Laporan Kerentanan WordPress: Mei 2021, Bagian 2
Diterbitkan: 2021-05-14Plugin dan tema yang rentan adalah alasan # 1 situs web WordPress diretas. Laporan Kerentanan WordPress mingguan yang didukung oleh WPScan mencakup plugin, tema, dan kerentanan inti WordPress terbaru, dan apa yang harus dilakukan jika Anda menjalankan salah satu plugin atau tema yang rentan di situs web Anda.
Setiap kerentanan mencakup peringkat keparahan Rendah , Sedang , Tinggi , atau Kritis . Pengungkapan dan pelaporan kerentanan yang bertanggung jawab merupakan bagian integral dari menjaga keamanan komunitas WordPress. Silakan bagikan posting ini dengan teman-teman Anda untuk membantu menyebarkan berita dan membuat WordPress lebih aman untuk semua orang!
Kerentanan Inti WordPress
Kerentanan Plugin WordPress
1. Perubahan Bahasa Admin Sederhana
Plugin: Perubahan Bahasa Admin Sederhana
Kerentanan : Perubahan Lokal Pengguna Sewenang-wenang
Ditambal dalam Versi : 2.0.2
Skor Keparahan : 4,3 Sedang
2. Kirim Ke Kurir
Plugin: Kirim ke eCourier
Kerentanan : Pembaruan Pengaturan Plugin melalui CSRF
Ditambal dalam Versi : 1.0.2
Skor Keparahan : 5,4 Sedang
3. Kurir Pelacak Paket
Plugin: eCourier Pelacak Paket
Kerentanan : Pembaruan Pengaturan Plugin melalui CSRF
Ditambal dalam Versi : 1.0.2
Skor Keparahan : 5,4 Sedang
4. Penggeser Produk PickPlugins untuk WooCommerce
Plugin: Slider Produk PickPlugins untuk WooCommerce
Kerentanan : Skrip Lintas Situs Tercermin
Ditambal dalam Versi : 1.13.22
Skor Keparahan : 7.1 Tinggi
5. Pemain Flv Hana
Plugin: Hana Flv Player
Kerentanan : Skrip Lintas Situs Tersimpan yang Diautentikasi
Ditambal dalam Versi : Tidak ada perbaikan yang diketahui
Skor Keparahan : 3,8 Rendah
6. Konektor Hotjar
Plugin: Konektor Hotjar
Kerentanan : Skrip Lintas Situs Tersimpan yang Diautentikasi
Ditambal dalam Versi : Tidak ada perbaikan yang diketahui – plugin ditutup
Skor Keparahan : 3,8 Rendah
7. GA Google Analytics
Pengaya: GA Google Analytics
Kerentanan : Skrip Lintas Situs Tersimpan yang Diautentikasi
Ditambal dalam Versi : Tidak ada perbaikan yang diketahui
Skor Keparahan : 5,9 Sedang
8. Targetkan Plugin Pertama
Plugin: Targetkan Plugin Pertama
Kerentanan : Pembuatan Skrip Lintas Situs yang Tidak Diautentikasi melalui Kunci Lisensi
Ditambal dalam Versi : 1.0
Skor Keparahan : 7.2 Tinggi
9. Memimpin-5050 Wawasan Pengunjung
Plugin: Memimpin-5050 Wawasan Pengunjung
Kerentanan : Perubahan Lisensi Tidak Sah
Ditambal dalam Versi : 1.1.0
Skor Keparahan : 7.1 Tinggi
10. DSGVO Semua dalam satu untuk WP
Plugin: DSGVO Semua dalam satu untuk WP
Kerentanan : Pembuatan Skrip Lintas Situs yang Tidak Diautentikasi
Ditambal dalam Versi : 4.0
Skor Keparahan : 8,3 Tinggi
11. UltimateWoo
Plugin: UltimateWoo
Kerentanan : Injeksi Objek PHP
Ditambal dalam Versi : Tidak ada perbaikan yang diketahui – plugin ditutup
Skor Keparahan : 5.6 Sedang
12. Anggota Utama
Plugin: Anggota Utama
Kerentanan : Skrip Lintas Situs Tercermin yang Diautentikasi
Ditambal dalam Versi : 2.1.20
Skor Keparahan : 4,4 Sedang
13. Optimalkan otomatis
Plugin: Optimalisasi otomatis
Kerentanan : Skrip Lintas Situs Tersimpan yang Diautentikasi
Ditambal dalam Versi : 2.8.4
Skor Keparahan : 6.6 Sedang
14. Zlick Paywall
Plugin: Zlick Paywall
Kerentanan : CSRF Bypass
Ditambal dalam Versi : 2.2.2
Skor Keparahan : 3.1 Rendah
15. Daftar Keinginan dan Perbandingan WooCommerce Tema Tinggi
Plugin: ThemeHigh WooCommerce Wishlist dan Perbandingan
Kerentanan : Panggilan AJAX tidak sah
Ditambal dalam Versi : 1.0.5
Skor Keparahan : 7.2 Tinggi
16. Hadiah Sederhana
Plugin: Hadiah Sederhana
Kerentanan : Skrip Lintas Situs Tercermin yang Tidak Diautentikasi
Ditambal dalam Versi : 2.36.2
Skor Keparahan : 7.1 Tinggi
17. Reservasi Restoran ReDi
Plugin: ReDi Restoran ReDi
Kerentanan : Pembuatan Skrip Lintas Situs yang Tidak Diautentikasi
Ditambal dalam Versi : 21.0426
Skor Keparahan : 7.1 Tinggi
18. Semua dalam Satu Paket SEO
Plugin: Semua dalam Satu Paket SEO
Kerentanan : Eksekusi Kode Jarak Jauh
Ditambal dalam Versi : 4.1.0.2
Skor Keparahan : 6.6 Sedang
19. Pengangkat LMS
Plugin: LifterLMS
Kerentanan : Skrip Lintas Situs Tersimpan yang Diautentikasi di Edit Profil
Ditambal dalam Versi : 4.21.1
Skor Keparahan : 7.4 Tinggi
Kerentanan : Skrip Lintas Situs Tercermin melalui Kode Kupon di Checkout
Ditambal dalam Versi : 4.21.1
SeverityScore : 6.1 Sedang
Kerentanan Tema WordPress
Catatan tentang Pengungkapan yang Bertanggung Jawab
Anda mungkin bertanya-tanya mengapa kerentanan akan diungkapkan jika itu memberi peretas eksploitasi untuk menyerang. Yah, sangat umum bagi peneliti keamanan untuk menemukan dan secara pribadi melaporkan kerentanan kepada pengembang perangkat lunak sebelum dipublikasikan.
Dengan pengungkapan yang bertanggung jawab , laporan awal peneliti dibuat secara pribadi kepada pengembang perusahaan yang memiliki perangkat lunak, tetapi dengan kesepakatan bahwa rincian lengkapnya akan dipublikasikan setelah patch tersedia. Untuk kerentanan keamanan yang signifikan, mungkin ada sedikit keterlambatan dalam mengungkapkan kerentanan untuk memberi lebih banyak waktu bagi orang untuk menambal.
Peneliti keamanan dapat memberikan tenggat waktu bagi pengembang perangkat lunak untuk menanggapi laporan atau memberikan tambalan. Jika tenggat waktu ini tidak terpenuhi, maka peneliti dapat mengungkapkan kerentanan secara terbuka untuk memberi tekanan pada pengembang untuk mengeluarkan tambalan.
Mengungkapkan kerentanan secara publik dan tampaknya memperkenalkan kerentanan Zero-Day – jenis kerentanan yang tidak memiliki patch dan sedang dieksploitasi di alam liar – mungkin tampak kontraproduktif. Tapi, itu adalah satu-satunya pengaruh yang dimiliki peneliti untuk menekan pengembang untuk menambal kerentanan.
Jika seorang peretas menemukan kerentanan, mereka dapat diam-diam menggunakan Eksploitasi dan menyebabkan kerusakan pada pengguna akhir (ini adalah Anda), sementara pengembang perangkat lunak tetap puas dengan membiarkan kerentanan tidak ditambal. Project Zero Google memiliki pedoman serupa dalam hal mengungkapkan kerentanan. Mereka mempublikasikan rincian lengkap kerentanan setelah 90 hari apakah kerentanan telah ditambal atau tidak.
Cara Melindungi Situs WordPress Anda Dari Plugin dan Tema yang Rentan
Ada tiga cara hebat untuk melindungi situs web Anda secara otomatis dari tema dan plugin yang rentan:
- Mengaktifkan Pembaruan Otomatis untuk Plugin dan Tema
- Pemindai Situs plugin iThemes Security Pro
- Manajemen Versi di Keamanan iThemes
1. Aktifkan Pembaruan Otomatis untuk Plugin dan Tema
Mulai di WordPress 5.5, Anda dapat mengaktifkan pembaruan otomatis untuk plugin dan tema. Mengapa pembaruan otomatis dimasukkan ke inti WordPress? Plugin dan tema yang kedaluwarsa masih menjadi alasan #1 mengapa situs WordPress diretas. Rilis versi sering kali menyertakan tambalan keamanan penting untuk menutup kerentanan (cukup periksa berapa banyak masalah keamanan dengan tema dan plugin yang diungkapkan dari bulan ke bulan di kumpulan kerentanan WordPress kami). Itu sebabnya selalu menjalankan versi terbaru dari plugin atau tema apa pun yang telah Anda instal di situs Anda adalah praktik terbaik keamanan.
Sekarang inti WordPress akan memungkinkan Anda untuk mengatur plugin dan tema untuk diperbarui secara otomatis dari halaman admin WordPress> Plugins> Installed Plugins and Appearance> Themes. Dengan cara ini, Anda selalu dapat mengetahui bahwa situs Anda menjalankan kode terbaru yang tersedia.
2. Aktifkan Pemindai Situs Plugin iThemes Security Pro
Pemindai Situs plugin iThemes Security Pro adalah cara lain untuk mengamankan dan melindungi situs web WordPress Anda dari penyebab nomor satu dari semua peretasan perangkat lunak: plugin dan tema usang dengan kerentanan yang diketahui. Pemindai Situs memeriksa kerentanan yang diketahui di situs Anda dan secara otomatis menerapkan tambalan jika tersedia.
3 Jenis Kerentanan WordPress Diperiksa oleh iThemes Security Pro Site Scanner:
- Kerentanan Inti WordPress
- Kerentanan Plugin
- Kerentanan Tema
Untuk mengaktifkan Pemindaian Situs di situs Anda, navigasikan ke pengaturan iThemes Security Pro dan klik tombol Aktifkan pada modul pengaturan Pemindaian Situs .
Untuk memicu Pemindaian Situs manual, klik tombol Pindai Sekarang pada Widget Pemindaian Situs yang terletak di bilah sisi kanan pengaturan keamanan.
Hasil Pemindaian Situs akan ditampilkan di widget.
Jika Pemindaian Situs mendeteksi kerentanan, klik tautan kerentanan untuk melihat halaman detail.
Pada halaman kerentanan Pemindaian Situs, Anda akan melihat apakah ada perbaikan yang tersedia untuk kerentanan. Jika ada tambalan yang tersedia, Anda dapat mengklik tombol Perbarui Plugin untuk menerapkan perbaikan di situs web Anda.
Mungkin ada penundaan antara saat tambalan tersedia dan Basis Data Kerentanan Keamanan iThemes diperbarui untuk mencerminkan perbaikan. Dalam hal ini, Anda dapat membisukan notifikasi agar tidak menerima peringatan lagi terkait kerentanan.
3. Aktifkan Manajemen Versi di iThemes Security Pro
Fitur Manajemen Versi iThemes Security Pro memungkinkan Anda memiliki sedikit lebih banyak kontrol atas pembaruan otomatis untuk WordPress, plugin, dan tema.
Berikut adalah tiga cara iThemes Security Pro Version Management menawarkan lebih banyak fleksibilitas dibandingkan dengan pembaruan otomatis WordPress default.
- Plugin dan manajemen tema yang disederhanakan – kelola semua pembaruan plugin dan tema Anda dari pengaturan manajemen versi.
- Tambahkan periode penundaan khusus untuk pembaruan plugin dan tema – Pembaruan otomatis WordPress hanya menawarkan opsi untuk segera menerapkan pembaruan. Penjadwal pembaruan memungkinkan Anda membuat penundaan khusus. Menunda bisa menjadi pilihan yang baik untuk plugin atau tema yang cenderung membutuhkan beberapa rilis lanjutan untuk memperbaiki masalah setelah rilis besar.
- Hanya Terapkan Pembaruan yang Memperbaiki Kerentanan yang Diketahui – hanya terapkan pembaruan yang memperbaiki kerentanan yang diketahui. Opsi ini sangat cocok jika Anda ingin menjalankan semua pembaruan secara manual tetapi ingin segera menerima patch keamanan.
Selain itu, Manajemen Versi juga memiliki opsi untuk mengeraskan situs web Anda ketika Anda menjalankan perangkat lunak yang sudah ketinggalan zaman dan memindai situs web lama.
Untuk mulai menggunakan Manajemen Versi, aktifkan modul di halaman utama pengaturan keamanan.
Sekarang klik tombol Configure Settings untuk melihat lebih dekat pada pengaturan.
- Pembaruan WordPress – Secara otomatis menginstal rilis WordPress terbaru.
- Pembaruan Plugin – Secara otomatis menginstal pembaruan plugin terbaru. Mengaktifkan pengaturan ini akan menonaktifkan fitur plugin pembaruan otomatis WordPress untuk mencegah konflik.
- Pembaruan Tema – Secara otomatis menginstal pembaruan tema terbaru. Mengaktifkan pengaturan ini akan menonaktifkan fitur tema pembaruan otomatis WordPress untuk mencegah konflik.
- Perkuat Situs Saat Menjalankan Perangkat Lunak Kedaluwarsa – Secara otomatis menambahkan perlindungan ekstra ke situs ketika pembaruan yang tersedia belum diinstal selama sebulan.
- Paksa semua pengguna yang tidak mengaktifkan dua faktor untuk memberikan kode masuk yang dikirim ke alamat email mereka sebelum masuk kembali.
- Nonaktifkan WP File Editor (yang memblokir orang dari mengedit plugin atau kode tema).
- Nonaktifkan pingback XML-RPC, dan blokir beberapa upaya otentikasi per permintaan XML-RPC (keduanya akan membuat XML-RPC lebih kuat terhadap serangan tanpa harus mematikannya sepenuhnya).
- Pindai Situs WordPress Lama – Jalankan pemindaian harian akun hosting untuk situs WordPress lama yang memungkinkan penyerang menyusup ke server. Satu situs WordPress usang dengan kerentanan dapat memungkinkan penyerang untuk berkompromi dengan semua situs lain di akun hosting yang sama.
- Pembaruan Otomatis Jika Memperbaiki Kerentanan – Opsi ini bekerja bersama-sama dengan iThemes Security Pro Site Scan untuk memeriksa situs web Anda untuk mengetahui kerentanan WordPress, plugin, dan tema dan menerapkan tambalan saat tersedia.
Sekarang mari kita lihat lebih dekat dalam mengonfigurasi pembaruan plugin dan tema. Sebelum kita mulai, saya ingin memberikan pengingat singkat bahwa mengaktifkan pengaturan pembaruan plugin dan tema akan menonaktifkan fitur pembaruan otomatis WordPress untuk mencegah konflik.
Pengaturan Pembaruan Plugin dan Tema memiliki tiga pilihan.
- Kosong/Tidak Ada – Membiarkan pengaturan kosong akan memungkinkan WordPress mengelola pembaruan plugin dan tema.
- Kustom – Opsi Kustom memungkinkan Anda untuk menyesuaikan pembaruan secara tepat sesuai keinginan Anda. Kami akan membahas ini lebih lanjut hanya sedikit.
- Semua – Semua akan memperbarui semua plugin atau tema Anda segera setelah pembaruan tersedia.
Sekarang mari kita lihat lebih dekat opsi Custom .
Memilih opsi Kustom menyediakan tiga pilihan berbeda untuk plugin dan pembaruan tema Anda.
- Aktifkan – Pilih plugin mana yang ingin Anda perbarui segera setelah rilis baru.
- Nonaktifkan – Gunakan opsi ini untuk plugin yang ingin Anda perbarui secara manual.
- Penundaan – Opsi penundaan memungkinkan Anda untuk mengatur jumlah hari yang Anda inginkan untuk menunda pembaruan rilis. Ini bisa menjadi pilihan yang baik untuk pengembang yang cenderung membutuhkan beberapa rilis lanjutan untuk memperbaiki masalah setelah rilis besar.
Dapatkan iThemes Security Pro Hari Ini
iThemes Security Pro, plugin keamanan WordPress kami, menawarkan 50+ cara untuk mengamankan dan melindungi situs web Anda dari kerentanan keamanan WordPress yang umum. Dengan WordPress, otentikasi dua faktor, perlindungan brute force, penegakan kata sandi yang kuat, dan banyak lagi, Anda dapat menambahkan lapisan keamanan ekstra ke situs web Anda.
Dapatkan iThemes Security Pro
Setiap minggu, Michael menyusun Laporan Kerentanan WordPress untuk membantu menjaga situs Anda tetap aman. Sebagai Manajer Produk di iThemes, dia membantu kami terus meningkatkan jajaran produk iThemes. Dia kutu buku raksasa & suka belajar tentang semua hal teknologi, lama & baru. Anda dapat menemukan Michael bergaul dengan istri & putrinya, membaca atau mendengarkan musik saat tidak bekerja.
