Laporan Kerentanan WordPress: Juni 2021, Bagian 3
Diterbitkan: 2021-06-16Plugin dan tema yang rentan adalah alasan # 1 situs web WordPress diretas. Laporan Kerentanan WordPress mingguan yang didukung oleh WPScan mencakup plugin, tema, dan kerentanan inti WordPress terbaru, dan apa yang harus dilakukan jika Anda menjalankan salah satu plugin atau tema yang rentan di situs web Anda.
Setiap kerentanan akan memiliki tingkat keparahan Rendah , Sedang , Tinggi , atau Kritis . Pengungkapan dan pelaporan kerentanan yang bertanggung jawab merupakan bagian integral dari menjaga keamanan komunitas WordPress. Silakan bagikan posting ini dengan teman-teman Anda untuk membantu menyebarkan berita dan membuat WordPress lebih aman untuk semua orang.
Kerentanan Inti WordPress
Sampai hari ini, versi WordPress saat ini adalah 5.7.2. Pastikan untuk memastikan semua situs web Anda mutakhir!
Kerentanan Plugin WordPress
1. Baru-baru ini

Plugin: Baru-baru ini
Kerentanan : Injeksi Kode Otentikasi
Ditambal dalam Versi : 3.0.5
Keparahan : Tinggi
Plugin: Baru-baru ini
Kerentanan : Skrip Lintas Situs Tersimpan yang Diautentikasi
Ditambal dalam Versi : 3.0.5
Keparahan : Sedang
2. Posting Populer WordPress

Plugin: Posting Populer WordPress
Kerentanan : Injeksi Kode Otentikasi
Ditambal dalam Versi : 5.3.3
Skor Keparahan : Tinggi
Plugin: Posting Populer WordPress
Kerentanan : Skrip Lintas Situs Tersimpan yang Diautentikasi
Ditambal dalam Versi : 5.3.3
Skor Keparahan : Sedang
3. Pengerasan WP

Plugin: Pengerasan WP
Kerentanan : Skrip Lintas Situs Tercermin melalui URI
Ditambal dalam Versi : 1.2.2
Skor Keparahan : Sedang
Plugin: Pengerasan WP
Kerentanan : Skrip Lintas Situs Tercermin melalui nilai sejarah
Ditambal dalam Versi : 1.2.2
Skor Keparahan : Tinggi
4. Komentar Suka Tidak Suka

Plugin: Komentar Suka Tidak Suka
Kerentanan : Tambahkan Bypass Suka/Tidak Suka
Ditambal dalam Versi : 1.1.4
Skor Keparahan : Sedang
5. Editor File Konfigurasi WP

Plugin: Editor File Konfigurasi WP
Kerentanan : Skrip Lintas Situs Tersimpan yang Diautentikasi
Ditambal dalam Versi : Tidak ada perbaikan yang diketahui
Skor Keparahan : Sedang
6. Admin Kolom Gratis & Pro

Plugin: Kolom Admin Gratis
Kerentanan : Skrip Lintas Situs Tersimpan yang Diautentikasi
Ditambal dalam Versi : 4.3
Skor Keparahan : Sedang
Plugin: Admin Kolom Pro
Kerentanan : Skrip Lintas Situs Tersimpan yang Diautentikasi
Ditambal dalam Versi : 5.5.1
Skor Keparahan : Sedang
7. WP Google Maps

Plugin: WP Google Maps
Kerentanan : Skrip Lintas Situs Tersimpan yang Diautentikasi
Ditambal dalam Versi : 8.1.12
Skor Keparahan : Sedang
8. Gerbang Pembayaran Stripe untuk WooCommerce

Plugin: Gerbang Pembayaran Stripe untuk WooCommerce
Kerentanan : Skrip Lintas Situs Tercermin
Ditambal dalam Versi : 3.6.0
Skor Keparahan : Tinggi
9. Qtranslate Slug
Plugin: Qtranslate Slug
Kerentanan : CSRF Bypass
Ditambal dalam Versi : Tidak ada perbaikan yang diketahui
Skor Keparahan : Sedang
10. Kustom css-js-php
Plugin: Kustom css-js-php
Kerentanan : CSRF Bypass
Ditambal dalam Versi : Tidak ada perbaikan yang diketahui
Skor Keparahan : Sedang
11. Beberapa Peran
Plugin: Banyak Peran
Kerentanan : CSRF Bypass
Ditambal dalam Versi : Tidak ada perbaikan yang diketahui
Skor Keparahan : Sedang
12. Solusi Pasar Multivendor untuk WooCommerce

Plugin: Solusi Pasar Multivendor untuk WooCommerce
Kerentanan : CSRF Bypass
Ditambal dalam Versi : 3.74
Skor Keparahan : Sedang

13. JoomSport

Plugin: JoomSport
Kerentanan : Injeksi Objek PHP Tidak Diautentikasi
Ditambal dalam Versi : 5.1.8
Skor Keparahan : Sedang
14. Penggeser Cerdas 3

Plugin: Penggeser Cerdas 3
Kerentanan : Skrip Lintas Situs Tersimpan yang Diautentikasi
Ditambal dalam Versi : 3.5.0.9
Skor Keparahan : Sedang
15. Kebijakan Cookie Mudah
Plugin: Kebijakan Cookie Mudah
Kerentanan : Kontrol Akses Rusak ke Skrip Lintas Situs Tersimpan
Ditambal dalam Versi : Tidak ada perbaikan yang diketahui
Skor Keparahan : Tinggi
16. Welcart e-Commerce

Plugin: Welcart e-Commerce
Kerentanan : Skrip Lintas Situs
Ditambal dalam Versi : 2.2.4
Skor Keparahan : Sedang
17. Doa WP
Plugin: WP Doa
Kerentanan : Pembaruan Pengaturan Plugin Sewenang-wenang melalui CSRF
Ditambal dalam Versi : 1.6.7
Skor Keparahan : Sedang
Kerentanan Tema WordPress
1. Jannah

Tema: Jannah
Kerentanan : Skrip Lintas Situs Tercermin
Ditambal dalam Versi : 5.4.4
Skor Keparahan : Tinggi
2. Tema motor

Tema: Tema motor
Kerentanan : Penyertaan File Lokal Tidak Diautentikasi
Ditambal dalam Versi : 3.1.0
Skor Keparahan : Tinggi
3. Real Estat 7

Tema: Real Estat 7
Kerentanan : 3.1.1
Ditambal dalam Versi : Skrip Lintas Situs Tercermin
Skor Keparahan : Tinggi
Catatan tentang Pengungkapan yang Bertanggung Jawab
Anda mungkin bertanya-tanya mengapa kerentanan akan diungkapkan jika itu memberi peretas eksploitasi untuk menyerang. Yah, sangat umum bagi peneliti keamanan untuk menemukan dan secara pribadi melaporkan kerentanan kepada pengembang perangkat lunak.
Dengan pengungkapan yang bertanggung jawab , laporan awal peneliti dibuat secara pribadi kepada pengembang perusahaan yang memiliki perangkat lunak, tetapi dengan kesepakatan bahwa rincian lengkapnya akan dipublikasikan setelah patch tersedia. Untuk kerentanan keamanan yang signifikan, mungkin ada sedikit keterlambatan dalam mengungkapkan kerentanan untuk memberi lebih banyak waktu bagi orang untuk menambal.
Peneliti keamanan dapat memberikan tenggat waktu bagi pengembang perangkat lunak untuk menanggapi laporan atau memberikan tambalan. Jika tenggat waktu ini tidak terpenuhi, maka peneliti dapat mengungkapkan kerentanan secara terbuka untuk memberi tekanan pada pengembang untuk mengeluarkan tambalan.
Mengungkapkan kerentanan secara publik dan tampaknya memperkenalkan kerentanan Zero-Day – jenis kerentanan yang tidak memiliki patch dan sedang dieksploitasi di alam liar – mungkin tampak kontraproduktif. Tapi, itu adalah satu-satunya pengaruh yang dimiliki peneliti untuk menekan pengembang untuk menambal kerentanan.
Jika seorang peretas menemukan kerentanan, mereka dapat diam-diam menggunakan Eksploitasi dan menyebabkan kerusakan pada pengguna akhir (ini adalah Anda), sementara pengembang perangkat lunak tetap puas dengan membiarkan kerentanan tidak ditambal. Project Zero Google memiliki pedoman serupa dalam hal mengungkapkan kerentanan. Mereka mempublikasikan rincian lengkap kerentanan setelah 90 hari apakah kerentanan telah ditambal atau tidak.
Dapatkan Peringatan Email Saat iThemes Security Pro Menemukan Kerentanan yang Diketahui Di Situs Anda
Pemindai Situs plugin iThemes Security Pro adalah cara lain untuk mengamankan dan melindungi situs web WordPress Anda dari penyebab nomor satu dari semua peretasan perangkat lunak: plugin dan tema usang dengan kerentanan yang diketahui. Pemindai Situs memeriksa kerentanan yang diketahui di situs Anda dan secara otomatis menerapkan tambalan jika tersedia.
Plugin iThemes Security Pro dapat mengirimi Anda email hasil Pemindaian Situs jika menemukan plugin, tema, atau versi inti WordPress yang rentan di situs Anda. Hasil Pemindaian Situs akan ditampilkan di widget.

Jika Pemindaian Situs mendeteksi kerentanan, klik tautan kerentanan untuk melihat halaman detail.

Setelah Anda mengaktifkan Penjadwalan Pemindaian Situs, buka pengaturan Pusat Pemberitahuan dari plugin. Pada layar ini, gulir ke bagian Hasil Pemindaian Situs .

Klik kotak untuk mengaktifkan email notifikasi dan kemudian klik tombol Simpan Pengaturan .
Sekarang, selama pemindaian situs terjadwal, Anda akan mendapatkan email jika iThemes Security Pro menemukan kerentanan yang diketahui. Email akan terlihat seperti ini.

Dapatkan iThemes Security Pro untuk Mengamankan Situs Anda
iThemes Security Pro, plugin keamanan WordPress kami, menawarkan 50+ cara untuk mengamankan dan melindungi situs web Anda dari kerentanan keamanan WordPress yang umum. Dengan WordPress, otentikasi dua faktor, perlindungan brute force, penegakan kata sandi yang kuat, dan banyak lagi, Anda dapat menambahkan lapisan keamanan ekstra ke situs web Anda.
Dapatkan iThemes Security Pro
Apakah Anda Melewatkan Laporan Kerentanan WordPress Juni?
Catat di bawah ini:
- Juni 2021, Bagian 1
- Juni 2021, Bagian 2
Setiap minggu, Michael menyusun Laporan Kerentanan WordPress untuk membantu menjaga situs Anda tetap aman. Sebagai Manajer Produk di iThemes, dia membantu kami terus meningkatkan jajaran produk iThemes. Dia kutu buku raksasa & suka belajar tentang semua hal teknologi, lama & baru. Anda dapat menemukan Michael bergaul dengan istri & putrinya, membaca atau mendengarkan musik saat tidak bekerja.
