Laporan Kerentanan WordPress: Mei 2021, Bagian 4

Diterbitkan: 2021-05-27

Plugin dan tema yang rentan adalah alasan # 1 situs web WordPress diretas. Laporan Kerentanan WordPress mingguan yang didukung oleh WPScan mencakup plugin, tema, dan kerentanan inti WordPress terbaru, dan apa yang harus dilakukan jika Anda menjalankan salah satu plugin atau tema yang rentan di situs web Anda.

Setiap kerentanan akan memiliki tingkat keparahan Rendah , Sedang , Tinggi , atau Kritis . Pengungkapan dan pelaporan kerentanan yang bertanggung jawab merupakan bagian integral dari menjaga keamanan komunitas WordPress. Silakan bagikan posting ini dengan teman-teman Anda untuk membantu menyebarkan berita dan membuat WordPress lebih aman untuk semua orang.

Dalam Laporan Bagian 4 Mei
    Mendaftar untuk buletin Berita & Pembaruan Keamanan WordPress mingguan
    Berlangganan sekarang

    Kerentanan Inti WordPress

    Bulan ini menghadirkan rilis keamanan WordPress 5.7.2 dengan satu masalah keamanan yang memengaruhi versi WordPress antara 3.7 dan 5.7. Jika Anda belum memperbarui ke 5.7, semua versi WordPress sejak 3.7 juga telah diperbarui untuk memperbaiki Object Injection di masalah keamanan PHPMailer.

    1. Rilis Keamanan WordPress 5.7.2

    Kerentanan : Injeksi Objek di PHPMailer
    Ditambal dalam Versi : 5.7.2
    Skor Keparahan : Sedang

    Kerentanan telah ditambal, jadi Anda harus memperbarui semua situs Anda hari ini ke WordPress 5.7.2.

    Kerentanan Plugin WordPress

    1. Pembuat Corong oleh CartFlows

    Plugin: Pembuat Corong oleh CartFlows
    Kerentanan : Skrip Lintas Situs Tersimpan yang Diautentikasi
    Ditambal dalam Versi : 1.6.13
    Keparahan : Sedang

    Kerentanan telah ditambal, jadi Anda harus memperbarui ke versi 1.6.13+.

    2. Tombol Gulir Halaman Atas/Bawah yang Halus

    Plugin: Tombol Halaman Atas/Bawah Gulir Halus
    Kerentanan : Skrip Lintas Situs Tersimpan yang Diautentikasi
    Ditambal dalam Versi : 1.4
    Skor Keparahan : Sedang

    Kerentanan telah ditambal, jadi Anda harus memperbarui ke versi 1.4+.

    3. Plugin WordPress Gambar Instan

    Plugin: Plugin WordPress Gambar Instan
    Kerentanan : Skrip & XFS Lintas Situs Tersimpan yang Diautentikasi
    Ditambal dalam Versi : 4.4.0.1
    Skor Keparahan : Sedang

    Kerentanan telah ditambal, jadi Anda harus memperbarui ke versi 4.4.0.1+.

    4. Pendaftaran CM Pro

    Plugin: Pendaftaran CM Pro
    Kerentanan : Injeksi Objek PHP
    Ditambal dalam Versi : 3.2.1
    Skor Keparahan : Sedang

    Kerentanan telah ditambal, jadi Anda harus memperbarui ke versi 3.2.1+.

    5. Doa WP

    Plugin: WP Doa
    Kerentanan : Skrip Lintas Situs Tersimpan yang Diautentikasi
    Ditambal dalam Versi : 1.6.2
    Skor Keparahan : Tinggi

    Kerentanan telah ditambal, jadi Anda harus memperbarui ke versi 1.6.2+.

    6. Statistik WP

    Plugin: Statistik WP
    Kerentanan : Injeksi SQL Tidak Diautentikasi
    Ditambal dalam Versi : 13.0.8
    Skor Keparahan : Tinggi

    Kerentanan telah ditambal, jadi Anda harus memperbarui ke versi 13.0.8+.

    7. Log Penerbangan

    Plugin: FlightLog
    Kerentanan : Injeksi SQL Terotentikasi
    Ditambal dalam Versi : Tidak ada perbaikan yang diketahui
    Skor Keparahan : Tinggi

    Kerentanan ini BELUM ditambal. Copot pemasangan dan hapus plugin hingga patch dirilis.

    8. Penyematan Video

    Plugin: FlightLog
    Kerentanan : Injeksi SQL Terotentikasi
    Ditambal dalam Versi : Tidak ada perbaikan yang diketahui
    Skor Keparahan : Tinggi

    Kerentanan ini BELUM ditambal. Copot pemasangan dan hapus plugin hingga patch dirilis.

    Kerentanan Tema WordPress

    1. Layanan Perbaikan Mobil

    Tema: Layanan Perbaikan Mobil
    Kerentanan : Skrip Lintas Situs & XFS yang Tercermin Tidak Diautentikasi
    Ditambal dalam Versi : 4.0
    Skor Keparahan : Tinggi

    Kerentanan telah ditambal, jadi Anda harus memperbarui ke versi 4.0+.

    Catatan tentang Pengungkapan yang Bertanggung Jawab

    Anda mungkin bertanya-tanya mengapa kerentanan akan diungkapkan jika itu memberi peretas eksploitasi untuk menyerang. Yah, sangat umum bagi peneliti keamanan untuk menemukan dan secara pribadi melaporkan kerentanan kepada pengembang perangkat lunak.

    Dengan pengungkapan yang bertanggung jawab , laporan awal peneliti dibuat secara pribadi kepada pengembang perusahaan yang memiliki perangkat lunak, tetapi dengan kesepakatan bahwa rincian lengkapnya akan dipublikasikan setelah patch tersedia. Untuk kerentanan keamanan yang signifikan, mungkin ada sedikit keterlambatan dalam mengungkapkan kerentanan untuk memberi lebih banyak waktu bagi orang untuk menambal.

    Peneliti keamanan dapat memberikan tenggat waktu bagi pengembang perangkat lunak untuk menanggapi laporan atau memberikan tambalan. Jika tenggat waktu ini tidak terpenuhi, maka peneliti dapat mengungkapkan kerentanan secara terbuka untuk memberi tekanan pada pengembang untuk mengeluarkan tambalan.

    Mengungkapkan kerentanan secara publik dan tampaknya memperkenalkan kerentanan Zero-Day – jenis kerentanan yang tidak memiliki patch dan sedang dieksploitasi di alam liar – mungkin tampak kontraproduktif. Tapi, itu adalah satu-satunya pengaruh yang dimiliki peneliti untuk menekan pengembang untuk menambal kerentanan.

    Jika seorang peretas menemukan kerentanan, mereka dapat diam-diam menggunakan Eksploitasi dan menyebabkan kerusakan pada pengguna akhir (ini adalah Anda), sementara pengembang perangkat lunak tetap puas dengan membiarkan kerentanan tidak ditambal. Project Zero Google memiliki pedoman serupa dalam hal mengungkapkan kerentanan. Mereka mempublikasikan rincian lengkap kerentanan setelah 90 hari apakah kerentanan telah ditambal atau tidak.

    Cara Melindungi Situs WordPress Anda Dari Plugin dan Tema yang Rentan

    Pemindai Situs plugin iThemes Security Pro adalah cara yang bagus untuk mengamankan dan melindungi situs WordPress Anda dari penyebab #1 semua peretasan perangkat lunak: plugin dan tema usang dengan kerentanan yang diketahui.

    Pemindai Situs memeriksa kerentanan yang diketahui di situs Anda dan secara otomatis menerapkan tambalan jika tersedia.

    3 Jenis Kerentanan WordPress Diperiksa oleh iThemes Security Pro

    1. Kerentanan WordPress
    2. Kerentanan Plugin
    3. Kerentanan Tema

    Untuk mengaktifkan Pemindaian Situs pada pemasangan baru, navigasikan ke pengaturan iThemes Security Pro dan klik tombol Aktifkan pada modul pengaturan Pemindaian Situs .

    Untuk memicu Pemindaian Situs manual, klik tombol Pindai Sekarang pada Widget Pemindaian Situs yang terletak di bilah sisi kanan pengaturan keamanan.

    Hasil Pemindaian Situs akan ditampilkan di widget.

    Jika Pemindaian Situs mendeteksi kerentanan, klik tautan kerentanan untuk melihat halaman detail.

    Pada halaman kerentanan Pemindaian Situs, Anda akan melihat apakah ada perbaikan yang tersedia untuk kerentanan. Jika ada tambalan yang tersedia, Anda dapat mengklik tombol Perbarui Plugin untuk menerapkan perbaikan di situs web Anda.

    Mungkin ada penundaan antara saat tambalan tersedia dan Basis Data Kerentanan Keamanan iThemes diperbarui untuk mencerminkan perbaikan. Dalam hal ini, Anda dapat membisukan notifikasi agar tidak menerima peringatan lagi terkait kerentanan.

    Penting: Anda tidak boleh membisukan pemberitahuan kerentanan hingga Anda mengonfirmasi bahwa versi saat ini menyertakan perbaikan keamanan, atau kerentanan tidak memengaruhi situs Anda.

    iThemes Security Pro, plugin keamanan WordPress kami, menawarkan 50+ cara untuk mengamankan dan melindungi situs web Anda dari kerentanan keamanan WordPress yang umum. Dengan WordPress, otentikasi dua faktor, perlindungan brute force, penegakan kata sandi yang kuat, dan banyak lagi, Anda dapat menambahkan lapisan keamanan ekstra ke situs web Anda.

    Dapatkan iThemes Security Pro

    Mengejar Laporan Kerentanan WordPress Sebelumnya untuk Mei 2021

    Ketinggalan laporan? Berikut adalah laporan untuk Mei 2021.

    • Mei 2021 Bagian 3
    • Mei 2021 Bagian 2
    • Mei 2021 Bagian 1
    Laporan kerentanan WordPress