WordPress 漏洞報告:2022 年 1 月,第 1 部分
已發表: 2022-01-06易受攻擊的插件和主題是 WordPress 網站被黑客入侵的第一大原因。 由 WPScan 提供支持的每週 WordPress 漏洞報告涵蓋最近的 WordPress 插件、主題和核心漏洞,以及如果您在網站上運行易受攻擊的插件或主題之一該怎麼辦。
每個漏洞的嚴重性等級為“低”、 “中” 、“高”或“嚴重” 。 負責任地披露和報告漏洞是保持 WordPress 社區安全的一個組成部分。 本報告中的新內容:漏洞現在按活動安裝數量而不是披露日期排列。
請與您的朋友分享這篇文章,以幫助宣傳並讓每個人都更安全地使用 WordPress !
2021 年 WordPress 漏洞報告回顧:披露了 1,263 個漏洞; 98% 插件
- 2021年共披露插件和主題漏洞1263個。 WordPress 插件漏洞佔報告的所有漏洞的 98%。
- 2021 年 9 月報告的漏洞最多,僅當月就披露了 323 個漏洞。
- 2021 年披露的最常見的插件漏洞類型是跨站點腳本 (XSS) 和 SQL 注入。 大多數插件作者發布了補丁,而一些插件仍然關閉。
- 由於漏洞披露的增加,我們將漏洞報告的頻率改為每週一次,而不是每月兩次。
- 感謝您的反饋,我們還開始按順序或主動安裝列出插件披露。 我們還開始按免費和專業對插件進行分組,單獨的部分用於封閉插件和未知修復插件。
WordPress 核心漏洞
最新版本的 WordPress 核心是 5.8.2。 作為最佳實踐,請始終確保運行最新版本的 WordPress 核心!
WordPress 插件漏洞
在本節中,已經披露了最新的 WordPress 插件漏洞。 每個插件列表都包括漏洞類型、活動安裝、已修補的版本號以及嚴重性等級。
1.UpdraftPlus

插件: UpdraftPlus
漏洞:反射跨站腳本
活躍安裝: 3+ 百萬
補丁版本:1.16.569
嚴重性評分:高
插件: UpdraftPlus
漏洞:管理員+存儲的跨站點腳本
活躍安裝: 3+ 百萬
補丁版本:1.6.59
嚴重性評分:低
插件: UpdraftPlus
漏洞:管理員+本地文件包含
活躍安裝: 3+ 百萬
補丁版本:1.16.59
嚴重性評分:中
2. WebP 媒體轉換器

插件: WebP 媒體轉換器
漏洞:未經身份驗證的打開重定向
活躍安裝:100,000+
補丁版本:4.0.3
嚴重性評分:中
3. WOOF – WooCommerce 的產品過濾器

插件: WOOF – WooCommerce 的產品過濾器
漏洞:反射跨站腳本
活躍安裝:100,000+
補丁版本:1.2.6.3
嚴重性評分:高
4. 學習出版社

插件: LearnPress
漏洞:管理員+存儲的跨站點腳本
活躍安裝:100,000+
補丁版本:4.1.3.2
嚴重性評分:中
5. WP Post 頁面克隆

插件: WP Post 頁面克隆
漏洞:未經授權的帖子訪問
活躍安裝:80,000+
補丁版本:1.2
嚴重性評分:中
6. WP 額外文件類型
插件: WP 額外文件類型
漏洞:CSRF 到存儲的跨站點腳本
活躍安裝:50,000+
補丁版本:0.5.1
嚴重性評分:高
7. 導師 LMS

插件: Tutor LMS
漏洞:訂閱者+存儲的跨站腳本
活躍安裝:40,000+
補丁版本:1.9.12
嚴重性評分:高
插件: Tutor LMS
漏洞:反射跨站腳本
活躍安裝:40,000+
補丁版本:1.9.12
嚴重性評分:高
8.自定義儀表板和登錄頁面

插件:自定義儀表板和登錄頁面
漏洞:管理員+存儲的跨站點腳本
活躍安裝:40,000+
補丁版本:7.0
嚴重性評分:中
9. 終極常見問題解答

插件:終極常見問題解答
漏洞:訂閱者+任意創建常見問題
活躍安裝:30,000+
補丁版本:2.1.2
嚴重性評分:中
10. WP用戶前端

插件: WP用戶前端
漏洞:反射跨站腳本的 SQL 注入
活躍安裝:30,000+
補丁版本:3.5.26
嚴重性評分:高
11. 我的信用

插件: myCred
漏洞:反射跨站腳本
活躍安裝:20,000+
補丁版本:2.4
嚴重性評分:高
12.圖像懸停效果終極

插件:圖像懸停效果 Ultimate
漏洞:反射跨站腳本
活躍安裝:20,000+
補丁版本:9.7.1
嚴重性評分:高
13. Qubely

插件: Qubely
漏洞:訂閱者+任意創建常見問題
活躍安裝:10,000+
補丁版本:1.7.8
嚴重性評分:中
14.註冊魔術

插件:註冊魔術
漏洞:反射跨站腳本
活躍安裝:10,000+
補丁版本:5.0.1.9
嚴重性評分:高
15. WooCommerce 的訂單跟踪

插件: WooCommerce 的訂單跟踪
漏洞:反射跨站腳本
活躍安裝:10,000+
補丁版本:1.1.10
嚴重性評分:高
16.鏈接庫

插件:鏈接庫
漏洞:反射跨站腳本
活躍安裝:10,000+
補丁版本:7.2.8
嚴重性評分:中
插件:鏈接庫
漏洞:通過 CSRF 重置庫設置
活躍安裝:10,000+
補丁版本:7.2.8
嚴重性評分:中
插件:鏈接庫
漏洞:未經身份驗證的任意鏈接刪除
活躍安裝:10,000+
補丁版本:7.2.8
嚴重性評分:中
17. 自動對焦伴侶

插件: AF 伴侶
漏洞:通過 CSRF 進行任意插件安裝和激活
活躍安裝: 9,000+
補丁版本:1.2.0
嚴重性評分:高
18. KNR 作者列表小部件

插件: KNR 作者列表小部件
漏洞:未經身份驗證的 SQL 注入
主動安裝:200+
補丁版本:3.0.0
嚴重性評分:嚴重
19. WP Cookie 用戶信息

插件: WP Cookie 用戶信息
漏洞:Admin+ SQL 注入
主動安裝:200+
補丁版本:1.0.9
嚴重性評分:中

WordPress 插件漏洞:插件已關閉
在本節中,已在封閉插件中披露了最新的 WordPress 插件漏洞。 每個插件列表都包括漏洞類型、嚴重等級和關閉日期。
20. 實驗室工具
插件:實驗室工具
漏洞:訂閱者+任意發布刪除
已修補版本:無已知修復 - 插件已關閉
嚴重性評分:中
21. 域檢查
插件:域檢查
漏洞:反射跨站腳本
已修補版本:無已知修復 - 插件已關閉
嚴重性評分:高
22.錯誤日誌查看器
插件:錯誤日誌查看器
漏洞:通過 CSRF 任意刪除文本文件
已修補版本: 無已知修復 - 插件已關閉
嚴重性評分:低
23. WP訪問國家重裝
插件: WP訪問國家重新加載
漏洞:反射跨站腳本
補丁版本:3.1.1-插件關閉
嚴重性評分:高
24. 學習課程
插件:學習課程
漏洞:管理員+存儲的跨站點腳本
補丁版本:5.0 –插件關閉
嚴重性評分:低
25.完美調查
插件:完美調查
漏洞:未經授權的 AJAX 調用存儲的 XSS/調查設置更新
補丁版本:1.5.2 –插件關閉
嚴重性評分:高
插件:完美調查
漏洞:未經授權的 AJAX 調用存儲的 XSS/調查設置更新
補丁版本:1.5.2 –插件關閉
嚴重性評分:高
插件:完美調查
漏洞:未經身份驗證的 SQL 注入
補丁版本:1.5.2 –插件關閉
嚴重性評分:高
插件:完美調查
漏洞:反射跨站腳本
補丁版本:1.5.2 –插件關閉
嚴重性評分:高
插件:完美調查
漏洞:未經身份驗證的存儲跨站腳本
已修補版本: 無已知修復 - 插件已關閉
嚴重性評分:高
WordPress 插件漏洞:未知修復
在本節中,已在封閉插件中披露了最新的 WordPress 插件漏洞。 每個插件列表都包括漏洞類型、嚴重等級和關閉日期。
26. 媒體

插件: Mediamatic
漏洞:訂閱者+ SQL 注入
主動安裝:3,000+
已修補版本:無已知修復
嚴重性評分:高
如何保護您的 WordPress 網站免受易受攻擊的插件和主題的影響
從這份報告中可以看出,每週都會披露大量新的 WordPress 插件和主題漏洞。 我們知道很難掌握每個報告的漏洞披露,因此 iThemes Security Pro 插件可以輕鬆確保您的網站沒有運行具有已知漏洞的主題、插件或 WordPress 核心版本。
1. 安裝 iThemes Security Pro 插件
iThemes Security Pro 插件可強化您的 WordPress 網站,使其免受網站被黑客入侵的最常見方式。 通過 30 多種方法在一個易於使用的插件中保護您的網站。
2.啟用站點掃描以檢查已知漏洞
iThemes Security Pro 中的版本管理功能與站點掃描集成以保護您的站點。 易受攻擊的主題、插件和 WordPress 核心版本將自動為您更新。
3.激活文件更改檢測
快速發現安全漏洞的關鍵是監控您網站上的文件更改。 iThemes Security Pro 中的文件更改檢測功能將掃描您網站的文件,並在您的網站發生更改時提醒您。
獲取具有 24/7 網站安全監控的 iThemes Security Pro
iThemes Security Pro 是我們的 WordPress 安全插件,提供 50 多種方法來保護您的網站免受常見 WordPress 安全漏洞的侵害。 借助 WordPress、雙重身份驗證、暴力破解保護、強密碼強制執行等,您可以為您的網站添加額外的安全層。
