Berita Kerentanan WordPress, November 2021

Kerentanan WordPress berarti Kelemahan WordPress. Dalam posting ini berita kerentanan WordPress November, kami akan fokus pada plugin rentan WordPress dan masalah keamanan WordPress yang ditemukan pada Oktober 2020 dan November 2020.

Bagian keamanan yang paling penting dan krusial adalah terus memperbarui kerentanan keamanan di CMS seperti WordPress dan lainnya.

Inilah alasan mengapa kami telah menganalisis plugin yang rentan dan titik lemah terbaru yang terungkap untuk memastikan bahwa situs web Anda berjalan dengan lancar dengan tidak menggunakan plugin dan pembaruan yang tidak terlindungi untuk WordPress.

Situs web Anda akan aman dari semua masalah keamanan dan kerentanan jika Anda menggunakan firewall aplikasi web WebARX. Tetapi metode alternatif terbaik untuk membuat situs web Anda aman adalah dengan menghapus atau memperbarui plugin yang tidak terlindungi di situs web Anda.

Berita Kerentanan WordPress, Oktober 2020

WordPress + Microsoft Office 365

Untuk mengakses situs web WordPress Anda, pengguna dapat masuk dengan akun sekolah atau perusahaan mereka dengan WPO365|LOGIN. Kata sandi dan tidak ada nama pengguna yang diperlukan. Plus Anda akan dapat mengirim email dengan bantuan Microsoft Graph daripada menggunakan SMTP dari situs web Anda.

Kerentanan: Bypass Verifikasi Tanda Tangan JWT
Diselesaikan dalam versi: 11.7
Total situs web yang terpengaruh: 1000+

Plugin ini tidak memverifikasi tanda tangan JWT, mengizinkan pemeriksaan otorisasi, mengabaikan otentikasi, dan mengizinkan penyerang membentuk token.

Penggeser oleh 10Web

Slider oleh 10Web adalah metode alternatif untuk menambahkan slider responsif, pemuatan cepat, dan ramah SEO pada header tema, posting dan halaman situs web, atau lokasi lainnya.

Plugin ini kompatibel dengan video dan gambar dan memungkinkan kedua konten untuk ditambahkan pada slide. Anda dapat menambahkan efek transisi yang berbeda ke dalamnya dengan sangat mudah.

Kerentanan: Beberapa injeksi SQL terautentikasi
Diselesaikan dalam versi: 1.2.36
Total situs web yang terpengaruh: 50.000+

Dua fungsi rentan dari plugin ini adalah save_slider_db dan bulk_action, export_full. Kedua fungsi ini mengizinkan pengguna yang berwenang atau admin atau media seperti kontributor + 'opsi peran' misalkan pengguna lain dihidupkan untuk melakukan serangan yang dikenal sebagai injeksi SQL.

Tanggal deklarasi PoC adalah pada 13 Oktober 2020 yang memberikan pembaruan kepada pengguna dari waktu ke waktu.

Kursus WP

WP Courses adalah plugin gratis WordPress yang dapat digunakan untuk LMS untuk mengelola dan membuat kursus di situs web Anda dengan alat seret dan lepas, antarmuka intuitif, tutorial video, dan banyak lagi. Plugin ini memiliki lebih dari 900+ instalasi aktif.

Plugin ini dapat ditambahkan dengan template lain karena akan bekerja dengan mulus. Itu juga dilengkapi dengan begitu banyak opsi yang akan membantu Anda mencocokkan visi dan desain situs web Anda. Plugin ini mudah dinavigasi karena tidak memerlukan coding atau pengetahuan teknis.

Kerentanan: Mengarah ke pengungkapan konten kursus karena kontrol akses Rusak
Diselesaikan dalam versi: 2.0.29
Total situs web yang terpengaruh: 20.000+

Dengan REST API WordPress, masalah dalam kursus WP mungkin membuat kursus Anda tersedia untuk semua.

Sederhana: Tekan

Untuk situs WordPress Anda, Simple: Press adalah perangkat lunak forum. Dengan beberapa fitur tambahan, Anda dapat memulai forum dengan mudah. Ini terintegrasi ke dalam model keamanan dan model pengguna WordPress dan dapat ditingkatkan hingga ribuan pengguna.

Terlepas dari plugin forum lainnya, fitur plugin ini dibuat dan didukung oleh organisasi. Opsi ini tersedia untuk menghapus atau mencopot pemasangan, terintegrasi dengan login dan pendaftaran WordPress, terintegrasi dengan plugin langganan anggota, dan banyak lagi.

Kerentanan: Mengarah ke RCE karena Kontrol akses rusak
Diselesaikan dalam versi: 6.6.1
Total situs web yang terpengaruh: 600+

Masalah kontrol akses yang rusak di Simple: Press plugin telah diperbaiki yang memengaruhi versi 6.6.0 dan di bawahnya.

Plugin XCloner

Plugin ini akan membantu Anda memulihkan dan mencadangkan situs WordPress Anda.

Kerentanan: Pemalsuan permintaan lintas situs
Diselesaikan dalam versi: 4.2.13
Total situs web yang terpengaruh: 30.000+

Cadangan situs web dapat dikirim ke Google Drive, SFTP, Amazon, Dropbox, Backblaze, dan beberapa lokasi lainnya. Secara otomatis atau manual Anda dapat membuat cadangan dengan penjadwal yang merupakan bawaan dari XCloner.

Fitur keamanan yang berbeda disediakan oleh XCloner seperti XCloner akan membuat tema, inti, plugin, cadangan file bahasa sebelum pembaruan otomatis inti WordPress, tema, plugin, atau file bahasa. Orang yang mencari situs web yang aman dan privasi harus memilih XCloner.

Seret dan Jatuhkan Beberapa Unggah File – formulir kontak 7

Plugin ini mudah digunakan dan ekstensi langsung khusus untuk formulir kontak 7. Plugin ini akan memungkinkan pengguna untuk menambahkan file yang berbeda dengan bantuan fitur drag and drop. Seseorang juga dapat menambahkan file penelusuran umum dari formulir web.

Fitur plugin ini terbatas pada jumlah file yang diunggah, membatasi ukuran file untuk setiap bidang, responsif seluler, mendukung browser apa pun, mendukung banyak bahasa, bilah kemajuan keren, fitur seret dan lepas, validasi ukuran file, validasi jenis file, dan seterusnya.

Kerentanan: Eksekusi kode jarak jauh yang tidak diverifikasi
Diselesaikan dalam versi: 1.3.5.5
Total situs web yang terpengaruh: 20.000+

Alat ini menggunakan daftar hitam ekstensi file berbahaya yang tidak mengizinkan Anda untuk mengunggah. Namun, ekstensi .phpt dan .phar tidak masuk dalam daftar hitam sehingga tidak dapat digunakan untuk menambahkan kode PHP sewenang-wenang.

Beberapa lebih 25+ plugin WordPress ditemukan dengan kerentanan terhadap serangan CSRF, beberapa di antaranya adalah

• Keanggotaan Berbayar Pro
• Pembuat Kupon
• Pembangun yang Menyenangkan
• Tombol Radio untuk Taksonomi
• Garis Waktu yang Keren
• Testimoni Mudah
• Dokan
• Agregator RSS oleh Feedly
• Pemesanan Hotel WP
• Manajer Proyek WP dan Banyak lagi.

Posting Terkait: Tema WordPress Gratis Kesalahan Terbaik untuk Proyek yang Dapat Dipilih untuk Situs Web Anda Berikutnya

Berita Kerentanan WordPress, November 2020

Dukungan Kepatuhan CCPA GDPR

Ini juga dikenal sebagai plugin kepatuhan Ninja GDPR untuk pengguna WordPress.

Kerentanan: injeksi tidak resmi pada objek PHP
Diselesaikan dalam versi: 2.4
Total situs web yang terpengaruh: 1000+

Plugin dukungan Kepatuhan GDPR CCPA memiliki lebih dari 1000 instalasi aktif. Plugin ini telah memecahkan kerentanan deserialisasi yang tidak aman yang memengaruhi versi 2.1 dan di bawahnya yang mungkin menyebabkan injeksi objek PHP tidak resmi. Pada 17 November 2020. PoC akan ditampilkan untuk memperbarui pengguna dengan semua informasi.

Welcart e-Commerce

WelCart gratis untuk digunakan. Ini memiliki lebih dari 20.000 instalasi aktif dan tersedia dalam 3 bahasa yang berbeda yaitu Inggris (AS), Jepang, dan Vietnam. Pada 9 Oktober 2020, kerentanan ditemukan di plugin ini.

Kerentanan: Injeksi tidak resmi pada objek PHP
Diselesaikan dalam versi: 1.9.36
Total situs web yang terpengaruh: 20.000+

Pengguna WordPress dapat menggunakan plugin Welcart untuk membangun situs web belanja dengan area akun pelanggan yang berbeda. Itu tidak menggunakan cookie yang sama yang digunakan oleh WordPress. Ia menggunakan miliknya sendiri.

Ini membantu Anda melacak sesi pengguna. Dengan menggunakan plugin ini Anda akan dapat menjual semua jenis produk termasuk produk berbasis langganan, produk digital, serta produk fisik. Tidak ada batasan yang ditentukan untuk jumlah item foto, produk, dan kategori.

AccessPress Ikon Sosial

Anda akan dapat membuat ikon sosial yang berbeda dan menambahkan tautan ke akun media sosial Anda yang valid langsung dari situs web. Ini memiliki lebih dari 40.000+ instalasi aktif dan mendukung WordPress versi 4.5 dan lebih tinggi.

Kerentanan: Injeksi SQL yang diautentikasi
Diselesaikan dalam versi: 1.8.1
Total situs web yang terpengaruh: 40.000+

Atribut widgetnya belum didesinfeksi oleh plugin ini, ia mengizinkan akun dengan izin posting misalnya penulis untuk menjalankan injeksi SQL.

Sangat mudah orang non-teknis juga dapat menautkan ke profil sosial di situs web. Anda dapat membuat dan mempersonalisasi ikon dengan indah sendiri. 12 berbagai set yang dirancang disediakan yang dapat digunakan untuk memilih ikon.

Fitur utama dari plugin ini adalah integrasi yang mudah, tips alat, lebih banyak gaya, pratinjau langsung waktu nyata, responsif, interaktif, tata letak sendiri, dan banyak lagi.

WordPress

Versi WordPress 5.5.2 dirilis pada 29 Oktober 2020. Versi ini diperkenalkan untuk memperbaiki masalah yang dipengaruhi oleh WordPress versi 5.5 termasuk kerentanan XSS yang tercermin. Juga, itu telah memperbaiki beberapa masalah regresi yang ditemukan di versi 5.5

Kerentanan: Tercermin XSS
Diselesaikan dalam versi: 5.5.2
Total situs web yang terpengaruh: T/A

Di setiap akun pengguna WordPress dan situs web pengguna, masalah ini rentan. Penyerang mungkin membodohi pengguna yang tidak sadar untuk mengklik tautan yang terinfeksi atau mengunjungi situs web yang dijebak. Tingkat viktimisasi untuk masalah ini adalah sedang karena membutuhkan semacam rekayasa sosial.

Pencarian SW Ajax WooCommerce

SW Ajax WooCommerce Search adalah plugin WordPress untuk WooCommerce yang memiliki fitur pencarian Ajax.

Kerentanan: Tidak resmi tercermin XFS & XSS
Diselesaikan dalam versi: 1.2.8
Total situs web yang terpengaruh: T/A

Kesimpulan:
Berita kerentanan WordPress November – Jumlah situs web WordPress terinfeksi dan diretas setiap hari. Beberapa angka menunjukkan bahwa lebih dari 30.000 situs web terpengaruh setiap hari dengan beberapa jenis malware.

Setiap situs web terbuka di internet adalah sumber daya yang tersedia untuk semua orang dan ini adalah alasan utama mengapa sebagian besar situs web ditargetkan.

Sangat penting untuk mengetahui fakta bahwa segera setelah Anda menjalankan bisnis online Anda menjadi tersedia untuk umum. Sehingga menjadi mudah ditargetkan.

Untuk menghindari menambahkan plugin yang rentan di situs web Anda, penting untuk selalu memperbarui plugin dan situs web Anda. Anda dapat mengaktifkan pembaruan otomatis jika memungkinkan.

Jika Anda menggunakan plugin yang disebutkan di atas, maka inilah saatnya untuk memperbaruinya dengan versi baru jika tidak, situs web Anda akan terpengaruh dengan buruk.