WordPress 漏洞報告:2021 年 11 月,第 2 部分
已發表: 2021-11-10易受攻擊的插件和主題是 WordPress 網站被黑客入侵的第一大原因。 由 WPScan 提供支持的每週 WordPress 漏洞報告涵蓋最近的 WordPress 插件、主題和核心漏洞,以及如果您在網站上運行易受攻擊的插件或主題之一該怎麼辦。
每個漏洞的嚴重性等級為“低”、 “中” 、“高”或“嚴重” 。 負責任地披露和報告漏洞是保持 WordPress 社區安全的一個組成部分。
請與您的朋友分享這篇文章,以幫助宣傳並讓每個人都更安全地使用 WordPress。
WordPress 核心漏洞
WordPress 核心的最新版本是 5.8.1。 作為最佳實踐,請始終確保運行最新版本的 WordPress 核心!
WordPress 插件漏洞
在本節中,已經披露了最新的 WordPress 插件漏洞。 每個插件列表都包括漏洞類型、補丁版本號和嚴重等級。
1. 競賽畫廊
插件:競賽畫廊
漏洞:訂閱者+電子郵件地址洩露
補丁版本:13.1.0.7
嚴重性評分:中
插件:競賽畫廊
漏洞:缺少對未經身份驗證的 SQL 注入/電子郵件地址洩露的訪問控制
補丁版本:13.1.0.6
嚴重性評分:高
2.檢查和記錄電子郵件
插件:檢查和記錄電子郵件
漏洞:反射跨站腳本
補丁版本:1.0.4
嚴重性評分:高
3. BSK PDF 管理器
插件: BSK PDF 管理器
漏洞:Admin+ SQL 注入
補丁版本:3.1.2
嚴重性評分:中
4.時尚的成本計算器
插件:時尚成本計算器
漏洞:訂閱者+對存儲的 XSS 的未經授權的 AJAX 調用
補丁版本:7.0.4
嚴重性評分:高
5.商店頁面WP
插件:商店頁面 WP
漏洞:管理員+存儲的跨站點腳本
補丁版本:1.2.8
嚴重性評分:中
6. Ibtana – 電子商務產品插件
插件: Ibtana – 電子商務產品插件
漏洞:反射跨站腳本
補丁版本:0.2.4
嚴重性評分:高
7. WP RSS 聚合器
插件: WP RSS 聚合器
漏洞:管理員+存儲的跨站點腳本
補丁版本:4.19.2
嚴重性評分:低
8. 生成塊
插件: GenerateBlocks
漏洞:貢獻者+存儲的跨站點腳本
補丁版本:1.4.0
嚴重性評分:中
9. 下載前發送電子郵件
插件:下載前發送電子郵件
漏洞:Admin+ SQL 注入
補丁版本:6.8
嚴重性評分:中
10. 我的信用
插件: myCred
漏洞:訂閱者+ SQL 注入
補丁版本:2.3
嚴重性評分:高
11. 谷歌地圖簡單
插件:谷歌地圖簡單
漏洞:管理員+存儲的跨站點腳本
補丁版本:1.10.1
嚴重性評分:低
12. 我的日曆
插件:我的日曆
漏洞:訂閱者+反射跨站腳本
補丁版本:3.2.18
嚴重性評分:中
13. ARForms 表單生成器
插件: ARForms 表單生成器
漏洞:管理員+存儲的跨站點腳本
補丁版本:1.5
嚴重性評分:低
14. WP DSGVO 工具
插件: WP DSGVO 工具
漏洞:未經身份驗證的任意帖子刪除
補丁版本:3.1.24
嚴重性評分:高
15. WP全部導入
插件: WP全部導入
漏洞:管理員+存儲的跨站點腳本
補丁版本:3.6.3
嚴重性評分:低
16. WPS隱藏登錄
插件: WPS 隱藏登錄
漏洞:使用Referer-Header的保護繞過
補丁版本:1.9.1
嚴重性評分:中
17. WP谷歌字體
插件: WP 谷歌字體
漏洞:反射跨站腳本
補丁版本:3.1.5
嚴重性評分:中
18. WooCommerce 的活動經理
插件: WooCommerce 的事件管理器
漏洞:未經身份驗證的任意 Elementor 模板導入
補丁版本:3.5.3
嚴重性評分:中
插件: WooCommerce 的事件管理器
漏洞:未經身份驗證的任意選項重置
補丁版本:3.5.3
嚴重性評分:高
19.AutomatorWP
插件: AutomatorWP
漏洞:缺少授權和權限提升
補丁版本:1.7.6
嚴重性評分:中
20.徽標滑塊和展示櫃
插件:徽標滑塊和展示櫃
漏洞:編輯器插件的設置更新
補丁版本:1.3.37
嚴重性評分:低
21. 時尚的價目表
插件:時尚價目表
漏洞:未經身份驗證的任意圖像上傳
補丁版本:6.9.0
嚴重性評分:中
插件:時尚價目表
漏洞:訂閱者+任意圖片上傳
補丁版本:6.9.1
嚴重性評分:中
22. WP調試
插件: WP調試
漏洞:未經身份驗證的插件設置更新
補丁版本:2.11.0
嚴重性評分:中
23. 酒店列表
插件:酒店列表
漏洞:經過身份驗證的存儲跨站點腳本
補丁版本:1.3.3
嚴重性評分:中
24. 電子郵件追踪器
插件:電子郵件跟踪器
漏洞:反射跨站腳本
補丁版本:5.2.6
嚴重性評分:高
25. Supsystic 的聯繫表
插件: Supsystic 的聯繫表
漏洞:管理員+存儲的跨站點腳本
補丁版本:1.7.20
嚴重性評分:低
26. MotoPress 的餐廳菜單
插件: MotoPress 的餐廳菜單
漏洞:管理員+存儲的跨站點腳本
補丁版本:2.4.2
嚴重性評分:低
27. 搜索引擎優化重定向
插件: SEO重定向
漏洞:訂閱者+ SQL 注入
補丁版本:8.2
嚴重性評分:中
28. 導師 LMS
插件: Tutor LMS
漏洞:反射跨站腳本
補丁版本:1.9.11
嚴重性評分:中
29.忍者形態
插件:忍者表格
漏洞:Admin+ SQL 注入
補丁版本:3.6.4
嚴重性評分:中
30. 活動日曆的註冊
插件:活動日曆的註冊
漏洞:反射跨站腳本
補丁版本:2.7.5
嚴重性評分:高
如何保護您的 WordPress 網站免受易受攻擊的插件和主題的影響
從這份報告中可以看出,每週都會披露大量新的 WordPress 插件和主題漏洞。 我們知道很難掌握每個報告的漏洞披露,因此 iThemes Security Pro 插件可以輕鬆確保您的網站沒有運行具有已知漏洞的主題、插件或 WordPress 核心版本。
1. 安裝 iThemes Security Pro 插件
iThemes Security Pro 插件可強化您的 WordPress 網站,使其免受網站被黑客入侵的最常見方式。 通過 30 多種方法在一個易於使用的插件中保護您的網站。
2.啟用站點掃描以檢查已知漏洞
iThemes Security Pro 中的版本管理功能與站點掃描集成以保護您的站點。 易受攻擊的主題、插件和 WordPress 核心版本將自動為您更新。
3. 監控文件更改
快速發現安全漏洞的關鍵是監控您網站上的文件更改。 iThemes Security Pro 中的文件更改檢測功能將掃描您網站的文件,並在您的網站發生更改時提醒您。
獲取具有 24/7 網站監控的 iThemes Security Pro
iThemes Security Pro 是我們的 WordPress 安全插件,提供 50 多種方法來保護您的網站免受常見 WordPress 安全漏洞的侵害。 借助 WordPress、雙重身份驗證、暴力破解保護、強密碼強制執行等,您可以為您的網站添加額外的安全層。