Laporan Kerentanan WordPress: Oktober 2021, Bagian 2
Diterbitkan: 2021-10-13Plugin dan tema yang rentan adalah alasan #1 mengapa situs web WordPress diretas. Laporan Kerentanan WordPress mingguan yang didukung oleh WPScan mencakup plugin, tema, dan kerentanan inti WordPress terbaru, dan apa yang harus dilakukan jika Anda menjalankan salah satu plugin atau tema yang rentan di situs web Anda.
Setiap kerentanan akan memiliki tingkat keparahan Rendah , Sedang , Tinggi , atau Kritis . Pengungkapan dan pelaporan kerentanan yang bertanggung jawab merupakan bagian integral dari menjaga keamanan komunitas WordPress.
Silakan bagikan posting ini dengan teman-teman Anda untuk membantu menyebarkan berita dan membuat WordPress lebih aman untuk semua orang.
Kerentanan Inti WordPress
Versi terbaru dari inti WordPress adalah 5.8.1 dirilis sebagai rilis keamanan dan pemeliharaan. Sebagai praktik terbaik, selalu pastikan untuk menjalankan inti WordPress versi terbaru!
Kerentanan Plugin WordPress
Di bagian ini, kerentanan plugin WordPress terbaru telah diungkapkan. Setiap daftar plugin menyertakan jenis kerentanan, nomor versi jika ditambal, dan peringkat keparahan.
1. Tombol Beli Sekarang PayPal Mudah
Plugin: Tombol Beli Sekarang PayPal Mudah
Kerentanan : CSRF ke Skrip Lintas Situs Tersimpan
Ditambal dalam Versi : 1.7.3
Skor Keparahan : Tinggi
2. Acara Menjadi Mudah
Plugin: Acara Menjadi Mudah
Kerentanan : Admin+ Skrip Lintas Situs Tersimpan
Ditambal dalam Versi : 2.2.24
Skor Keparahan : Rendah
3. Pesan BP Lebih Baik
Plugin: Pesan BP Lebih Baik
Kerentanan : Skrip Lintas Situs Tercermin
Ditambal dalam Versi : 1.9.9.41
Skor Keparahan : Tinggi
Plugin: Pesan BP Lebih Baik
Kerentanan : Beberapa CSRF
Ditambal dalam Versi : 1.9.9.41
Skor Keparahan : Sedang
4. Pembuat Tema
Plugin: Pembuat Themify
Kerentanan : Skrip Lintas Situs Tercermin
Ditambal dalam Versi : 5.3.2
Skor Keparahan : Tinggi
5. Tajuk Kedaluwarsa Jauh Masa Depan
Plugin: Tajuk Kedaluwarsa Jauh Masa Depan
Kerentanan : Pembaruan Pengaturan Plugin melalui CSRF
Ditambal dalam Versi : 1.5
Skor Keparahan : Sedang
6. Kontrol Sumber Gambar
Plugin: Kontrol Sumber Gambar
Kerentanan : Kontributor + Perubahan Nilai Meta Posting Sewenang-wenang
Ditambal dalam Versi : 2.3.1
Skor Keparahan : Sedang
7. Penggeser Logo dan Etalase
Plugin: Penggeser Logo dan Etalase
Kerentanan : Pembaruan Pengaturan Plugin Editor
Ditambal dalam Versi : 1.3.37
Skor Keparahan : Rendah
8. Gerbang Pembayaran Cardinity untuk WooCommerce
Plugin: Gerbang Pembayaran Cardinity untuk WooCommerce
Kerentanan : Skrip Lintas Situs Tercermin
Ditambal dalam Versi : 3.0.7
Skor Keparahan : Tinggi
9. Pemutar Audio MP3 untuk Musik, Radio & Podcast oleh Sonaar
Plugin: Pemutar Audio MP3 untuk Musik, Radio & Podcast oleh Sonaar
Kerentanan : Beberapa Admin+ Skrip Lintas Situs
Ditambal dalam Versi : 2.4.2
Skor Keparahan : Rendah
10. Donasi Paypal
Plugin: Donasi Paypal
Kerentanan : CSRF hingga Penghapusan Postingan Sewenang-wenang
Ditambal dalam Versi : 1.3.1
Skor Keparahan : Sedang
Plugin: Donasi Paypal
Kerentanan : CSRF ke Skrip Lintas Situs Tersimpan
Ditambal dalam Versi : 1.3.1
Skor Keparahan : Tinggi
11. Segera Hadir, Dalam Mode Konstruksi & Pemeliharaan Oleh Dazzler
Plugin: Segera Hadir, Dalam Mode Konstruksi & Pemeliharaan Oleh Dazzler
Kerentanan : Admin+ Skrip Lintas Situs Tersimpan
Ditambal dalam Versi : 1.6.7
Skor Keparahan : Rendah
12. Terjemahkan WordPress – Penerjemah Bahasa Google
Plugin: Terjemahkan WordPress – Penerjemah Bahasa Google
Kerentanan : Admin+ Skrip Lintas Situs Tersimpan
Ditambal dalam Versi : 6.0.12
Skor Keparahan : Rendah
13. Pembantu Produk Booking.com
Plugin: Pembantu Produk Booking.com
Kerentanan : Admin+ Skrip Lintas Situs Tersimpan
Ditambal dalam Versi : Tidak ada perbaikan yang diketahui – plugin ditutup
Skor Keparahan : Rendah
14. Pembuat Banner Booking.com
Plugin: Pembuat Banner Booking.com
Kerentanan : Admin+ Skrip Lintas Situs Tersimpan
Ditambal dalam Versi : Tidak ada perbaikan yang diketahui – plugin ditutup
Skor Keparahan : Rendah
15. Monitor Unduhan Sederhana
Plugin: Monitor Unduhan Sederhana
Kerentanan : Reset Log Tidak Sah
Ditambal dalam Versi : 3.9.6
Skor Keparahan : Sedang
Plugin: Monitor Unduhan Sederhana
Kerentanan : Penghapusan Thumbnail Sewenang-wenang
Ditambal dalam Versi : 3.9.6
Skor Keparahan : Sedang
Plugin: Monitor Unduhan Sederhana
Kerentanan : Akses Log Tidak Diautentikasi
Ditambal dalam Versi : 3.9.6
Skor Keparahan : Sedang
Plugin: Monitor Unduhan Sederhana
Kerentanan : Skrip Lintas Situs Tercermin
Ditambal dalam Versi : 3.9.5
Skor Keparahan : Tinggi
Plugin: Monitor Unduhan Sederhana
Kerentanan : Kontributor+ Skrip Lintas Situs yang Disimpan melalui Thumbnail File
Ditambal dalam Versi : 3.9.5
Skor Keparahan : Tinggi
16. Obrolan Dua Arah
Plugin: Obrolan Dua Arah
Kerentanan : Beberapa CSRF
Ditambal dalam Versi : 3.1.5
Skor Keparahan : Sedang
Plugin: Obrolan Dua Arah
Kerentanan : Admin+ Penyertaan File Lokal
Ditambal dalam Versi : 3.1.5
Skor Keparahan : Rendah
17. WP-Recall
Plugin: WP-Recall
Kerentanan : Skrip Lintas Situs Tercermin
Ditambal dalam Versi : 16.24.48
Skor Keparahan : Tinggi
18. JobSearch WP Papan Pekerjaan
Plugin: JobSearch WP Job Board
Kerentanan : Pembaruan Opsi Blog Sewenang-wenang + Pelanggan
Ditambal dalam Versi : 1.8.2
Skor Keparahan : Tinggi
Plugin: JobSearch WP Job Board
Kerentanan : Pembaruan Pengaturan Plugin yang Tidak Diautentikasi
Ditambal dalam Versi : 1.8.2
Skor Keparahan : Sedang
Plugin: JobSearch WP Job Board
Kerentanan : Pelanggan+ Tambah/Perbarui Jadwal Panggilan
Ditambal dalam Versi : 1.8.2
Skor Keparahan : Sedang
19. Keranjang Belanja eCommerce TheCartPress
Plugin: Keranjang Belanja eCommerce TheCartPress
Kerentanan : CSRF ke Skrip Lintas Situs Tersimpan
Ditambal dalam Versi : Tidak ada perbaikan yang diketahui – plugin ditutup
Skor Keparahan : Tinggi
20. API MSstore
Plugin: MSstore API
Kerentanan : Unggah File PHP yang Tidak Diautentikasi
Ditambal dalam Versi : Tidak ada perbaikan yang diketahui – plugin ditutup
Skor Keparahan : Kritis
21. Pengubah Nama File Media – Ganti Nama Otomatis & Manual
Plugin: Media File Renamer – Ganti Nama Otomatis & Manual
Kerentanan : Judul Media/Nama File/Pembaruan Status Penguncian melalui CSRF
Ditambal dalam Versi : 5.2.7
Skor Keparahan : Sedang
22. Kucing Batch
Plugin: Kucing Batch
Kerentanan : Pelanggan+ Kategori Sewenang-wenang Tambah/Setel/Hapus ke Posting
Ditambal dalam Versi : Tidak ada perbaikan yang diketahui – plugin ditutup
Skor Keparahan : Sedang
23. qTerjemahkan X
Plugin: qTranslate X
Kerentanan : Beberapa Admin + Skrip Lintas Situs Tersimpan
Ditambal dalam Versi : Tidak ada perbaikan yang diketahui – plugin ditutup
Skor Keparahan : Rendah
24. Informasi Perjalanan Dunia
Plugin: Informasi Perjalanan Dunia
Kerentanan : Skrip Lintas Situs Tercermin
Ditambal dalam Versi : Tidak ada perbaikan yang diketahui – plugin ditutup
Skor Keparahan : Tinggi
25. Survei WP Plus
Plugin: WP Survey Plus
Kerentanan : Pelanggan + Panggilan AJAX
Ditambal dalam Versi : Tidak ada perbaikan yang diketahui – plugin ditutup
Skor Keparahan : Tinggi
26. Halaman Peta Situs WP
Plugin: Halaman Peta Situs WP
Kerentanan : Admin+ Skrip Lintas Situs Tersimpan
Ditambal dalam Versi : Tidak ada perbaikan yang diketahui
Skor Keparahan : Rendah
27. WP Bannerize 2.0.0
Plugin: WP Bannerize 2.0.0
Kerentanan : Injeksi SQL Terotentikasi
Ditambal dalam Versi : Tidak ada perbaikan yang diketahui – plugin ditutup
Skor Keparahan : Tinggi
28. Genie WP Favicon
Plugin: Genie WP Favicon
Kerentanan : Perubahan Favicon Sewenang-wenang melalui CSRF
Ditambal dalam Versi : Tidak ada perbaikan yang diketahui – plugin ditutup
Skor Keparahan : Sedang
29. Phoenix Media Ganti Nama
Plugin: Phoenix Media Ganti Nama
Kerentanan : Penulisan Sewenang-wenang Nama File Media
Ditambal dalam Versi : 3.4.4
Skor Keparahan : Sedang
30. Statistik Lalu Lintas Waktu Nyata Pengunjung
Plugin: Statistik Waktu Nyata Lalu Lintas Pengunjung
Kerentanan : Pelanggan+ Injeksi SQL
Ditambal dalam Versi : 3.9
Skor Keparahan : Tinggi
31. TambahkanToAny Share Buttons
Plugin: AddToAny Share Buttons
Kerentanan : Admin+ Skrip Lintas Situs Tersimpan
Ditambal dalam Versi : 1.7.48
Skor Keparahan : Rendah
32. Pembuat Formulir yang Tangguh
Plugin: Pembuat Formulir yang Tangguh
Kerentanan : Admin+ Skrip Lintas Situs Tersimpan
Ditambal dalam Versi : 5.0.07
Skor Keparahan : Rendah
33. Keamanan Anti Peluru
Plugin: Keamanan Anti Peluru
Kerentanan : Keterbukaan Informasi Sensitif
Ditambal dalam Versi : 5.2
Skor Keparahan : Sedang
34. WP Semua Ekspor
Plugin: WP Semua Ekspor
Kerentanan : Admin+ Skrip Lintas Situs Tersimpan
Ditambal dalam Versi : 1.3.1
Skor Keparahan : Rendah
35. Redirect 404 Error Page ke Homepage atau Custom Page dengan Log
Plugin: Redirect 404 Error Page ke Homepage atau Custom Page dengan Log
Kerentanan : Penghapusan Log melalui CSRF
Ditambal dalam Versi : 1.7.9
Skor Keparahan : Sedang
36. Akses Demo Importir
Plugin: Akses Demo Importir
Kerentanan : Pelanggan + Unggah File Sewenang-wenang
Ditambal dalam Versi : 1.0.7
Skor Keparahan : Tinggi
37. Unduh Monitor
Plugin: Unduh Monitor
Kerentanan : Pengunduhan Log yang Tidak Diautentikasi
Ditambal dalam Versi : 1.9.7
Skor Keparahan : Sedang
Plugin: Unduh Monitor
Kerentanan : Skrip Lintas Situs Tercermin (XSS)
Ditambal dalam Versi : 1.7.1
Skor Keparahan : Sedang
Plugin: Unduh Monitor
Kerentanan : Daftar Direktori yang Diautentikasi
Ditambal dalam Versi : 1.6.4
Skor Keparahan : Sedang
Plugin: Unduh Monitor
Kerentanan : Beberapa Skrip Lintas Situs yang Tercermin
Ditambal dalam Versi : 3.3.6.2
Skor Keparahan : Sedang
38. PopUp Tanpa Batas
Plugin: PopUp Tidak Terbatas
Kerentanan : Penulis + Injeksi SQL
Ditambal dalam Versi : Tidak ada perbaikan yang diketahui – plugin ditutup
Skor Keparahan : Tinggi
39. Schreikasten
Plugin: Schreikasten
Kerentanan : Penulis + Suntikan SQL
Ditambal dalam Versi : Tidak ada perbaikan yang diketahui – plugin ditutup
Skor Keparahan : Tinggi
40. Posting Konten XMLRPC
Plugin: Posting Konten XMLRPC
Kerentanan : Penulis + Suntikan SQL
Ditambal dalam Versi : Tidak ada perbaikan yang diketahui – plugin ditutup
Skor Keparahan : Tinggi
41. Bentuk Wow
Plugin: Bentuk Wow
Kerentanan : Penulis + Suntikan SQL
Ditambal dalam Versi : Tidak ada perbaikan yang diketahui – plugin ditutup
Skor Keparahan : Tinggi
42. Auto-Hyperlink
Plugin: G Auto-Hyperlink
Kerentanan : Penulis + Injeksi SQL
Ditambal dalam Versi : Tidak ada perbaikan yang diketahui – plugin ditutup
Skor Keparahan : Sedang
43. CSS Bunglon
Plugin: Chameleon CSS
Kerentanan : Pelanggan+ Injeksi SQL
Ditambal dalam Versi : Tidak ada perbaikan yang diketahui – plugin ditutup
Skor Keparahan : Kritis
44. Katalog Laba-laba
Plugin: SpiderCatalog
Kerentanan : Penulis + Injeksi SQL
Ditambal dalam Versi : Tidak ada perbaikan yang diketahui – plugin ditutup
Skor Keparahan : Sedang
45. Papan Pendukung
Plugin: Papan Dukungan
Kerentanan : Agen + Skrip Lintas Situs Tersimpan
Ditambal dalam Versi : 3.3.5
Skor Keparahan : Sedang
46. Gerbang Usia
Plugin: Gerbang Usia
Kerentanan : Skrip Lintas Situs Tersimpan yang Diautentikasi
Ditambal dalam Versi : 2.16.4
Skor Keparahan : Sedang
47. Posting Terkait Sebaris
Plugin: Posting Terkait Sebaris
Kerentanan : Admin+ Skrip Lintas Situs
Ditambal dalam Versi : 3.0.5
Skor Keparahan : Rendah
Cara Melindungi Situs WordPress Anda Dari Plugin dan Tema yang Rentan
Seperti yang Anda lihat dari laporan ini, banyak plugin WordPress baru dan kerentanan tema diungkapkan setiap minggu. Kami tahu mungkin sulit untuk tetap mengetahui setiap pengungkapan kerentanan yang dilaporkan, jadi plugin iThemes Security Pro memudahkan untuk memastikan situs Anda tidak menjalankan tema, plugin, atau versi inti WordPress dengan kerentanan yang diketahui.
1. Pindai Kerentanan Situs Web yang Diketahui
Plugin iThemes Security Pro memindai alasan #1 mengapa situs WordPress diretas: plugin dan tema usang dengan kerentanan yang diketahui.
2. Perbarui Otomatis ke Versi Aman
Fitur Manajemen Versi di iThemes Security Pro terintegrasi dengan Pemindaian Situs untuk melindungi situs Anda. Tema, plugin, dan versi inti WordPress yang rentan akan diperbarui secara otomatis untuk Anda.
3. Pantau Perubahan File
Kunci untuk mendeteksi pelanggaran keamanan dengan cepat adalah dengan memantau perubahan file di situs web Anda. Fitur Deteksi Perubahan File di iThemes Security Pro akan memindai file situs web Anda dan memberi tahu Anda bila terjadi perubahan pada situs web Anda.
Dapatkan iThemes Security Pro dengan Pemantauan Situs Web 24/7
iThemes Security Pro, plugin keamanan WordPress kami, menawarkan 50+ cara untuk mengamankan dan melindungi situs web Anda dari kerentanan keamanan WordPress yang umum. Dengan WordPress, otentikasi dua faktor, perlindungan brute force, penegakan kata sandi yang kuat, dan banyak lagi, Anda dapat menambahkan lapisan keamanan ekstra ke situs web Anda.