WordPress 漏洞報告:2021 年 11 月,第 1 部分
已發表: 2021-11-03易受攻擊的插件和主題是 WordPress 網站被黑客入侵的第一大原因。 由 WPScan 提供支持的每週 WordPress 漏洞報告涵蓋最近的 WordPress 插件、主題和核心漏洞,以及如果您在網站上運行易受攻擊的插件或主題之一該怎麼辦。
每個漏洞的嚴重性等級為“低”、 “中” 、“高”或“嚴重” 。 負責任地披露和報告漏洞是保持 WordPress 社區安全的一個組成部分。
請與您的朋友分享這篇文章,以幫助宣傳並讓每個人都更安全地使用 WordPress。
WordPress 核心漏洞
WordPress 核心的最新版本是 5.8.1。 作為最佳實踐,請始終確保運行最新版本的 WordPress 核心!
WordPress 插件漏洞
在本節中,已經披露了最新的 WordPress 插件漏洞。 每個插件列表都包括漏洞類型、補丁版本號和嚴重等級。
1. 評論加
插件:評論加
漏洞:訂閱者+評論 DoS
補丁版本:1.2.14
嚴重性評分:低
2.幻燈片畫廊
插件:幻燈片庫
漏洞:管理員+存儲的跨站點腳本
補丁版本:1.7.4
嚴重性評分:低
3. MainWP子
插件: MainWP 兒童
漏洞:Admin+ SQL 注入
補丁版本:4.1.8
嚴重性評分:中
4. WordPress的電子商務產品目錄
插件: WordPress 的電子商務產品目錄
漏洞:反射跨站腳本
補丁版本:3.0.39
嚴重性評分:高
5. WordPress的Falang多語言
插件: WordPress的Falang多語言
漏洞:反射跨站腳本
補丁版本:1.3.18
嚴重性評分:高
6. 視頻課程管理器
插件:視頻課程管理器
漏洞:管理員+存儲的跨站點腳本
補丁版本:1.7.2
嚴重性評分:低
7. WP拼寫檢查
插件: WP拼寫檢查
漏洞:反射跨站腳本
補丁版本:9.3
嚴重性評分:高
8. 電子商務——兩因素身份驗證
插件:電子商務 - 兩因素身份驗證
漏洞:反射跨站腳本
補丁版本:1.0.5
嚴重性評分:高
9. MAZ 裝載機
插件: MAZ 加載器
漏洞:通過 CSRF 任意加載器刪除
已修補版本:無已知修復
嚴重性評分:高
10. 年齡門
插件:年齡之門
漏洞:未經身份驗證的導入設置
補丁版本:2.17.1
嚴重性評分:嚴重
11. 重複的帖子
插件:重複帖子
漏洞:經過身份驗證的 SQL 注入
補丁版本:1.2.0
嚴重性評分:中
12. 通知
插件:通知
漏洞:管理員+存儲的跨站點腳本
補丁版本:8.0.0
嚴重性評分:低
13. 連接業務目錄
插件:連接業務目錄
漏洞:Admin+ CSV 注入
補丁版本:9.7
嚴重性評分:中
14. 媒體標籤
插件:媒體標籤
漏洞:管理員+存儲的跨站點腳本
已修補版本:無已知修復 - 插件已關閉
嚴重性評分:低
15. 關於作者框
插件:關於作者框
漏洞:貢獻者+存儲的跨站點腳本
補丁版本:1.0.2
嚴重性評分:中
16. PayPal 的訂閱和會員資格
插件: PayPal 的訂閱和會員資格
漏洞:通過頁面參數反射的跨站點腳本
補丁版本:1.1.3
嚴重性評分:高
17. 使用 PayPal 接受捐款
插件:使用 PayPal 接受捐款
漏洞:通過頁面參數反射的跨站點腳本
補丁版本:1.3.1
嚴重性評分:高
18. 簡單的 PayPal 活動
插件:簡單的 PayPal 事件
漏洞:通過頁面參數反射的跨站點腳本
補丁版本:1.1.2
嚴重性評分:高
19.彈出任何東西
插件:彈出任何東西
漏洞:貢獻者+存儲的跨站點腳本
補丁版本:2.0.4
嚴重性評分:高
20. JS 作業管理器
插件: JS 作業管理器
漏洞:未經身份驗證的任意插件安裝/激活
補丁版本:1.1.9
嚴重性評分:嚴重
21. 批量日期時間更改
插件:批量日期時間更改
漏洞:缺少授權
補丁版本:1.12
嚴重性評分:中
22.忍者形態
插件:忍者表格
漏洞:Admin+ SQL 注入
補丁版本:3.6.4
嚴重性評分:中
23. WP附件導出
插件: WP 附件導出
漏洞:未經身份驗證的帖子下載
補丁版本:0.2.4
嚴重性評分:高
24.帖子上的內容文本滑塊
插件:帖子上的內容文本滑塊
漏洞:經過身份驗證的存儲跨站腳本 (XSS)
補丁版本:6.9
嚴重性評分:中
25. HashThemes 演示導入器
插件: HashThemes 演示導入器
漏洞:博客重置訪問控制不當
補丁版本:1.1.2
嚴重性評分:嚴重
26. 活動日曆的註冊
插件:活動日曆的註冊
漏洞:反射跨站腳本
補丁版本:2.7.5
嚴重性評分:高
27. Mang Board WP
插件: Mang Board WP
漏洞:SQL注入
補丁版本:1.6.9
嚴重性評分:高
28.OptinMonster
插件: OptinMonster
漏洞:未受保護的 REST-API 端點
補丁版本:2.6.5
嚴重性評分:高
29. NextScripts:社交網絡自動海報
插件: NextScripts:社交網絡自動海報
漏洞:反射跨站腳本
補丁版本:4.3.21
嚴重性評分:高
30. Smash Balloon 社交帖子提要
插件: Smash Balloon 社交帖子提要
漏洞:訂閱者+任意插件設置更新到存儲的 XSS
補丁版本:4.0.1
嚴重性評分:高
31. WP-Pro-測驗
插件: WP-Pro-Quiz
漏洞:通過 CSRF 任意刪除測驗
已修補版本:無已知修復 - 插件已關閉
嚴重性評分:中
32. Supsystic 的聯繫表
插件: Supsystic 的聯繫表
漏洞:管理員+存儲的跨站點腳本
已修補版本:無已知修復
嚴重性評分:低
33. WP-統計
插件: WP-Stats
漏洞:CSRF 到存儲的跨站點腳本 (XSS)
補丁版本:2.52
嚴重性評分:高
如何保護您的 WordPress 網站免受易受攻擊的插件和主題的影響
從這份報告中可以看出,每週都會披露大量新的 WordPress 插件和主題漏洞。 我們知道很難掌握每個報告的漏洞披露,因此 iThemes Security Pro 插件可以輕鬆確保您的網站沒有運行具有已知漏洞的主題、插件或 WordPress 核心版本。
1. 安裝 iThemes Security Pro 插件
iThemes Security Pro 插件可強化您的 WordPress 網站,使其免受網站被黑客入侵的最常見方式。 通過 30 多種方法在一個易於使用的插件中保護您的網站。
2.啟用站點掃描以檢查已知漏洞
iThemes Security Pro 中的版本管理功能與站點掃描集成以保護您的站點。 易受攻擊的主題、插件和 WordPress 核心版本將自動為您更新。
3. 監控文件更改
快速發現安全漏洞的關鍵是監控您網站上的文件更改。 iThemes Security Pro 中的文件更改檢測功能將掃描您網站的文件,並在您的網站發生更改時提醒您。
獲取具有 24/7 網站監控的 iThemes Security Pro
iThemes Security Pro 是我們的 WordPress 安全插件,提供 50 多種方法來保護您的網站免受常見 WordPress 安全漏洞的侵害。 借助 WordPress、雙重身份驗證、暴力破解保護、強密碼強制執行等,您可以為您的網站添加額外的安全層。