WordPress 漏洞報告:2021 年 11 月,第 4 部分
已發表: 2021-11-25易受攻擊的插件和主題是 WordPress 網站被黑客入侵的第一大原因。 由 WPScan 提供支持的每週 WordPress 漏洞報告涵蓋最近的 WordPress 插件、主題和核心漏洞,以及如果您在網站上運行易受攻擊的插件或主題之一該怎麼辦。
每個漏洞的嚴重性等級為“低”、 “中” 、“高”或“嚴重” 。 負責任地披露和報告漏洞是保持 WordPress 社區安全的一個組成部分。
請與您的朋友分享這篇文章,以幫助宣傳並讓每個人都更安全地使用 WordPress。
WordPress 託管:GoDaddy 被黑
在 2021 年 11 月 21 日發布的安全披露中,GoDaddy 表示,在黑客獲得對其託管 WordPress 託管平台的訪問權限後,多達 120 萬活躍和非活躍客戶被暴露。
我們寫了一篇文章來解開最近的 GoDaddy 黑客攻擊的一些細節,它如何影響客戶,以及如果您是 GoDaddy 的 WordPress 託管客戶,我們對如何做的建議。
WordPress 核心漏洞
最新版本的 WordPress 核心是 5.8.2。 作為最佳實踐,請始終確保運行最新版本的 WordPress 核心!
WordPress 插件漏洞
在本節中,已經披露了最新的 WordPress 插件漏洞。 每個插件列表都包括漏洞類型、補丁版本號和嚴重等級。
1.像素貓精簡版
插件:像素貓精簡版
漏洞:管理員+存儲的跨站點腳本
補丁版本:2.6.3
嚴重性評分:低
插件:像素貓精簡版
漏洞:CSRF 到存儲的跨站點腳本
補丁版本:2.6.2
嚴重性評分:高
2.多合一畫廊
插件:多合一畫廊
漏洞:管理員+本地文件包含
補丁版本:2.5.0
嚴重性評分:低
3. StopBadBots
插件: StopBadBots
漏洞:反射跨站腳本
補丁版本:6.67
嚴重性評分:嚴重
4. 臨時無密碼登錄
插件:無密碼臨時登錄
漏洞:訂閱者+插件的設置更新
補丁版本:1.7.1
嚴重性評分:中
5. ProfilePress
插件: ProfilePress
漏洞:反射跨站腳本
補丁版本:3.2.3
嚴重性評分:中
插件: ProfilePress
漏洞:反射跨站腳本
補丁版本:3.2.3
嚴重性評分:高
6. 現代活動日曆
插件:現代活動日曆
漏洞:未經身份驗證的盲 SQL 注入
補丁版本:6.1.5
嚴重性評分:高
插件:現代活動日曆
漏洞:反射跨站腳本
補丁版本:6.1.5
嚴重性評分:高
7.自動特色圖片
插件:自動特色圖片
漏洞:反射跨站腳本
補丁版本:3.9.3
嚴重性評分:中
8.終極NoFollow
插件:終極NoFollow
漏洞:貢獻者+存儲的跨站點腳本
已修補版本:無已知修復 - 插件已關閉
嚴重性評分:中
9. NEX-表格
插件: NEX-Forms
漏洞:多個管理員+存儲的跨站點腳本
已修補版本:無已知修復 - 插件已關閉
嚴重性評分:低
10. 搜索引擎優化助推器
插件:搜索引擎優化助推器
漏洞:Admin+ SQL 注入
已修補版本:無已知修復 - 插件已關閉
嚴重性評分:中
11. WP系統日誌
插件: WP系統日誌
漏洞:未經身份驗證的存儲跨站腳本
補丁版本:1.0.21
嚴重性評分:嚴重
12. 勵志名言旋轉器
插件:鼓舞人心的報價旋轉器
漏洞:管理員+存儲的跨站點腳本
已修補版本: 無已知修復 - 插件已關閉
嚴重性評分:低
13. 單個帖子導出器
插件:單個帖子導出器
漏洞:通過 CSRF 更新插件的設置
已修補版本: 無已知修復 - 插件已關閉
嚴重性評分:中
14. Flex 本地字體
插件: Flex 本地字體
漏洞:管理員+存儲的跨站點腳本
已修補版本: 無已知修復 - 插件已關閉
嚴重性評分:低
15. WP Admin Logo Changer
插件: WP Admin Logo Changer
漏洞:通過 CSRF 更新插件的設置
已修補版本: 無已知修復 - 插件已關閉
嚴重性評分:中
16.聯繫表格高級數據庫
插件:聯繫表格高級數據庫
漏洞:未經授權的 AJAX 調用
已修補版本: 無已知修復
嚴重性評分:中
17.閃亮的按鈕
插件:閃亮按鈕
漏洞:未經身份驗證的存儲跨站腳本
已修補版本: 無已知修復
嚴重性評分:高
18. 過濾器組合庫
插件:過濾器組合庫
漏洞:通過 CSRF 任意刪除圖庫
已修補版本: 無已知修復
嚴重性評分:中
19. WP 限制
插件: WP 限制
漏洞:通過 CSRF 更新插件的設置
已修補版本: 無已知修復
嚴重性評分:中
20.頁面/發佈內容簡碼
插件:頁面/發佈內容簡碼
漏洞:貢獻者+任意帖子/頁面訪問
已修補版本: 無已知修復
嚴重性評分:中
21. 改進的包含頁面
插件:改進的包含頁面
漏洞:貢獻者+任意帖子/頁面訪問
已修補版本: 無已知修復
嚴重性評分:中
22. 媒體
插件: Mediamatic
漏洞:訂閱者+ SQL 注入
已修補版本: 無已知修復
嚴重性評分:高
23. 顯示帖子元數據
插件:顯示帖子元數據
漏洞:貢獻者+存儲的跨站點腳本
已修補版本: 無已知修復
嚴重性評分:中
24. ToTop 鏈接
插件: ToTop 鏈接
漏洞:未經身份驗證的 PHP 對象注入
已修補版本: 無已知修復
嚴重性評分:中
25. 用戶元簡碼
插件:用戶元簡碼
漏洞:貢獻者+未經授權的任意用戶元數據訪問
已修補版本: 無已知修復
嚴重性評分:高
26. 行情集合
插件:行情集合
漏洞:Admin+ SQL 注入
已修補版本: 無已知修復
嚴重性評分:中
27. WordPress 推送通知(精簡版)
插件: WordPress 的推送通知(精簡版)
漏洞:通過 CSRF 更新設置
補丁版本:6.0.1
嚴重性評分:中
28. 體育出版社
插件:體育新聞
漏洞:反射跨站腳本
補丁版本:2.7.9
嚴重性評分:高
29.登錄/註冊彈出窗口
插件:登錄/註冊彈出窗口
漏洞:反射跨站腳本
補丁版本:2.2
嚴重性評分:高
30. 預覽 WooCommerce 的電子郵件
插件: WooCommerce 的預覽電子郵件
漏洞:反射跨站腳本
補丁版本:2.0.0
嚴重性評分:中
31. WP用戶前端
插件: WP用戶前端
漏洞:WordPress 的會員、個人資料、註冊和提交後插件
補丁版本:3.5.25
嚴重性評分:中
32. Directorist - 企業目錄插件
插件: Directorist – 企業目錄插件
漏洞:CSRF 到遠程文件上傳
補丁版本:7.0.6.2
嚴重性評分:嚴重
33. 簡易登記表
插件:簡單的註冊表單
漏洞:CSRF 到存儲的跨站點腳本
已修補版本: 無已知修復
嚴重性評分:高
34. WP重置專業版
插件: WP Reset Pro
漏洞:訂閱者+數據庫重置
補丁版本:5.99
嚴重性評分:嚴重
插件: WP Reset Pro
漏洞:通過 CSRF 重置數據庫
補丁版本:5.99
嚴重性評分:嚴重
35. WordPress + 微軟 Office 365
插件: WordPress + Microsoft Office 365
漏洞:未經身份驗證的存儲跨站腳本
補丁版本:15.4
嚴重性評分:嚴重
36. 重複的帖子
插件:重複帖子
漏洞:經過身份驗證的 SQL 注入
補丁版本:1.2.0
嚴重性評分:中
37. 備份遷移
插件:備份遷移
漏洞:管理員+存儲的跨站點腳本
補丁版本:1.1.6
嚴重性評分:中
如何保護您的 WordPress 網站免受易受攻擊的插件和主題的影響
從這份報告中可以看出,每週都會披露大量新的 WordPress 插件和主題漏洞。 我們知道很難掌握每個報告的漏洞披露,因此 iThemes Security Pro 插件可以輕鬆確保您的網站沒有運行具有已知漏洞的主題、插件或 WordPress 核心版本。
1. 安裝 iThemes Security Pro 插件
iThemes Security Pro 插件可強化您的 WordPress 網站,使其免受網站被黑客入侵的最常見方式。 通過 30 多種方法在一個易於使用的插件中保護您的網站。
2.啟用站點掃描以檢查已知漏洞
iThemes Security Pro 中的版本管理功能與站點掃描集成以保護您的站點。 易受攻擊的主題、插件和 WordPress 核心版本將自動為您更新。
3. 監控文件更改
快速發現安全漏洞的關鍵是監控您網站上的文件更改。 iThemes Security Pro 中的文件更改檢測功能將掃描您網站的文件,並在您的網站發生更改時提醒您。
獲取具有 24/7 網站安全監控的 iThemes Security Pro
iThemes Security Pro 是我們的 WordPress 安全插件,提供 50 多種方法來保護您的網站免受常見 WordPress 安全漏洞的侵害。 借助 WordPress、雙重身份驗證、暴力破解保護、強密碼強制執行等,您可以為您的網站添加額外的安全層。