WordPress 漏洞报告:2021 年 11 月,第 4 部分
已发表: 2021-11-25易受攻击的插件和主题是 WordPress 网站被黑客入侵的第一大原因。 由 WPScan 提供支持的每周 WordPress 漏洞报告涵盖最近的 WordPress 插件、主题和核心漏洞,以及如果您在网站上运行易受攻击的插件或主题之一该怎么办。
每个漏洞的严重性等级为“低”、 “中” 、“高”或“严重” 。 负责任地披露和报告漏洞是保持 WordPress 社区安全的一个组成部分。
请与您的朋友分享这篇文章,以帮助宣传并让每个人都更安全地使用 WordPress。
WordPress 托管:GoDaddy 被黑
在 2021 年 11 月 21 日发布的安全披露中,GoDaddy 表示,在黑客获得对其托管 WordPress 托管平台的访问权限后,多达 120 万活跃和非活跃客户被暴露。
我们写了一篇文章来解开最近的 GoDaddy 黑客攻击的一些细节,它如何影响客户,以及如果您是 GoDaddy 的 WordPress 托管客户,我们对如何做的建议。
WordPress 核心漏洞
最新版本的 WordPress 核心是 5.8.2。 作为最佳实践,请始终确保运行最新版本的 WordPress 核心!
WordPress 插件漏洞
在本节中,已经披露了最新的 WordPress 插件漏洞。 每个插件列表都包括漏洞类型、补丁版本号和严重等级。
1.像素猫精简版
插件:像素猫精简版
漏洞:管理员+存储的跨站点脚本
补丁版本:2.6.3
严重性评分:低
插件:像素猫精简版
漏洞:CSRF 到存储的跨站点脚本
补丁版本:2.6.2
严重性评分:高
2.多合一画廊
插件:多合一画廊
漏洞:管理员+本地文件包含
补丁版本:2.5.0
严重性评分:低
3. StopBadBots
插件: StopBadBots
漏洞:反射跨站脚本
补丁版本:6.67
严重性评分:严重
4. 临时无密码登录
插件:无密码临时登录
漏洞:订阅者+插件的设置更新
补丁版本:1.7.1
严重性评分:中
5. ProfilePress
插件: ProfilePress
漏洞:反射跨站脚本
补丁版本:3.2.3
严重性评分:中
插件: ProfilePress
漏洞:反射跨站脚本
补丁版本:3.2.3
严重性评分:高
6. 现代活动日历
插件:现代活动日历
漏洞:未经身份验证的盲 SQL 注入
补丁版本:6.1.5
严重性评分:高
插件:现代活动日历
漏洞:反射跨站脚本
补丁版本:6.1.5
严重性评分:高
7.自动特色图片
插件:自动特色图片
漏洞:反射跨站脚本
补丁版本:3.9.3
严重性评分:中
8.终极NoFollow
插件:终极NoFollow
漏洞:贡献者+存储的跨站点脚本
已修补版本:无已知修复 - 插件已关闭
严重性评分:中
9. NEX-表格
插件: NEX-Forms
漏洞:多个管理员+存储的跨站点脚本
已修补版本:无已知修复 - 插件已关闭
严重性评分:低
10. 搜索引擎优化助推器
插件:搜索引擎优化助推器
漏洞:Admin+ SQL 注入
已修补版本:无已知修复 - 插件已关闭
严重性评分:中
11. WP系统日志
插件: WP系统日志
漏洞:未经身份验证的存储跨站脚本
补丁版本:1.0.21
严重性评分:严重
12. 励志名言旋转器
插件:鼓舞人心的报价旋转器
漏洞:管理员+存储的跨站点脚本
已修补版本: 无已知修复 - 插件已关闭
严重性评分:低
13. 单个帖子导出器
插件:单个帖子导出器
漏洞:通过 CSRF 更新插件的设置
已修补版本: 无已知修复 - 插件已关闭
严重性评分:中
14. Flex 本地字体
插件: Flex 本地字体
漏洞:管理员+存储的跨站点脚本
已修补版本: 无已知修复 - 插件已关闭
严重性评分:低
15. WP Admin Logo Changer
插件: WP Admin Logo Changer
漏洞:通过 CSRF 更新插件的设置
已修补版本: 无已知修复 - 插件已关闭
严重性评分:中
16.联系表格高级数据库
插件:联系表格高级数据库
漏洞:未经授权的 AJAX 调用
已修补版本: 无已知修复
严重性评分:中
17.闪亮的按钮
插件:闪亮按钮
漏洞:未经身份验证的存储跨站脚本
已修补版本: 无已知修复
严重性评分:高
18. 过滤器组合库
插件:过滤器组合库
漏洞:通过 CSRF 任意删除图库
已修补版本: 无已知修复
严重性评分:中
19. WP 限制
插件: WP 限制
漏洞:通过 CSRF 更新插件的设置
已修补版本: 无已知修复
严重性评分:中
20.页面/发布内容简码
插件:页面/发布内容简码
漏洞:贡献者+任意帖子/页面访问
已修补版本: 无已知修复
严重性评分:中
21. 改进的包含页面
插件:改进的包含页面
漏洞:贡献者+任意帖子/页面访问
已修补版本: 无已知修复
严重性评分:中
22. 媒体
插件: Mediamatic
漏洞:订阅者+ SQL 注入
已修补版本: 无已知修复
严重性评分:高
23. 显示帖子元数据
插件:显示帖子元数据
漏洞:贡献者+存储的跨站点脚本
已修补版本: 无已知修复
严重性评分:中
24. ToTop 链接
插件: ToTop 链接
漏洞:未经身份验证的 PHP 对象注入
已修补版本: 无已知修复
严重性评分:中
25. 用户元简码
插件:用户元简码
漏洞:贡献者+未经授权的任意用户元数据访问
已修补版本: 无已知修复
严重性评分:高
26. 行情集合
插件:行情集合
漏洞:Admin+ SQL 注入
已修补版本: 无已知修复
严重性评分:中
27. WordPress 推送通知(精简版)
插件: WordPress 的推送通知(精简版)
漏洞:通过 CSRF 更新设置
补丁版本:6.0.1
严重性评分:中
28. 体育出版社
插件:体育新闻
漏洞:反射跨站脚本
补丁版本:2.7.9
严重性评分:高
29.登录/注册弹出窗口
插件:登录/注册弹出窗口
漏洞:反射跨站脚本
补丁版本:2.2
严重性评分:高
30. 预览 WooCommerce 的电子邮件
插件: WooCommerce 的预览电子邮件
漏洞:反射跨站脚本
补丁版本:2.0.0
严重性评分:中
31. WP用户前端
插件: WP用户前端
漏洞:WordPress 的会员、个人资料、注册和提交后插件
补丁版本:3.5.25
严重性评分:中
32. Directorist - 企业目录插件
插件: Directorist – 企业目录插件
漏洞:CSRF 到远程文件上传
补丁版本:7.0.6.2
严重性评分:严重
33. 简易登记表
插件:简单的注册表单
漏洞:CSRF 到存储的跨站点脚本
已修补版本: 无已知修复
严重性评分:高
34. WP重置专业版
插件: WP Reset Pro
漏洞:订阅者+数据库重置
补丁版本:5.99
严重性评分:严重
插件: WP Reset Pro
漏洞:通过 CSRF 重置数据库
补丁版本:5.99
严重性评分:严重
35. WordPress + 微软 Office 365
插件: WordPress + Microsoft Office 365
漏洞:未经身份验证的存储跨站脚本
补丁版本:15.4
严重性评分:严重
36. 重复的帖子
插件:重复帖子
漏洞:经过身份验证的 SQL 注入
补丁版本:1.2.0
严重性评分:中
37. 备份迁移
插件:备份迁移
漏洞:管理员+存储的跨站点脚本
补丁版本:1.1.6
严重性评分:中
如何保护您的 WordPress 网站免受易受攻击的插件和主题的影响
从这份报告中可以看出,每周都会披露大量新的 WordPress 插件和主题漏洞。 我们知道很难掌握每个报告的漏洞披露,因此 iThemes Security Pro 插件可以轻松确保您的网站没有运行具有已知漏洞的主题、插件或 WordPress 核心版本。
1. 安装 iThemes Security Pro 插件
iThemes Security Pro 插件可强化您的 WordPress 网站,使其免受网站被黑客入侵的最常见方式。 通过 30 多种方法在一个易于使用的插件中保护您的网站。
2.启用站点扫描以检查已知漏洞
iThemes Security Pro 中的版本管理功能与站点扫描集成以保护您的站点。 易受攻击的主题、插件和 WordPress 核心版本将自动为您更新。
3. 监控文件更改
快速发现安全漏洞的关键是监控您网站上的文件更改。 iThemes Security Pro 中的文件更改检测功能将扫描您网站的文件,并在您的网站发生更改时提醒您。
获取具有 24/7 网站安全监控的 iThemes Security Pro
iThemes Security Pro 是我们的 WordPress 安全插件,提供 50 多种方法来保护您的网站免受常见 WordPress 安全漏洞的侵害。 借助 WordPress、双重身份验证、暴力破解保护、强密码强制执行等功能,您可以为您的网站添加额外的安全层。