Laporan Kerentanan WordPress: Agustus 2021, Bagian 1

Plugin dan tema yang rentan adalah alasan # 1 situs web WordPress diretas. Laporan Kerentanan WordPress mingguan yang didukung oleh WPScan mencakup plugin, tema, dan kerentanan inti WordPress terbaru, dan apa yang harus dilakukan jika Anda menjalankan salah satu plugin atau tema yang rentan di situs web Anda.

Setiap kerentanan akan memiliki tingkat keparahan Rendah , Sedang , Tinggi , atau Kritis . Pengungkapan dan pelaporan kerentanan yang bertanggung jawab merupakan bagian integral dari menjaga keamanan komunitas WordPress.

Sebagai salah satu Laporan Kerentanan WordPress terbesar hingga saat ini, silakan bagikan posting ini dengan teman-teman Anda untuk membantu menyebarkan berita dan membuat WordPress lebih aman untuk semua orang.

Kerentanan Inti WordPress

Kerentanan Plugin WordPress

1. Spanduk Sederhana

Plugin: Spanduk Sederhana
Kerentanan : XSS Tersimpan yang Diautentikasi
Ditambal dalam Versi : 2.10.4
Skor Keparahan : Rendah

2. Kuis HD

Plugin: Kuis HD
Kerentanan : XSS Tersimpan yang Diautentikasi
Ditambal dalam Versi : 1.8.4
Skor Keparahan : Rendah

3. Formulir Kontak 7 Captcha

Plugin: Formulir Kontak 7 Captcha
Kerentanan : CSRF ke XSS Tersimpan
Ditambal dalam Versi : 0.0.9
Skor Keparahan : Tinggi

4. WPfront Gulir Atas

Plugin: WPfront Gulir Atas
Kerentanan : XSS Tersimpan yang Diautentikasi
Ditambal dalam Versi : 2.0.6.07225
Skor Keparahan : Sedang

5. WP SMS

Plugin: WP SMS
Kerentanan : Skrip Lintas Situs Tersimpan yang Diautentikasi
Ditambal dalam Versi : 5.4.13
Skor Keparahan : Rendah

6. Qyrro

Plugin: Qyrr
Kerentanan : Diautentikasi (kontributor+) Disimpan XSS
Ditambal dalam Versi : 0.7
Skor Keparahan : Sedang

7. Langganan Anggota Berbayar

Plugin: Langganan Anggota Berbayar
Kerentanan : Skrip Lintas Situs Tercermin (XSS)
Ditambal dalam Versi : 2.4.2
Skor Keparahan : Tinggi

Plugin: Langganan Anggota Berbayar
Kerentanan : Injeksi SQL Terotentikasi
Ditambal dalam Versi : 2.4.2
Skor Keparahan : Sedang

8. Berikan WP

Plugin: GiveWP
Kerentanan : XSS Tersimpan yang Diautentikasi
Ditambal dalam Versi : 2.12.0
Skor Keparahan : Sedang

9. Pahlawan Penggeser

Plugin: Pahlawan Penggeser
Kerentanan : CSRF ke XSS Tersimpan
Ditambal dalam Versi : 8.2.7
Skor Keparahan : Kritis

10. Tombol Berbagi Media Sosial Sederhana

Plugin: Tombol Berbagi Media Sosial Sederhana
Kerentanan : Kontributor + XSS Tersimpan
Ditambal dalam Versi : 3.2.3
Skor Keparahan : Sedang

11. Pelacakan Pengiriman Lanjutan untuk WooCommerce

Plugin: Pelacakan Pengiriman Lanjutan untuk WooCommerce
Kerentanan : Perubahan Opsi yang Diautentikasi
Ditambal dalam Versi : 3.2.7
Skor Keparahan : Kritis

12. WP LMS

Plugin: WP LMS
Kerentanan : Skrip Lintas Situs Tersimpan (XSS) yang Tidak Diautentikasi
Ditambal dalam Versi : 1.1.3
Skor Keparahan : Tinggi

13. Admin Biru

Plugin: Admin Biru
Kerentanan : CSRF ke Stored Cross-Site Scripting (XSS)
Ditambal dalam Versi : Tidak ada perbaikan yang diketahui
Skor Keparahan : Tinggi

14. Favicon oleh RealFaviconGenerator

Plugin: Favicon oleh RealFaviconGenerator
Kerentanan : Skrip Lintas Situs Tercermin (XSS)
Ditambal dalam Versi : Tidak ada perbaikan yang diketahui
Skor Keparahan : Tinggi

15. uDaftar

Plugin: uListing
Kerentanan : Injeksi SQL Tidak Diautentikasi
Ditambal dalam Versi : 2.0.4
Skor Keparahan : Tinggi

Plugin: uListing
Kerentanan : IDOR Terautentikasi
Ditambal dalam Versi : 2.0.6
Skor Keparahan : Sedang

Plugin: uListing
Kerentanan : XSS Tercermin yang Diautentikasi
Ditambal dalam Versi : 2.0.6
Skor Keparahan : Rendah

Plugin: uListing
Kerentanan : Beberapa CSRF
Ditambal dalam Versi : 2.0.6
Skor Keparahan : Sedang

Plugin: uListing
Kerentanan : Ubah Peran Pengguna melalui CSRF
Ditambal dalam Versi : 2.0.6
Skor Keparahan : Sedang

Plugin: uListing
Kerentanan : Pembaruan Pengaturan melalui CSRF
Ditambal dalam Versi : 2.0.6
Skor Keparahan : Sedang

Plugin: uListing
Kerentanan : Eskalasi Hak Istimewa yang Tidak Diautentikasi
Ditambal dalam Versi : 2.0.6
Skor Keparahan : Sedang

16. WooCommerce Memblokir 2.5 hingga 5.5

Plugin: WooCommerce Memblokir 2.5 hingga 5.5
Kerentanan : Injeksi SQL Tidak Diautentikasi
Ditambal dalam Versi : 5.5.1
Skor Keparahan : Kritis

17. Woocommerce 3.3 hingga 5.5

Plugin: Woocommerce 3.3 hingga 5.5
Kerentanan : Injeksi SQL Buta yang Diautentikasi
Ditambal dalam Versi : 5.5.1
Skor Keparahan : Tinggi

18. Login Kustom Admin

Plugin: Login Kustom Admin
Kerentanan : CSRF ke XSS Tersimpan
Ditambal dalam Versi : 3.2.8
Skor Keparahan : Tinggi

19. Tautan Balik SEO

Plugin: Tautan Balik SEO
Kerentanan : CSRF ke XSS Tersimpan
Ditambal dalam Versi : Tidak ada perbaikan yang diketahui
Skor Keparahan : Tinggi

20. Pembuat Jajak Pendapat

Plugin: Pembuat Jajak Pendapat
Kerentanan : Skrip Lintas Situs Tercermin
Ditambal dalam Versi : 3.2.9
Skor Keparahan : Tinggi

21. Indeks Posting

Plugin: Indeks Posting
Kerentanan : CSRF ke XSS Tersimpan
Ditambal dalam Versi : Tidak ada perbaikan yang diketahui
Skor Keparahan : Tinggi

22. Menu Samping Lite

Plugin: Menu Samping Lite
Kerentanan : Injeksi SQL Terotentikasi
Ditambal dalam Versi : 2.2.6
Skor Keparahan : Tinggi

23. Pengelola Unduhan WordPress

Plugin: Pengelola Unduhan WordPress
Kerentanan : Traversal Direktori yang Diautentikasi
Ditambal dalam Versi : 3.1.25
Skor Keparahan : Sedang

Plugin: Pengelola Unduhan WordPress
Kerentanan : Unggah File yang Diautentikasi
Ditambal dalam Versi : 3.1.25
Skor Keparahan : Sedang

24. SMTP Lancar

Plugin: LancarSMTP
Kerentanan : XSS Tersimpan yang Diautentikasi
Ditambal dalam Versi : 2.0.1
Skor Keparahan : Rendah

25. Pengumpan Youtube

Plugin: Pengumpan Youtube
Kerentanan : CSRF ke XSS Tersimpan
Ditambal dalam Versi : Tidak ada perbaikan yang diketahui
Skor Keparahan : Tinggi

26. Buletin Bagus

Plugin: Buletin Bagus
Kerentanan : CSRF ke XSS Tersimpan
Ditambal dalam Versi : Tidak ada perbaikan yang diketahui
Skor Keparahan : Tinggi

Kerentanan Tema WordPress

Catatan tentang Pengungkapan yang Bertanggung Jawab

Anda mungkin bertanya-tanya mengapa kerentanan akan diungkapkan jika itu memberi peretas eksploitasi untuk menyerang. Yah, sangat umum bagi peneliti keamanan untuk menemukan dan secara pribadi melaporkan kerentanan kepada pengembang perangkat lunak.

Dengan pengungkapan yang bertanggung jawab , laporan awal peneliti dibuat secara pribadi kepada pengembang perusahaan yang memiliki perangkat lunak, tetapi dengan kesepakatan bahwa rincian lengkapnya akan dipublikasikan setelah patch tersedia. Untuk kerentanan keamanan yang signifikan, mungkin ada sedikit keterlambatan dalam mengungkapkan kerentanan untuk memberi lebih banyak waktu bagi orang untuk menambal.

Peneliti keamanan dapat memberikan tenggat waktu bagi pengembang perangkat lunak untuk menanggapi laporan atau memberikan tambalan. Jika tenggat waktu ini tidak terpenuhi, maka peneliti dapat mengungkapkan kerentanan secara terbuka untuk memberi tekanan pada pengembang untuk mengeluarkan tambalan.

Mengungkapkan kerentanan secara publik dan tampaknya memperkenalkan kerentanan Zero-Day – jenis kerentanan yang tidak memiliki patch dan sedang dieksploitasi di alam liar – mungkin tampak kontraproduktif. Tapi, itu adalah satu-satunya pengaruh yang dimiliki peneliti untuk menekan pengembang untuk menambal kerentanan.

Jika seorang peretas menemukan kerentanan, mereka dapat diam-diam menggunakan Eksploitasi dan menyebabkan kerusakan pada pengguna akhir (ini adalah Anda), sementara pengembang perangkat lunak tetap puas dengan membiarkan kerentanan tidak ditambal. Project Zero Google memiliki pedoman serupa dalam hal mengungkapkan kerentanan. Mereka mempublikasikan rincian lengkap kerentanan setelah 90 hari apakah kerentanan telah ditambal atau tidak.

Cara Melindungi Situs WordPress Anda Dari Plugin dan Tema yang Rentan

Seperti yang Anda lihat dari laporan ini, banyak plugin WordPress baru dan kerentanan tema diungkapkan setiap minggu. Kami tahu mungkin sulit untuk tetap mengetahui setiap pengungkapan kerentanan yang dilaporkan, jadi plugin iThemes Security Pro memudahkan untuk memastikan situs Anda tidak menjalankan tema, plugin, atau versi inti WordPress dengan kerentanan yang diketahui.

1. Nyalakan Pemindai Situs Pro Keamanan iThemes

Pemindai Situs plugin iThemes Security Pro memindai alasan #1 mengapa situs WordPress diretas: plugin dan tema usang dengan kerentanan yang diketahui. Pemindai Situs memeriksa kerentanan yang diketahui di situs Anda dan secara otomatis menerapkan tambalan jika tersedia.

Untuk mengaktifkan Pemindaian Situs pada pemasangan baru, navigasikan ke tab Pemeriksaan Situs pada menu Fitur di dalam plugin dan klik sakelar untuk mengaktifkan Pemindaian Situs .

Untuk memicu Pemindaian Situs manual, klik tombol Pindai Sekarang pada kartu Dasbor Keamanan Pemindaian Situs.

Jika Pemindaian Situs mendeteksi kerentanan, klik tautan kerentanan untuk melihat halaman detail.

Pada halaman kerentanan Pemindaian Situs, Anda akan melihat apakah ada perbaikan yang tersedia untuk kerentanan. Jika ada tambalan yang tersedia, Anda dapat mengklik tombol Perbarui Plugin untuk menerapkan perbaikan di situs web Anda.

2. Aktifkan Manajemen Versi

Fitur Manajemen Versi di iThemes Security Pro terintegrasi dengan Pemindaian Situs untuk melindungi situs Anda saat perangkat lunak usang tidak diperbarui dengan cukup cepat. Bahkan tindakan keamanan terkuat pun akan gagal jika Anda menjalankan perangkat lunak yang rentan di situs web Anda. Pengaturan ini membantu melindungi situs Anda dengan opsi untuk memperbarui ke versi baru secara otomatis jika ada kerentanan yang diketahui dan tambalan tersedia.

Dari halaman Pengaturan di iThemes Security Pro, navigasikan ke layar Fitur. Klik tab Periksa Situs. Dari sini, gunakan sakelar untuk mengaktifkan Manajemen Versi. Dengan menggunakan roda gigi pengaturan, Anda dapat mengonfigurasi lebih banyak pengaturan, termasuk bagaimana Anda ingin iThemes Security Pro menangani pembaruan WordPress, plugin, tema, dan perlindungan tambahan.

Pastikan untuk memilih Pembaruan Otomatis jika itu Memperbaiki kotak Kerentanan sehingga iThemes Security Pro akan secara otomatis memperbarui plugin atau tema jika memperbaiki kerentanan yang ditemukan oleh Pemindai Situs.

3. Dapatkan Peringatan Email Saat iThemes Security Pro Menemukan Kerentanan yang Diketahui Di Situs Anda

Setelah Anda mengaktifkan Penjadwalan Pemindaian Situs, buka pengaturan Pusat Pemberitahuan dari plugin. Pada layar ini, gulir ke bagian Hasil Pemindaian Situs .

Klik kotak untuk mengaktifkan email notifikasi dan kemudian klik tombol Simpan Pengaturan .

Sekarang, selama pemindaian situs terjadwal, Anda akan mendapatkan email jika iThemes Security Pro menemukan kerentanan yang diketahui. Email akan terlihat seperti ini.

Dapatkan iThemes Security Pro dan Istirahatlah Sedikit Lebih Mudah Malam Ini

iThemes Security Pro, plugin keamanan WordPress kami, menawarkan 50+ cara untuk mengamankan dan melindungi situs web Anda dari kerentanan keamanan WordPress yang umum. Dengan WordPress, otentikasi dua faktor, perlindungan brute force, penegakan kata sandi yang kuat, dan banyak lagi, Anda dapat menambahkan lapisan keamanan ekstra ke situs web Anda.

Dapatkan iThemes Security Pro

Michael Moore

Setiap minggu, Michael menyusun Laporan Kerentanan WordPress untuk membantu menjaga situs Anda tetap aman. Sebagai Manajer Produk di iThemes, dia membantu kami terus meningkatkan jajaran produk iThemes. Dia kutu buku raksasa & suka belajar tentang semua hal teknologi, lama & baru. Anda dapat menemukan Michael bergaul dengan istri & putrinya, membaca atau mendengarkan musik saat tidak bekerja.