WordPress 漏洞报告:2021 年 12 月,第 2 部分
已发表: 2021-12-15易受攻击的插件和主题是 WordPress 网站被黑客入侵的第一大原因。 由 WPScan 提供支持的每周 WordPress 漏洞报告涵盖最近的 WordPress 插件、主题和核心漏洞,以及如果您在网站上运行易受攻击的插件或主题之一该怎么办。
每个漏洞的严重性等级为“低”、 “中” 、“高”或“严重” 。 负责任地披露和报告漏洞是保持 WordPress 社区安全的一个组成部分。
请与您的朋友分享这篇文章,以帮助宣传并让每个人都更安全地使用 WordPress。
WordPress 新闻:Gravatar 数据泄露
本周,针对独特头像的全球服务 Gravatar 遭到破坏——尽管 Gravatar 保证没有黑客入侵。
数据被抓取,这不是违规行为,因为密码和其他私人信息没有被窃取。 相反,公开信息的收集方式通常不容易获得。 理论上,有人必须知道 Gravatar 用户的用户名才能访问该用户的电子邮件地址。 抓取允许攻击者同时下载用户名和电子邮件。
WordPress 核心漏洞
最新版本的 WordPress 核心是 5.8.2。 作为最佳实践,请始终确保运行最新版本的 WordPress 核心!
WordPress 插件漏洞
在本节中,已经披露了最新的 WordPress 插件漏洞。 每个插件列表都包括漏洞类型、补丁版本号和严重等级。
1. 活动经理
插件:事件管理器
漏洞:Admin+ SQL 注入
补丁版本:5.9.8
严重性评分:中
插件:事件管理器
漏洞:跨站脚本(XSS)
补丁版本:5.9.8
严重性评分:低
2. 海星的丰富评论
插件:海星的丰富评论
漏洞:Admin+ SQL 注入
补丁版本:1.9.6
严重性评分:中
3.打字机
插件:打字机
漏洞:管理员+存储的跨站点脚本
补丁版本:1.4.3
严重性评分:低
4. 联系表格和潜在客户表格 Elementor Builder
插件:联系表格和潜在客户表格 Elementor Builder
漏洞:未经身份验证的存储跨站脚本
补丁版本:1.6.4
严重性评分:高
5.下载管理器
插件:下载管理器
漏洞:订阅者+存储的跨站脚本
补丁版本:3.2.22
严重性评分:高
6. WP RSS 聚合器
插件:订阅者+存储的跨站脚本
漏洞:Admin+ SQL 注入
补丁版本:4.19.3
严重性评分:高
7. Buttonizer - 智能浮动操作按钮
插件: Buttonizer - 智能浮动操作按钮
漏洞:管理员+存储的跨站点脚本
补丁版本:2.5.5
严重性评分:低
8. WP 邮件记录
插件: WP 邮件日志
漏洞:过时的 Redux 框架
补丁版本:1.10.0
严重性评分:中
9. 斯蒂蒂克
插件: Stetic
漏洞:CSRF 到存储的跨站点脚本
已修补版本:无已知修复 - 插件已关闭
严重性评分:高
10. 带有验证码的联系表
插件:带有验证码的联系表
漏洞:CSRF 到存储的跨站点脚本
已修补版本:无已知修复 - 插件已关闭
严重性评分:高
11. 很棒的支持
插件:很棒的支持
漏洞:反射跨站脚本
补丁版本:6.0.7
严重性评分:高
12. Asgaros 论坛
插件: Asgaros 论坛
漏洞:管理员+存储的跨站点脚本
补丁版本:1.15.14
严重性评分:低
13. LiteSpeed 缓存
插件: LiteSpeed 缓存
漏洞:IP Check Bypass to Unauthenticated Stored XSS
补丁版本:4.4.4
严重性评分:高
插件: LiteSpeed 缓存
漏洞:管理员+反射跨站脚本
补丁版本:4.4.4
严重性评分:高
14. 带缩放的视频会议
插件:带缩放的视频会议
漏洞:反射跨站脚本
补丁版本:3.8.16
严重性评分:高
15. Woocommerce 的助推器
插件: Woocommerce 的助推器
漏洞:PDF 发票模块中的反射跨站点脚本
补丁版本:5.4.9
严重性评分:高
插件: Woocommerce 的助推器
漏洞:通用模块中的反射跨站点脚本
补丁版本:5.4.9
严重性评分:高
插件: Woocommerce 的助推器
漏洞:产品 XML 源模块中的反射跨站点脚本
补丁版本:5.4.9
严重性评分:高
16.速度助推器包
插件:速度助推器包
漏洞:Admin+ SQL 注入
补丁版本:4.3.3.1
严重性评分:中
17. OMGF
插件: OMGF
漏洞:管理员+通过路径遍历删除任意文件夹
补丁版本:4.5.12
严重性评分:中
18. CAOS
插件: CAOS
漏洞:管理员+通过路径遍历删除任意文件夹
补丁版本:4.1.9
严重性评分:中
19. WP旅游引擎
插件: WP 旅行引擎
漏洞:编辑器+存储的跨站脚本
补丁版本:5.3.1
严重性评分:低
20.下载监视器
插件:下载监视器
漏洞:Admin+ SQL 注入
补丁版本:4.4.5
严重性评分:中
21. 按揭计算器/贷款计算器
插件:抵押计算器/贷款计算器
漏洞:贡献者+存储的跨站点脚本
补丁版本:1.5.17
严重性评分:中
22. WooCommerce 的变体样本
插件: WooCommerce 的变体样本
漏洞:订阅者+存储的跨站脚本
补丁版本:2.1.2
严重性评分:高
23. ClickBank 联盟广告
插件: ClickBank 联盟广告
漏洞:CSRF 到存储的跨站点脚本
已修补版本:无已知修复 - 插件已关闭
严重性评分:高
插件: ClickBank 联盟广告
漏洞:管理员+存储的跨站点脚本
已修补版本:无已知修复 - 插件已关闭
严重性评分:低
24. 高级自定义字段
插件:高级自定义字段
漏洞:订阅者+任意 ACF 数据/字段组视图和字段移动
补丁版本:5.11
严重性评分:中
25. 唱法
插件: Canto
漏洞:未经身份验证的盲 SSRF
已修补版本:无已知修复
严重性评分:中
26.多合一画廊
插件:多合一画廊
漏洞:管理员+本地文件包含
补丁版本:2.5.0
严重性评分:低
如何保护您的 WordPress 网站免受易受攻击的插件和主题的影响
从这份报告中可以看出,每周都会披露大量新的 WordPress 插件和主题漏洞。 我们知道很难掌握每个报告的漏洞披露,因此 iThemes Security Pro 插件可以轻松确保您的网站没有运行具有已知漏洞的主题、插件或 WordPress 核心版本。
1. 安装 iThemes Security Pro 插件
iThemes Security Pro 插件可强化您的 WordPress 网站,使其免受网站被黑客入侵的最常见方式。 通过 30 多种方法在一个易于使用的插件中保护您的网站。
2.启用站点扫描以检查已知漏洞
iThemes Security Pro 中的版本管理功能与站点扫描集成以保护您的站点。 易受攻击的主题、插件和 WordPress 核心版本将自动为您更新。
3.激活文件更改检测
快速发现安全漏洞的关键是监控您网站上的文件更改。 iThemes Security Pro 中的文件更改检测功能将扫描您网站的文件,并在您的网站发生更改时提醒您。
获取具有 24/7 网站安全监控的 iThemes Security Pro
iThemes Security Pro 是我们的 WordPress 安全插件,提供 50 多种方法来保护您的网站免受常见 WordPress 安全漏洞的侵害。 借助 WordPress、双重身份验证、暴力破解保护、强密码强制执行等功能,您可以为您的网站添加额外的安全层。
