WordPress 漏洞报告:2022 年 1 月,第 1 部分
已发表: 2022-01-06易受攻击的插件和主题是 WordPress 网站被黑客入侵的第一大原因。 由 WPScan 提供支持的每周 WordPress 漏洞报告涵盖最近的 WordPress 插件、主题和核心漏洞,以及如果您在网站上运行易受攻击的插件或主题之一该怎么办。
每个漏洞的严重性等级为“低”、 “中” 、“高”或“严重” 。 负责任地披露和报告漏洞是保持 WordPress 社区安全的一个组成部分。 本报告中的新内容:漏洞现在按活动安装数量而不是披露日期排列。
请与您的朋友分享这篇文章,以帮助宣传并让每个人都更安全地使用 WordPress !
2021 年 WordPress 漏洞报告回顾:披露了 1,263 个漏洞; 98% 插件
- 2021年共披露插件和主题漏洞1263个。 WordPress 插件漏洞占报告的所有漏洞的 98%。
- 2021 年 9 月报告的漏洞最多,仅当月就披露了 323 个漏洞。
- 2021 年披露的最常见的插件漏洞类型是跨站点脚本 (XSS) 和 SQL 注入。 大多数插件作者发布了补丁,而一些插件仍然关闭。
- 由于漏洞披露的增加,我们将漏洞报告的频率改为每周一次,而不是每月两次。
- 感谢您的反馈,我们还开始按顺序或主动安装列出插件披露。 我们还开始按免费和专业对插件进行分组,单独的部分用于封闭插件和未知修复插件。
WordPress 核心漏洞
最新版本的 WordPress 核心是 5.8.2。 作为最佳实践,请始终确保运行最新版本的 WordPress 核心!
WordPress 插件漏洞
在本节中,已经披露了最新的 WordPress 插件漏洞。 每个插件列表都包括漏洞类型、活动安装、已修补的版本号以及严重性等级。
1.UpdraftPlus
插件: UpdraftPlus
漏洞:反射跨站脚本
活跃安装: 3+ 百万
补丁版本:1.16.569
严重性评分:高
插件: UpdraftPlus
漏洞:管理员+存储的跨站点脚本
活跃安装: 3+ 百万
补丁版本:1.6.59
严重性评分:低
插件: UpdraftPlus
漏洞:管理员+本地文件包含
活跃安装: 3+ 百万
补丁版本:1.16.59
严重性评分:中
2. WebP 媒体转换器
插件: WebP 媒体转换器
漏洞:未经身份验证的打开重定向
活跃安装:100,000+
补丁版本:4.0.3
严重性评分:中
3. WOOF – WooCommerce 的产品过滤器
插件: WOOF – WooCommerce 的产品过滤器
漏洞:反射跨站脚本
活跃安装:100,000+
补丁版本:1.2.6.3
严重性评分:高
4. 学习出版社
插件: LearnPress
漏洞:管理员+存储的跨站点脚本
活跃安装:100,000+
补丁版本:4.1.3.2
严重性评分:中
5. WP Post 页面克隆
插件: WP Post 页面克隆
漏洞:未经授权的帖子访问
活跃安装:80,000+
补丁版本:1.2
严重性评分:中
6. WP 额外文件类型
插件: WP 额外文件类型
漏洞:CSRF 到存储的跨站点脚本
活跃安装:50,000+
补丁版本:0.5.1
严重性评分:高
7. 导师 LMS
插件: Tutor LMS
漏洞:订阅者+存储的跨站脚本
活跃安装:40,000+
补丁版本:1.9.12
严重性评分:高
插件: Tutor LMS
漏洞:反射跨站脚本
活跃安装:40,000+
补丁版本:1.9.12
严重性评分:高
8.自定义仪表板和登录页面
插件:自定义仪表板和登录页面
漏洞:管理员+存储的跨站点脚本
活跃安装:40,000+
补丁版本:7.0
严重性评分:中
9. 终极常见问题解答
插件:终极常见问题解答
漏洞:订阅者+任意创建常见问题
活跃安装:30,000+
补丁版本:2.1.2
严重性评分:中
10. WP用户前端
插件: WP用户前端
漏洞:反射跨站脚本的 SQL 注入
活跃安装:30,000+
补丁版本:3.5.26
严重性评分:高
11. 我的信用
插件: myCred
漏洞:反射跨站脚本
活跃安装:20,000+
补丁版本:2.4
严重性评分:高
12.图像悬停效果终极
插件:图像悬停效果 Ultimate
漏洞:反射跨站脚本
活跃安装:20,000+
补丁版本:9.7.1
严重性评分:高
13. Qubely
插件: Qubely
漏洞:订阅者+任意创建常见问题
活跃安装:10,000+
补丁版本:1.7.8
严重性评分:中
14.注册魔术
插件:注册魔术
漏洞:反射跨站脚本
活跃安装:10,000+
补丁版本:5.0.1.9
严重性评分:高
15. WooCommerce 的订单跟踪
插件: WooCommerce 的订单跟踪
漏洞:反射跨站脚本
活跃安装:10,000+
补丁版本:1.1.10
严重性评分:高
16.链接库
插件:链接库
漏洞:反射跨站脚本
活跃安装:10,000+
补丁版本:7.2.8
严重性评分:中
插件:链接库
漏洞:通过 CSRF 重置库设置
活跃安装:10,000+
补丁版本:7.2.8
严重性评分:中
插件:链接库
漏洞:未经身份验证的任意链接删除
活跃安装:10,000+
补丁版本:7.2.8
严重性评分:中
17. 自动对焦伴侣
插件: AF 伴侣
漏洞:通过 CSRF 进行任意插件安装和激活
活跃安装: 9,000+
补丁版本:1.2.0
严重性评分:高
18. KNR 作者列表小部件
插件: KNR 作者列表小部件
漏洞:未经身份验证的 SQL 注入
主动安装:200+
补丁版本:3.0.0
严重性评分:严重
19. WP Cookie 用户信息
插件: WP Cookie 用户信息
漏洞:Admin+ SQL 注入
主动安装:200+
补丁版本:1.0.9
严重性评分:中
WordPress 插件漏洞:插件已关闭
在本节中,已在封闭插件中披露了最新的 WordPress 插件漏洞。 每个插件列表都包括漏洞类型、严重等级和关闭日期。
20. 实验室工具
插件:实验室工具
漏洞:订阅者+任意发布删除
已修补版本:无已知修复 - 插件已关闭
严重性评分:中
21. 域检查
插件:域检查
漏洞:反射跨站脚本
已修补版本:无已知修复 - 插件已关闭
严重性评分:高
22.错误日志查看器
插件:错误日志查看器
漏洞:通过 CSRF 任意删除文本文件
已修补版本: 无已知修复 - 插件已关闭
严重性评分:低
23. WP访问国家重装
插件: WP访问国家重新加载
漏洞:反射跨站脚本
补丁版本:3.1.1-插件关闭
严重性评分:高
24. 学习课程
插件:学习课程
漏洞:管理员+存储的跨站点脚本
补丁版本:5.0 –插件关闭
严重性评分:低
25.完美调查
插件:完美调查
漏洞:未经授权的 AJAX 调用存储的 XSS/调查设置更新
补丁版本:1.5.2 –插件关闭
严重性评分:高
插件:完美调查
漏洞:未经授权的 AJAX 调用存储的 XSS/调查设置更新
补丁版本:1.5.2 –插件关闭
严重性评分:高
插件:完美调查
漏洞:未经身份验证的 SQL 注入
补丁版本:1.5.2 –插件关闭
严重性评分:高
插件:完美调查
漏洞:反射跨站脚本
补丁版本:1.5.2 –插件关闭
严重性评分:高
插件:完美调查
漏洞:未经身份验证的存储跨站脚本
已修补版本: 无已知修复 - 插件已关闭
严重性评分:高
WordPress 插件漏洞:未知修复
在本节中,已在封闭插件中披露了最新的 WordPress 插件漏洞。 每个插件列表都包括漏洞类型、严重等级和关闭日期。
26. 媒体
插件: Mediamatic
漏洞:订阅者+ SQL 注入
主动安装:3,000+
已修补版本:无已知修复
严重性评分:高
如何保护您的 WordPress 网站免受易受攻击的插件和主题的影响
从这份报告中可以看出,每周都会披露大量新的 WordPress 插件和主题漏洞。 我们知道很难掌握每个报告的漏洞披露,因此 iThemes Security Pro 插件可以轻松确保您的网站没有运行具有已知漏洞的主题、插件或 WordPress 核心版本。
1. 安装 iThemes Security Pro 插件
iThemes Security Pro 插件可强化您的 WordPress 网站,使其免受网站被黑客入侵的最常见方式。 通过 30 多种方法在一个易于使用的插件中保护您的网站。
2.启用站点扫描以检查已知漏洞
iThemes Security Pro 中的版本管理功能与站点扫描集成以保护您的站点。 易受攻击的主题、插件和 WordPress 核心版本将自动为您更新。
3.激活文件更改检测
快速发现安全漏洞的关键是监控您网站上的文件更改。 iThemes Security Pro 中的文件更改检测功能将扫描您网站的文件,并在您的网站发生更改时提醒您。
获取具有 24/7 网站安全监控的 iThemes Security Pro
iThemes Security Pro 是我们的 WordPress 安全插件,提供 50 多种方法来保护您的网站免受常见 WordPress 安全漏洞的侵害。 借助 WordPress、双重身份验证、暴力破解保护、强密码强制执行等功能,您可以为您的网站添加额外的安全层。
