WordPress 漏洞報告:2021 年 12 月,第 4 部分
已發表: 2022-01-06易受攻擊的插件和主題是 WordPress 網站被黑客入侵的第一大原因。 由 WPScan 提供支持的每週 WordPress 漏洞報告涵蓋最近的 WordPress 插件、主題和核心漏洞,以及如果您在網站上運行易受攻擊的插件或主題之一該怎麼辦。
每個漏洞的嚴重性等級為“低”、 “中” 、“高”或“嚴重” 。 負責任地披露和報告漏洞是保持 WordPress 社區安全的一個組成部分。 本報告中的新內容:漏洞現在按活動安裝數量而不是披露日期排列。
請與您的朋友分享這篇文章,以幫助宣傳並讓每個人都更安全地使用 WordPress。
WordPress 核心漏洞
最新版本的 WordPress 核心是 5.8.2。 作為最佳實踐,請始終確保運行最新版本的 WordPress 核心!
WordPress 插件漏洞
在本節中,已經披露了最新的 WordPress 插件漏洞。 每個插件列表都包括漏洞類型、活動安裝、已修補的版本號以及嚴重性等級。
1.多合一搜索引擎優化
插件:多合一搜索引擎優化
漏洞:經過身份驗證的 SQL 注入
活躍安裝: 3+ 百萬
補丁版本:4.1.5.3
嚴重性評分:高
插件:多合一搜索引擎優化
漏洞:經過身份驗證的特權升級
活躍安裝: 3+ 百萬
補丁版本:4.1.5.3
嚴重性評分:嚴重
2. Smash Balloon 社交帖子提要
插件: Smash Balloon 社交帖子提要
漏洞:經過身份驗證的反射跨站腳本 (XSS)
活躍安裝:200,000+
補丁版本:4.1.1
嚴重性評分:中
3. 現代活動日曆 Lite
插件:現代活動日曆精簡版
漏洞:訂閱者+類別添加導致存儲的 XSS
活躍安裝:100,000+
補丁版本:6.2.0
嚴重性評分:中
4.WOOCS
插件: WOOCS
漏洞:反射跨站腳本
活躍安裝:60,000+
補丁版本:1.3.7.3
嚴重性評分:高
5.清晰的實時聊天
插件:清晰的實時聊天
漏洞:CSRF 到存儲的跨站點腳本
活躍安裝:60,000+
補丁版本:0.32
嚴重性評分:高
6.圖像懸停效果終極
插件:圖像懸停效果 Ultimate
漏洞:未經身份驗證的任意選項更新
活躍安裝:20,000+
補丁版本:9.7.0
嚴重性評分:嚴重
7. WP 預訂系統 - 預訂日曆
插件: WP 預訂系統 - 預訂日曆
漏洞:經過身份驗證的反射跨站腳本 (XSS)
活躍安裝:10,000+
補丁版本:2.0.15
嚴重性評分:中
8.登陸頁面構建器
插件:登陸頁面生成器
漏洞:經過身份驗證的反射跨站腳本 (XSS)
活躍安裝:10,000+
補丁版本:1.4.9.6
嚴重性評分:中
9. 深探分析
插件: Fathom Analytics
漏洞:管理員+存儲的跨站點腳本
主動安裝:2000+
補丁版本:3.0.5
嚴重性評分:低
10. 真正的排名者
插件:真正的排名
漏洞:通過路徑遍歷進行未經身份驗證的任意文件訪問
主動安裝:200+
補丁版本:2.2.4
嚴重性評分:低
WordPress 插件漏洞:插件已關閉
在本節中,已在封閉插件中披露了最新的 WordPress 插件漏洞。 每個插件列表都包括漏洞類型、嚴重等級和關閉日期。
11.評論引擎專業版
插件:評論引擎專業版
漏洞:編輯器+存儲的跨站腳本
已修補版本:無已知修復 - 插件已關閉
嚴重性評分:低
12. .htaccess 重定向
插件: .htaccess 重定向
漏洞:反射跨站腳本
已修補版本:無已知修復 - 插件已關閉
嚴重性評分:高
13. Woocommerce 的 Parsian 銀行網關
插件: Woocommerce 的 Parsian 銀行網關
漏洞:反射跨站腳本
已修補版本:無已知修復 - 插件已關閉
嚴重性評分:高
14.真正的所見即所得
插件:真正的所見即所得
漏洞:反射跨站腳本
已修補版本:無已知修復 - 插件已關閉
嚴重性評分:高
15.鏈接列表管理器
插件:鏈接列表管理器
漏洞:反射跨站腳本
已修補版本:無已知修復 - 插件已關閉
嚴重性評分:高
16.簡單的圖片庫
插件:簡單的圖片庫
漏洞:反射跨站腳本
已修補版本:無已知修復 - 插件已關閉
嚴重性評分:高
17. WooCommerce EnvioPack
插件: WooCommerce EnvioPack
漏洞:反射跨站腳本
已修補版本:無已知修復 - 插件已關閉
嚴重性評分:高
18. 魔術貼語音
插件:魔術貼語音
漏洞:反射跨站腳本
已修補版本:無已知修復 - 插件已關閉
嚴重性評分:高
19. H5P CSS 編輯器
插件: H5P CSS 編輯器
漏洞:反射跨站腳本
已修補版本:無已知修復 - 插件已關閉
嚴重性評分:高
20. duoFAQ
插件: duoFAQ
漏洞:反射跨站腳本
已修補版本:無已知修復 - 插件已關閉
嚴重性評分:高
21. 魔術貼語音
插件:魔術貼語音
漏洞:反射跨站腳本
已修補版本:無已知修復 - 插件已關閉
嚴重性評分:高
22. WooCommerce myghpay 支付網關
插件: WooCommerce myghpay 支付網關
漏洞:反射跨站腳本
已修補版本:無已知修復 - 插件已關閉
嚴重性評分:高
高級插件漏洞
在本節中,已經披露了最新的 WordPress 高級插件漏洞。 每個插件列表都包括漏洞類型、補丁版本號和嚴重等級。
23. Elementor Pro 的 Plus 插件
插件: Elementor 的 Plus 插件 – Pro
漏洞:敏感數據洩露
補丁版本:5.0.7
嚴重性評分:中
插件: Elementor 的 Plus 插件 – Pro
漏洞:未經身份驗證的 SQL 注入
補丁版本:5.0.7
嚴重性評分:中
24.讓盒子
插件:讓盒子
漏洞:反射跨站腳本
補丁版本:1.13.3
嚴重性評分:中
25.共享一個驅動器
插件:共享一個驅動器
漏洞:反射跨站腳本
補丁版本:1.15.3
嚴重性評分:中
26.開箱即用
插件:開箱即用
漏洞:反射跨站腳本
補丁版本:1.20.3
嚴重性評分:中
27.使用你的驅動器
插件:使用您的驅動器
漏洞:反射跨站腳本
補丁版本:1.18.3
嚴重性評分:中
如何保護您的 WordPress 網站免受易受攻擊的插件和主題的影響
從這份報告中可以看出,每週都會披露大量新的 WordPress 插件和主題漏洞。 我們知道很難掌握每個報告的漏洞披露,因此 iThemes Security Pro 插件可以輕鬆確保您的網站沒有運行具有已知漏洞的主題、插件或 WordPress 核心版本。
1. 安裝 iThemes Security Pro 插件
iThemes Security Pro 插件可強化您的 WordPress 網站,使其免受網站被黑客入侵的最常見方式。 通過 30 多種方法在一個易於使用的插件中保護您的網站。
2.啟用站點掃描以檢查已知漏洞
iThemes Security Pro 中的版本管理功能與站點掃描集成以保護您的站點。 易受攻擊的主題、插件和 WordPress 核心版本將自動為您更新。
3.激活文件更改檢測
快速發現安全漏洞的關鍵是監控您網站上的文件更改。 iThemes Security Pro 中的文件更改檢測功能將掃描您網站的文件,並在您的網站發生更改時提醒您。
獲取具有 24/7 網站安全監控的 iThemes Security Pro
iThemes Security Pro 是我們的 WordPress 安全插件,提供 50 多種方法來保護您的網站免受常見 WordPress 安全漏洞的侵害。 借助 WordPress、雙重身份驗證、暴力破解保護、強密碼強制執行等,您可以為您的網站添加額外的安全層。
