Laporan Kerentanan WordPress: Oktober 2021, Bagian 1

Diterbitkan: 2021-10-06

Plugin dan tema yang rentan adalah alasan # 1 situs web WordPress diretas. Laporan Kerentanan WordPress mingguan yang didukung oleh WPScan mencakup plugin, tema, dan kerentanan inti WordPress terbaru, dan apa yang harus dilakukan jika Anda menjalankan salah satu plugin atau tema yang rentan di situs web Anda.

Setiap kerentanan akan memiliki tingkat keparahan Rendah , Sedang , Tinggi , atau Kritis . Pengungkapan dan pelaporan kerentanan yang bertanggung jawab merupakan bagian integral dari menjaga keamanan komunitas WordPress.

Silakan bagikan posting ini dengan teman-teman Anda untuk membantu menyebarkan berita dan membuat WordPress lebih aman untuk semua orang.

Isi Laporan 6 Oktober 2021
    Ingin laporan ini dikirim ke kotak masuk Anda setiap minggu?
    Berlangganan email mingguan

    Kerentanan Inti WordPress

    Versi terbaru dari inti WordPress adalah 5.8.1 dirilis sebagai rilis keamanan dan pemeliharaan. Sebagai praktik terbaik, selalu pastikan untuk menjalankan inti WordPress versi terbaru!

    Kerentanan Plugin WordPress

    Di bagian ini, kerentanan plugin WordPress terbaru telah diungkapkan. Setiap daftar plugin menyertakan jenis kerentanan, nomor versi jika ditambal, dan peringkat keparahan.

    1. Alat WP DSGVO

    Plugin: Alat WP DSGVO
    Kerentanan : Pembaruan Pengaturan Plugin yang Tidak Diautentikasi ke Skrip Lintas Situs yang Disimpan
    Ditambal dalam Versi : 3.1.24 – plugin ditutup
    Skor Keparahan : Tinggi

    Kerentanan ini telah ditambal, tetapi plugin telah ditutup. Anda harus mencari pengganti secepatnya.

    2. Kutipan Hebat

    Plugin: Kutipan Hebat
    Kerentanan : Admin+ Skrip Lintas Situs Tersimpan
    Ditambal dalam Versi : Tidak ada perbaikan yang diketahui – plugin ditutup
    Skor Keparahan : Rendah

    Kerentanan ini BELUM ditambal. Copot pemasangan dan hapus plugin hingga patch dirilis.

    3. Debug WP

    Plugin: Debugging WP
    Kerentanan : Pembaruan Pengaturan Plugin yang Tidak Diautentikasi
    Ditambal dalam Versi : 2.11.0
    Skor Keparahan : Sedang

    Kerentanan telah ditambal, jadi Anda harus memperbarui ke versi 2.11.0.

    4. Periksa & Masuk Email

    Plugin: Periksa & Masuk Email
    Kerentanan : Admin+ Suntikan SQL
    Ditambal dalam Versi : 1.0.3
    Skor Keparahan : Sedang

    Kerentanan telah ditambal, jadi Anda harus memperbarui ke versi 1.0.3.

    5. Permalink Manager Lite

    Plugin: Permalink Manager Lite
    Kerentanan : Admin+ SQL Injection
    Ditambal dalam Versi : 2.2.13.1
    Skor Keparahan : Sedang

    Kerentanan telah ditambal, jadi Anda harus memperbarui ke versi 2.2.13.1.

    6. Tabel Produk WooCommerce Lite

    Plugin: Tabel Produk WooCommerce Lite
    Kerentanan : Skrip Lintas Situs Tercermin
    Ditambal dalam Versi : 2.4.0
    Skor Keparahan : Sedang

    Kerentanan telah ditambal, jadi Anda harus memperbarui ke versi 2.4.0.

    7. Pembuat Tabel WP

    Plugin: Pembuat Tabel WP
    Kerentanan : Skrip Lintas Situs Tercermin
    Ditambal dalam Versi : 1.3.10
    Skor Keparahan : Tinggi

    Kerentanan telah ditambal, jadi Anda harus memperbarui ke versi 1.3.10.

    8. Pembuat Formulir Visual

    Plugin: Pembuat Formulir Visual
    Kerentanan : Admin+ Skrip Lintas Situs Tersimpan
    Ditambal dalam Versi : 3.0.4
    Skor Keparahan : Rendah

    Kerentanan telah ditambal, jadi Anda harus memperbarui ke versi 3.0.4.

    9. NinjaForm

    Plugin: NinjaForms
    Kerentanan: Admin+ Skrip Lintas Situs Tersimpan
    Ditambal dalam Versi : 3.5.8.2
    Skor Keparahan : Rendah

    Kerentanan telah ditambal, jadi Anda harus memperbarui ke versi 3.5.8.2.

    10. Janji Temu

    Plugin: Wappointment
    Kerentanan : Pembuatan Skrip Lintas Situs yang Tidak Diautentikasi
    Ditambal dalam Versi : 2.2.5
    Skor Keparahan : Tinggi

    Kerentanan telah ditambal, jadi Anda harus memperbarui ke versi 2.2.5.

    11. Hitung Mundur dan Hitung Naik, Pengatur Waktu Penjualan WooCommerce

    Plugin: Countdown dan CountUp, Timer Penjualan WooCommerce
    Kerentanan : CSRF ke Skrip Lintas Situs Tersimpan
    Ditambal dalam Versi : 1.5.8
    Skor Keparahan : Tinggi

    Kerentanan telah ditambal, jadi Anda harus memperbarui ke versi 1.5.8.

    11. uDaftar

    Plugin: uListing
    Kerentanan : Pembaruan Pengaturan melalui CSRF
    Ditambal dalam Versi : 2.0.6
    Skor Keparahan : Sedang

    Kerentanan telah ditambal, jadi Anda harus memperbarui ke versi 2.0.6.

    Plugin: uListing
    Kerentanan : Injeksi SQL Tidak Diautentikasi
    Ditambal dalam Versi : 2.0.4
    Skor Keparahan : Tinggi

    Kerentanan telah ditambal, jadi Anda harus memperbarui ke versi 2.0.4.

    Plugin: uListing
    Kerentanan : Eskalasi Hak Istimewa yang Tidak Diautentikasi
    Ditambal dalam Versi : 2.0.6
    Skor Keparahan : Sedang

    Kerentanan telah ditambal, jadi Anda harus memperbarui ke versi 2.0.6.

    Plugin: uListing
    Kerentanan : Ubah Peran Pengguna melalui CSRF
    Ditambal dalam Versi : 2.0.6
    Skor Keparahan : Sedang

    Kerentanan telah ditambal, jadi Anda harus memperbarui ke versi 2.0.6.

    Plugin: uListing
    Kerentanan : Beberapa CSRF
    Ditambal dalam Versi : 2.0.6
    Skor Keparahan : Sedang

    Kerentanan telah ditambal, jadi Anda harus memperbarui ke versi 2.0.6.

    Plugin: uListing
    Kerentanan : Skrip Lintas Situs Tercermin
    Ditambal dalam Versi : 2.0.6
    Skor Keparahan : Sedang

    Kerentanan telah ditambal, jadi Anda harus memperbarui ke versi 2.0.6.

    Plugin: uListing
    Kerentanan : IDOR Terautentikasi
    Ditambal dalam Versi : 2.0.6
    Skor Keparahan : Sedang

    Kerentanan telah ditambal, jadi Anda harus memperbarui ke versi 2.0.6.

    12. Mode Pemeliharaan YITH

    Plugin: Mode Pemeliharaan YITH
    Kerentanan : Beberapa Admin + Skrip Lintas Situs Tersimpan
    Ditambal dalam Versi : 1.4.0
    Skor Keparahan : Rendah

    Kerentanan telah ditambal, jadi Anda harus memperbarui ke versi 1.4.0.

    Plugin: Mode Pemeliharaan YITH
    Kerentanan : Admin+ Skrip Lintas Situs Tersimpan
    Ditambal dalam Versi : 1.3.8
    Skor Keparahan : Rendah

    Kerentanan telah ditambal, jadi Anda harus memperbarui ke versi 1.3.8.

    13. Formulir Kontak WordPress oleh Cimatti

    Plugin: Formulir Kontak WordPress oleh Cimatti
    Kerentanan : Admin+ Skrip Lintas Situs Tersimpan
    Ditambal dalam Versi : 1.4.12
    Skor Keparahan : Rendah

    Kerentanan telah ditambal, jadi Anda harus memperbarui ke versi 1.4.12.

    14. Tag OG

    Plugin: Tag OG
    Kerentanan : Pembaruan Pengaturan Plugin melalui CSRF
    Ditambal dalam Versi : 2.0.2
    Skor Keparahan : Sedang

    Kerentanan telah ditambal, jadi Anda harus memperbarui ke versi 2.0.2.

    15. Direktori Bisnis Koneksi

    Plugin: Direktori Bisnis Koneksi
    Kerentanan : Admin+ Skrip Lintas Situs Tersimpan
    Ditambal dalam Versi : 10.4.3
    Skor Keparahan : Rendah

    Kerentanan telah ditambal, jadi Anda harus memperbarui ke versi 10.4.3.

    16. Pemuat Datar

    Plugin: Flat Preloader
    Kerentanan : Admin+ Skrip Lintas Situs Tersimpan
    Ditambal dalam Versi : 1.5.5
    Skor Keparahan : Sedang

    Kerentanan telah ditambal, jadi Anda harus memperbarui ke versi 1.5.5.

    Plugin: Flat Preloader
    Kerentanan : CSRF ke Skrip Lintas Situs Tersimpan
    Ditambal dalam Versi : 1.54
    Skor Keparahan : Tinggi

    Kerentanan telah ditambal, jadi Anda harus memperbarui ke versi 1.5.4.

    17. Awan Tag Keren

    Plugin: Awan Tag Keren
    Kerentanan : Kontributor+ Skrip Lintas Situs Tersimpan
    Ditambal dalam Versi : 2.26
    Skor Keparahan : Sedang

    Kerentanan telah ditambal, jadi Anda harus memperbarui ke versi 2.26.

    18. di bawah Konstruksi

    Plugin: di bawah Konstruksi
    Kerentanan : Skrip Lintas Situs Tercermin
    Ditambal dalam Versi : 1.19
    Skor Keparahan : Tinggi

    Kerentanan telah ditambal, jadi Anda harus memperbarui ke versi 1.19.

    19. Menu Restoran oleh MotoPress

    Plugin: Menu Restoran oleh MotoPress
    Kerentanan : Pembuatan Skrip Lintas Situs Tersimpan yang Diautentikasi
    Ditambal dalam Versi : Tidak ada perbaikan yang diketahui – plugin ditutup
    Skor Keparahan : Rendah

    Kerentanan ini BELUM ditambal. Plugin ini telah ditutup pada 20 September 2021. Copot pemasangan dan hapus.

    20. AutomatorWP

    Plugin: AutomatorWP
    Kerentanan : Tidak Ada Otorisasi dan Peningkatan Hak Istimewa
    Ditambal dalam Versi : 1.7.6
    Skor Keparahan : Sedang

    Kerentanan telah ditambal, jadi Anda harus memperbarui ke versi 1.7.6.

    21. WP Reaksi Lite

    Plugin: WP Reaksi Lite
    Kerentanan : Pembuatan Skrip Lintas Situs Tersimpan yang Diautentikasi
    Ditambal dalam Versi : 1.3.6
    Skor Keparahan : Rendah

    Kerentanan telah ditambal, jadi Anda harus memperbarui ke versi 1.3.6.

    22. Daftar Harga Bergaya

    Plugin: Daftar Harga Bergaya
    Kerentanan : Pelanggan+ Unggahan Gambar Sewenang-wenang
    Ditambal dalam Versi : 6.9.1
    Skor Keparahan : Sedang

    Kerentanan telah ditambal, jadi Anda harus memperbarui ke versi 6.9.1.

    Plugin: Daftar Harga Bergaya
    Kerentanan : Unggahan Gambar Sewenang-wenang yang Tidak Diautentikasi
    Ditambal dalam Versi : 6.9.0
    Skor Keparahan : Sedang

    Kerentanan telah ditambal, jadi Anda harus memperbarui ke versi 6.9.0.

    23 Ikon Sosial Mudah

    Plugin: Ikon Sosial Mudah
    Kerentanan : Skrip Lintas Situs Tercermin
    Ditambal dalam Versi : 3.0.9
    Skor Keparahan : Tinggi

    Kerentanan telah ditambal, jadi Anda harus memperbarui ke versi 3.0.9.

    Plugin: Ikon Sosial Mudah
    Kerentanan : Skrip Lintas Situs Tercermin
    Ditambal dalam Versi : 3.1.3
    Skor Keparahan : Tinggi

    Kerentanan telah ditambal, jadi Anda harus memperbarui ke versi 3.1.3.

    24. Pengambil Umpan RSS WPeMatico

    Plugin: Pengambil Umpan RSS WPeMatico
    Kerentanan : Admin+ Skrip Lintas Situs Tersimpan
    Ditambal dalam Versi : 2.6.12
    Skor Keparahan : Rendah

    Kerentanan telah ditambal, jadi Anda harus memperbarui ke versi 2.6.12.

    25. Pengelola Unduhan WordPress

    Plugin: Pengelola Unduhan WordPress
    Kerentanan : Admin+ Skrip Lintas Situs Tersimpan
    Ditambal dalam Versi : 3.2.16
    Skor Keparahan : Rendah

    Kerentanan telah ditambal, jadi Anda harus memperbarui ke versi 3.2.16.

    26. Kalender Acara Modern Lite

    Plugin: Kalender Acara Modern Lite
    Kerentanan : Pembuatan Skrip Lintas Situs Tersimpan yang Diautentikasi
    Ditambal dalam Versi : 5.22.3
    Skor Keparahan : Rendah

    Kerentanan telah ditambal, jadi Anda harus memperbarui ke versi 5.22.3.

    27. Credova_Financial

    Plugin: Credova_Financial
    Kerentanan : Keterbukaan Informasi Sensitif
    Ditambal dalam Versi : 1.4.9
    Skor Keparahan : Sedang

    Kerentanan telah ditambal, jadi Anda harus memperbarui ke versi 1.4.9.

    28. Manajer Pekerjaan JS

    Plugin: Manajer Pekerjaan JS
    Kerentanan : Instalasi/Aktivasi Plugin Sewenang-wenang yang Tidak Diautentikasi
    Ditambal dalam Versi : Tidak ada perbaikan yang diketahui – plugin ditutup
    Skor Keparahan : Kritis

    Kerentanan ini BELUM ditambal. Plugin ini telah ditutup pada 30 September 2021. Copot pemasangan dan hapus.

    29. Acara Menjadi Mudah

    Plugin: Acara Menjadi Mudah
    Kerentanan : Multi CSRF ke Skrip Lintas Situs Tersimpan & Penghapusan Acara
    Ditambal dalam Versi : 1.5.50
    Skor Keparahan : Tinggi

    Kerentanan telah ditambal, jadi Anda harus memperbarui ke versi 1.5.50.

    30. Garis Untuk WooCommerce

    Plugin: Stripe Untuk WooCommerce
    Kerentanan : Tidak Ada Kontrol Otorisasi terhadap Pembajakan Akun Keuangan
    Ditambal dalam Versi : 3.3.10
    Skor Keparahan : Sedang

    Kerentanan telah ditambal, jadi Anda harus memperbarui ke versi 3.3.10.

    Cara Melindungi Situs WordPress Anda Dari Plugin dan Tema yang Rentan

    Seperti yang Anda lihat dari laporan ini, banyak plugin WordPress baru dan kerentanan tema diungkapkan setiap minggu. Kami tahu mungkin sulit untuk tetap mengetahui setiap pengungkapan kerentanan yang dilaporkan, jadi plugin iThemes Security Pro memudahkan untuk memastikan situs Anda tidak menjalankan tema, plugin, atau versi inti WordPress dengan kerentanan yang diketahui.

    1. Nyalakan Pemindai Situs Pro Keamanan iThemes

    Pemindai Situs plugin iThemes Security Pro memindai alasan #1 mengapa situs WordPress diretas: plugin dan tema usang dengan kerentanan yang diketahui. Pemindai Situs memeriksa kerentanan yang diketahui di situs Anda dan secara otomatis menerapkan tambalan jika tersedia.

    Untuk mengaktifkan Pemindaian Situs pada pemasangan baru, navigasikan ke tab Pemeriksaan Situs pada menu Fitur di dalam plugin dan klik sakelar untuk mengaktifkan Pemindaian Situs .

    Gambar ini memiliki atribut alt kosong; nama filenya adalah enable-site-scan-1-1024x519.png

    Untuk memicu Pemindaian Situs manual, klik tombol Pindai Sekarang pada kartu Dasbor Keamanan Pemindaian Situs.

    Gambar ini memiliki atribut alt kosong; nama filenya adalah Site-Scans-Security-Card.png

    Jika Pemindaian Situs mendeteksi kerentanan, klik tautan kerentanan untuk melihat halaman detail.

    Gambar ini memiliki atribut alt kosong; nama filenya adalah vulnerabilities-details-page-1024x580.png

    Pada halaman kerentanan Pemindaian Situs, Anda akan melihat apakah ada perbaikan yang tersedia untuk kerentanan. Jika ada tambalan yang tersedia, Anda dapat mengklik tombol Perbarui Plugin untuk menerapkan perbaikan di situs web Anda.

    2. Aktifkan Manajemen Versi ke Pembaruan Otomatis jika Memperbaiki Kerentanan

    Fitur Manajemen Versi di iThemes Security Pro terintegrasi dengan Pemindaian Situs untuk melindungi situs Anda saat perangkat lunak usang tidak diperbarui dengan cukup cepat. Bahkan tindakan keamanan terkuat pun akan gagal jika Anda menjalankan perangkat lunak yang rentan di situs web Anda. Pengaturan ini membantu melindungi situs Anda dengan opsi untuk memperbarui ke versi baru secara otomatis jika ada kerentanan yang diketahui dan tambalan tersedia.

    Dari halaman Pengaturan di iThemes Security Pro, navigasikan ke layar Fitur. Klik tab Periksa Situs. Dari sini, gunakan sakelar untuk mengaktifkan Manajemen Versi. Dengan menggunakan roda gigi pengaturan, Anda dapat mengonfigurasi lebih banyak pengaturan, termasuk bagaimana Anda ingin iThemes Security Pro menangani pembaruan WordPress, plugin, tema, dan perlindungan tambahan.

    Pastikan untuk memilih Pembaruan Otomatis jika itu Memperbaiki kotak Kerentanan sehingga iThemes Security Pro akan secara otomatis memperbarui plugin atau tema jika memperbaiki kerentanan yang ditemukan oleh Pemindai Situs.

    Manajemen versi iThemes Security Pro

    3. Dapatkan Peringatan Email Saat iThemes Security Pro Menemukan Kerentanan yang Diketahui Di Situs Anda

    Setelah Anda mengaktifkan Penjadwalan Pemindaian Situs, buka pengaturan Pusat Pemberitahuan dari plugin. Pada layar ini, gulir ke bagian Hasil Pemindaian Situs .

    Gambar ini memiliki atribut alt kosong; nama filenya adalah site-scan-results-1024x550.jpg

    Klik kotak untuk mengaktifkan email notifikasi dan kemudian klik tombol Simpan Pengaturan .

    Sekarang, selama pemindaian situs terjadwal, Anda akan mendapatkan email jika iThemes Security Pro menemukan kerentanan yang diketahui. Email akan terlihat seperti ini.

    situs-scan-hasil

    Dapatkan iThemes Security Pro dan Istirahatlah Sedikit Lebih Mudah Malam Ini

    iThemes Security Pro, plugin keamanan WordPress kami, menawarkan 50+ cara untuk mengamankan dan melindungi situs web Anda dari kerentanan keamanan WordPress yang umum. Dengan WordPress, otentikasi dua faktor, perlindungan brute force, penegakan kata sandi yang kuat, dan banyak lagi, Anda dapat menambahkan lapisan keamanan ekstra ke situs web Anda.

    • Pemindai situs untuk kerentanan plugin dan tema
    • Dasbor keamanan situs web waktu nyata
    • Deteksi perubahan file
    • Log keamanan WordPress
    • Perangkat tepercaya
    • reCAPTCHA
    • Perlindungan kekerasan
    • Otentikasi dua faktor
    • Tautan masuk ajaib
    • Peningkatan hak istimewa
    • Pemeriksaan & penolakan kata sandi yang disusupi

    Dapatkan iThemes Security Pro