัติเป็นเวอร์ชันที่ปลอดภัย
คุณลักษณะการจัดการเวอร์ชันใน iThemes Security Pro ทำงานร่วมกับ Site Scan เพื่อปกป้องไซต์ของคุณ ธีม ปลั๊กอิน และเวอร์ชันหลักของ WordPress ที่มีช่องโหว่จะได้รับการอัปเดตโดยอัตโนมัติสำหรับคุณ
3. ตรวจสอบการเปลี่ยนแปลงไฟล์
กุญแจสำคัญในการระบุการละเมิดความปลอดภัยอย่างรวดเร็วคือการตรวจสอบการเปลี่ยนแปลงไฟล์บนเว็บไซต์ของคุณ ฟีเจอร์การตรวจจับการเปลี่ยนแปลงไฟล์ใน iThemes Security Pro จะสแกนไฟล์ในเว็บไซต์ของคุณและแจ้งเตือนคุณเมื่อมีการเปลี่ยนแปลงบนเว็บไซต์ของคุณ
รับ iThemes Security Pro พร้อมการตรวจสอบเว็บไซต์ทุกวันตลอด 24 ชั่วโมง
iThemes Security Pro ปลั๊กอินความปลอดภัย WordPress ของเรามีมากกว่า 50 วิธีในการรักษาความปลอดภัยและปกป้องเว็บไซต์ของคุณจากช่องโหว่ด้านความปลอดภัยทั่วไปของ WordPress ด้วย WordPress การรับรองความถูกต้องด้วยสองปัจจัย การป้องกันแบบเดรัจฉาน การบังคับใช้รหัสผ่านที่รัดกุม และอื่นๆ คุณสามารถเพิ่มระดับการรักษาความปลอดภัยเพิ่มเติมให้กับเว็บไซต์ของคุณได้