WordPress 漏洞报告:2021 年 11 月,第 1 部分
已发表: 2021-11-03易受攻击的插件和主题是 WordPress 网站被黑客入侵的第一大原因。 由 WPScan 提供支持的每周 WordPress 漏洞报告涵盖最近的 WordPress 插件、主题和核心漏洞,以及如果您在网站上运行易受攻击的插件或主题之一该怎么办。
每个漏洞的严重性等级为“低”、 “中” 、“高”或“严重” 。 负责任地披露和报告漏洞是保持 WordPress 社区安全的一个组成部分。
请与您的朋友分享这篇文章,以帮助宣传并让每个人都更安全地使用 WordPress。
WordPress 核心漏洞
WordPress 核心的最新版本是 5.8.1。 作为最佳实践,请始终确保运行最新版本的 WordPress 核心!
WordPress 插件漏洞
在本节中,已经披露了最新的 WordPress 插件漏洞。 每个插件列表都包括漏洞类型、补丁版本号和严重等级。
1. 评论加
插件:评论加
漏洞:订阅者+评论 DoS
补丁版本:1.2.14
严重性评分:低
2.幻灯片画廊
插件:幻灯片库
漏洞:管理员+存储的跨站点脚本
补丁版本:1.7.4
严重性评分:低
3. MainWP子
插件: MainWP 儿童
漏洞:Admin+ SQL 注入
补丁版本:4.1.8
严重性评分:中
4. WordPress的电子商务产品目录
插件: WordPress 的电子商务产品目录
漏洞:反射跨站脚本
补丁版本:3.0.39
严重性评分:高
5. WordPress的Falang多语言
插件: WordPress的Falang多语言
漏洞:反射跨站脚本
补丁版本:1.3.18
严重性评分:高
6. 视频课程管理器
插件:视频课程管理器
漏洞:管理员+存储的跨站点脚本
补丁版本:1.7.2
严重性评分:低
7. WP拼写检查
插件: WP拼写检查
漏洞:反射跨站脚本
补丁版本:9.3
严重性评分:高
8. 电子商务——两因素身份验证
插件:电子商务 - 两因素身份验证
漏洞:反射跨站脚本
补丁版本:1.0.5
严重性评分:高
9. MAZ 装载机
插件: MAZ 加载器
漏洞:通过 CSRF 任意加载器删除
已修补版本:无已知修复
严重性评分:高
10. 年龄门
插件:年龄之门
漏洞:未经身份验证的导入设置
补丁版本:2.17.1
严重性评分:严重
11. 重复的帖子
插件:重复帖子
漏洞:经过身份验证的 SQL 注入
补丁版本:1.2.0
严重性评分:中
12. 通知
插件:通知
漏洞:管理员+存储的跨站点脚本
补丁版本:8.0.0
严重性评分:低
13. 连接业务目录
插件:连接业务目录
漏洞:Admin+ CSV 注入
补丁版本:9.7
严重性评分:中
14. 媒体标签
插件:媒体标签
漏洞:管理员+存储的跨站点脚本
已修补版本:无已知修复 - 插件已关闭
严重性评分:低
15. 关于作者框
插件:关于作者框
漏洞:贡献者+存储的跨站点脚本
补丁版本:1.0.2
严重性评分:中
16. PayPal 的订阅和会员资格
插件: PayPal 的订阅和会员资格
漏洞:通过页面参数反射的跨站点脚本
补丁版本:1.1.3
严重性评分:高
17. 使用 PayPal 接受捐款
插件:使用 PayPal 接受捐款
漏洞:通过页面参数反射的跨站点脚本
补丁版本:1.3.1
严重性评分:高
18. 简单的 PayPal 活动
插件:简单的 PayPal 事件
漏洞:通过页面参数反射的跨站点脚本
补丁版本:1.1.2
严重性评分:高
19.弹出任何东西
插件:弹出任何东西
漏洞:贡献者+存储的跨站点脚本
补丁版本:2.0.4
严重性评分:高
20. JS 作业管理器
插件: JS 作业管理器
漏洞:未经身份验证的任意插件安装/激活
补丁版本:1.1.9
严重性评分:严重
21. 批量日期时间更改
插件:批量日期时间更改
漏洞:缺少授权
补丁版本:1.12
严重性评分:中
22.忍者形态
插件:忍者表格
漏洞:Admin+ SQL 注入
补丁版本:3.6.4
严重性评分:中
23. WP附件导出
插件: WP 附件导出
漏洞:未经身份验证的帖子下载
补丁版本:0.2.4
严重性评分:高
24.帖子上的内容文本滑块
插件:帖子上的内容文本滑块
漏洞:经过身份验证的存储跨站脚本 (XSS)
补丁版本:6.9
严重性评分:中
25. HashThemes 演示导入器
插件: HashThemes 演示导入器
漏洞:博客重置访问控制不当
补丁版本:1.1.2
严重性评分:严重
26. 活动日历的注册
插件:活动日历的注册
漏洞:反射跨站脚本
补丁版本:2.7.5
严重性评分:高
27. Mang Board WP
插件: Mang Board WP
漏洞:SQL注入
补丁版本:1.6.9
严重性评分:高
28.OptinMonster
插件: OptinMonster
漏洞:未受保护的 REST-API 端点
补丁版本:2.6.5
严重性评分:高
29. NextScripts:社交网络自动海报
插件: NextScripts:社交网络自动海报
漏洞:反射跨站脚本
补丁版本:4.3.21
严重性评分:高
30. Smash Balloon 社交帖子提要
插件: Smash Balloon 社交帖子提要
漏洞:订阅者+任意插件设置更新到存储的 XSS
补丁版本:4.0.1
严重性评分:高
31. WP-Pro-测验
插件: WP-Pro-Quiz
漏洞:通过 CSRF 任意删除测验
已修补版本:无已知修复 - 插件已关闭
严重性评分:中
32. Supsystic 的联系表
插件: Supsystic 的联系表
漏洞:管理员+存储的跨站点脚本
已修补版本:无已知修复
严重性评分:低
33. WP-统计
插件: WP-Stats
漏洞:CSRF 到存储的跨站点脚本 (XSS)
补丁版本:2.52
严重性评分:高
如何保护您的 WordPress 网站免受易受攻击的插件和主题的影响
从这份报告中可以看出,每周都会披露大量新的 WordPress 插件和主题漏洞。 我们知道很难掌握每个报告的漏洞披露,因此 iThemes Security Pro 插件可以轻松确保您的网站没有运行具有已知漏洞的主题、插件或 WordPress 核心版本。
1. 安装 iThemes Security Pro 插件
iThemes Security Pro 插件可强化您的 WordPress 网站,使其免受网站被黑客入侵的最常见方式。 通过 30 多种方法在一个易于使用的插件中保护您的网站。
2.启用站点扫描以检查已知漏洞
iThemes Security Pro 中的版本管理功能与站点扫描集成以保护您的站点。 易受攻击的主题、插件和 WordPress 核心版本将自动为您更新。
3. 监控文件更改
快速发现安全漏洞的关键是监控您网站上的文件更改。 iThemes Security Pro 中的文件更改检测功能将扫描您网站的文件,并在您的网站发生更改时提醒您。
获取具有 24/7 网站监控的 iThemes Security Pro
iThemes Security Pro 是我们的 WordPress 安全插件,提供 50 多种方法来保护您的网站免受常见 WordPress 安全漏洞的侵害。 借助 WordPress、双重身份验证、暴力破解保护、强密码强制执行等功能,您可以为您的网站添加额外的安全层。