Laporan Kerentanan WordPress: September 2021, Bagian 2
Diterbitkan: 2021-09-08Plugin dan tema yang rentan adalah alasan # 1 situs web WordPress diretas. Laporan Kerentanan WordPress mingguan yang didukung oleh WPScan mencakup plugin, tema, dan kerentanan inti WordPress terbaru, dan apa yang harus dilakukan jika Anda menjalankan salah satu plugin atau tema yang rentan di situs web Anda.
Setiap kerentanan akan memiliki tingkat keparahan Rendah , Sedang , Tinggi , atau Kritis . Pengungkapan dan pelaporan kerentanan yang bertanggung jawab merupakan bagian integral dari menjaga keamanan komunitas WordPress.
Sebagai salah satu Laporan Kerentanan WordPress terbesar hingga saat ini, silakan bagikan posting ini dengan teman-teman Anda untuk membantu menyebarkan berita dan membuat WordPress lebih aman untuk semua orang.
Kerentanan Inti WordPress
Kerentanan Plugin WordPress
Di bagian ini, kerentanan plugin WordPress terbaru telah diungkapkan. Setiap daftar plugin menyertakan jenis kerentanan, nomor versi jika ditambal, dan peringkat keparahan.
1. Blok Hitung Mundur
Plugin: Blok Hitung Mundur
Kerentanan : Otorisasi Hilang dalam tindakan AJAX
Ditambal dalam Versi : 1.1.2
Skor Keparahan : Sedang
2. Log Aktivitas Pengguna
Plugin: Log Aktivitas Pengguna
Kerentanan : Skrip Lintas Situs Tercermin melalui String Kueri
Ditambal dalam Versi : 1.4.7
Skor Keparahan : Sedang
Plugin: Log Aktivitas Pengguna
Kerentanan : Skrip Lintas Situs Tercermin
Ditambal dalam Versi : 1.4.7
Skor Keparahan : Tinggi
3. Pemberitahuan & Kepatuhan Cookie untuk GDPR / CCPA
Plugin: Pemberitahuan & Kepatuhan Cookie untuk GDPR / CCPA
Kerentanan : Admin+ Skrip Lintas Situs Tersimpan
Ditambal dalam Versi : 2.1.2
Skor Keparahan : Rendah
4. TerjemahkanTekan
Plugin: TranslatePress
Kerentanan : Skrip Lintas Situs Tersimpan yang Diautentikasi
Ditambal dalam Versi : 2.0.9
Skor Keparahan : Rendah
5. Statistik WP
Plugin: Statistik WP
Kerentanan : Skrip Lintas Situs Tercermin (XSS)
Ditambal dalam Versi : 13.1
Skor Keparahan : Tinggi
6. Jam Keren
Plugin: CoolClock
Kerentanan : Kontributor+ Skrip Lintas Situs Tersimpan
Ditambal dalam Versi : 4.3.5
Skor Keparahan : Sedang
7. Beberapa Plugin dari miniorange
Plugin: Beberapa Plugin dari miniorange
Kerentanan : Skrip Lintas Situs Tercermin melalui appId
Ditambal dalam Versi : 6.20.3
Skor Keparahan : Tinggi
8. Addons Premium untuk Elementor
Plugin: Addons Premium untuk Elementor
Kerentanan : Pembaruan Opsi Blog Sewenang-wenang + Pelanggan
Ditambal dalam Versi : 4.5.2
Skor Keparahan : Tinggi
9. Cache Dokumen
Plugin: Cache Docket
Kerentanan : Skrip Lintas Situs Tercermin
Ditambal dalam Versi : 21.08.02
Skor Keparahan : Tinggi
10. Integrasi Zoho WooCommerce – CRM, Buku, Faktur, Inventaris
Plugin: WooCommerce Zoho Integration – CRM, Buku, Faktur, Inventaris
Kerentanan : Beberapa Plugin dari CRM Perks – Tercerminkan Cross-Site Scripting
Ditambal dalam Versi : 1.2.4
Keparahan : Tinggi
11. Integrasi untuk WooCommerce dan QuickBooks
Plugin: Integrasi untuk WooCommerce dan QuickBooks
Kerentanan : Beberapa Plugin dari CRM Perks – Tercerminkan Cross-Site Scripting
Ditambal dalam Versi : 1.1.9
Keparahan : Tinggi
12. Tenaga Penjualan Bentuk Gravitasi
Plugin: Tenaga Penjualan Bentuk Gravitasi
Kerentanan : Beberapa Plugin dari CRM Perks – Tercerminkan Cross-Site Scripting
Ditambal dalam Versi : 1.2.6
Keparahan : Tinggi
13. Bentuk Gravitasi Pengaya Zoho CRM
Plugin: Gravity Forms Zoho CRM Add-on
Kerentanan : Beberapa Plugin dari CRM Perks – Tercerminkan Cross-Site Scripting
Ditambal dalam Versi : 1.1.6
Keparahan : Tinggi
14. Gravitasi Membentuk HubSpot
Plugin: Gravity Forms HubSpot
Kerentanan : Beberapa Plugin dari CRM Perks – Tercerminkan Cross-Site Scripting
Ditambal dalam Versi : 1.0.9
Keparahan : Tinggi
15. Integrasi Tenaga Penjualan WooCommerce
Plugin: Integrasi Tenaga Penjualan WooCommerce
Kerentanan : Beberapa Plugin dari CRM Perks – Tercerminkan Cross-Site Scripting
Ditambal dalam Versi : 1.5.9
Keparahan : Tinggi
16. Bentuk Gravitasi Zendesk
Plugin: Bentuk Gravitasi Zendesk
Kerentanan : Beberapa Plugin dari CRM Perks – Tercerminkan Cross-Site Scripting
Ditambal dalam Versi : 1.0.8
Keparahan : Tinggi
17. Plugin WP Infusionsoft WooCommerce
Plugin: Plugin WP Infusionsoft WooCommerce
Kerentanan : Beberapa Plugin dari CRM Perks – Tercerminkan Cross-Site Scripting
Ditambal dalam Versi : 1.0.9
Keparahan : Tinggi
18. Integrasi untuk Formulir Kontak 7 dan ActiveCampaign
Plugin: Integrasi untuk Formulir Kontak 7 dan ActiveCampaign
Kerentanan : Beberapa Plugin dari CRM Perks – Tercerminkan Cross-Site Scripting
Ditambal dalam Versi : 1.0.4
Keparahan : Tinggi
19. Integrasi untuk HubSpot dan WooCommerce
Plugin: Integrasi untuk HubSpot dan WooCommerce
Kerentanan : Beberapa Plugin dari CRM Perks – Tercerminkan Cross-Site Scripting
Ditambal dalam Versi : 1.0.5
Keparahan : Tinggi
20. Gravity Forms Plugin FreshDesk
Plugin: Gravity Forms Plugin FreshDesk – Plugin WordPress | WordPress.org
Kerentanan : Beberapa Plugin dari CRM Perks – Tercerminkan Cross-Site Scripting
Ditambal dalam Versi : 1.2.9
Keparahan : Tinggi
21. Gravity Forms Dynamics CRM
Plugin: Gravity Forms Dynamics CRM
Kerentanan : Beberapa Plugin dari CRM Perks – Tercerminkan Cross-Site Scripting
Ditambal dalam Versi : 1.0.8
Keparahan : Tinggi
22. Gravity Forms Constant Contact Plugin
Plugin: Gravity Forms Constant Contact Plugin
Kerentanan : Beberapa Plugin dari CRM Perks – Tercerminkan Cross-Site Scripting
Ditambal dalam Versi : 1.0.6
Keparahan : Tinggi
23. Integrasi untuk Bentuk Gravitasi dan Pipedrive
Plugin: Integrasi untuk Gravity Forms dan Pipedrive
Kerentanan : Beberapa Plugin dari CRM Perks – Tercerminkan Cross-Site Scripting
Ditambal dalam Versi : 1.0.7
Keparahan : Tinggi
24. Bentuk Gravitasi WP Insightly
Plugin: WP Gravity Forms Insightly
Kerentanan : Beberapa Plugin dari CRM Perks – Tercerminkan Cross-Site Scripting
Ditambal dalam Versi : 1.0.7
Keparahan : Tinggi
25. Hapus Instalasi WordPress
Plugin: Hapus Instalasi WordPress
Kerentanan : Penghapusan WordPress melalui CSRF
Ditambal dalam Versi : Tidak ada perbaikan yang diketahui
Keparahan : Tinggi
26. Plugin Geo CF
Plugin: CF Geo Plugin
Kerentanan : Skrip Lintas Situs Tercermin
Ditambal dalam Versi : 7.13.12
Keparahan : Tinggi
27. di bawah Konstruksi
Plugin: di bawah Konstruksi
Kerentanan : Skrip Lintas Situs Tercermin
Ditambal dalam Versi : 1.19
Keparahan : Tinggi
28. Suara Zoom DZS
Plugin: DZS Zoomsounds
Kerentanan : Unduhan File Sewenang-wenang yang Tidak Diautentikasi
Ditambal dalam Versi : 6.50
Keparahan : Tinggi
29. Harga & Diskon Dinamis WooCommerce
Plugin: Harga & Diskon Dinamis WooCommerce
Kerentanan : Pengaturan Tidak Diautentikasi Impor ke XSS Tersimpan
Ditambal dalam Versi : 2.4.2
Keparahan : Tinggi
Plugin: Harga & Diskon Dinamis WooCommerce
Kerentanan : Ekspor Pengaturan Tidak Diautentikasi
Ditambal dalam Versi : 2.4.2
Keparahan : Sedang
30. Manajer Lisensi Perangkat Lunak
Plugin: Manajer Lisensi Perangkat Lunak
Kerentanan : Admin+ Skrip Lintas Situs Tersimpan
Ditambal dalam Versi : 4.5.0
Keparahan : Rendah
31. Jadwal dan Jadwal Acara oleh MotoPress
Plugin: Jadwal dan Jadwal Acara oleh MotoPress
Kerentanan : Penulis + Skrip Lintas Situs Tersimpan
Ditambal dalam Versi : 2.3.19
Keparahan : Sedang
32. Ikon Sosial Mudah
Plugin: Ikon Sosial Mudah
Kerentanan : Skrip Lintas Situs Tercermin
Ditambal dalam Versi : 3.1.0
Keparahan : Tinggi
33. Donasi Dengan QRCode
Plugin: Donasi Dengan QRCode
Kerentanan : Skrip Lintas Situs Tersimpan
Ditambal dalam Versi : 1.4.5
Keparahan : Sedang
Plugin: Donasi Dengan QRCode
Kerentanan : Pembaruan Pengaturan Plugin melalui CSRF
Ditambal dalam Versi : Tidak ada perbaikan yang diketahui
Keparahan : Sedang
34. Kalender Acara XO
Plugin: Kalender Acara XO
Kerentanan : Skrip Lintas Situs Tercermin
Ditambal dalam Versi : 2.3.7
Keparahan : Tinggi
35. Kuis Watu
Plugin: Watu Quizz
Kerentanan : XSS Tercermin melalui question-form.html.php
Ditambal dalam Versi : 3.1.2.6
Keparahan : Tinggi
36. Pustaka Template Gutenberg & Kerangka Redux
Plugin: Pustaka Template Gutenberg & Kerangka Redux
Kerentanan : Kontributor+ Instalasi Plugin Sewenang-wenang dan Penghapusan Pasca
Ditambal dalam Versi : 4.2.13
Keparahan : Tinggi
37. Galeri Meow
Plugin: Galeri Meow
Kerentanan : Pembaruan Opsi Sewenang-wenang yang Tidak Sah melalui REST API
Ditambal dalam Versi : 4.2.0
Keparahan : Tinggi
Plugin: Galeri Meow
Kerentanan : Kontributor+ Injeksi SQL
Ditambal dalam Versi : 4.1.9
Keparahan : Tinggi
38. WP Mapa Politico Espana
Plugin: WP Mapa Politico Espana
Kerentanan : Skrip Lintas Situs Tersimpan yang Diautentikasi
Ditambal dalam Versi : 3.7.0
Keparahan : Rendah
39. Batasan Unggah WP
Plugin: Batasan Unggah WP
Kerentanan : Kontrol Akses Hilang di getSelectedMimeTypesByRole
Ditambal dalam Versi : 2.2.5
Keparahan : Sedang
Plugin: Batasan Unggah WP
Kerentanan : Kontrol Akses Hilang di deleteCustomType
Ditambal dalam Versi : 2.2.5
Keparahan : Sedang
Plugin: Batasan Unggah WP
Kerentanan : XSS Tersimpan yang Diautentikasi
Ditambal dalam Versi : 2.2.5
Keparahan : Sedang
Kerentanan Tema WordPress
Catatan tentang Pengungkapan yang Bertanggung Jawab
Anda mungkin bertanya-tanya mengapa kerentanan akan diungkapkan jika itu memberi peretas eksploitasi untuk menyerang. Yah, sangat umum bagi peneliti keamanan untuk menemukan dan secara pribadi melaporkan kerentanan kepada pengembang perangkat lunak.
Dengan pengungkapan yang bertanggung jawab , laporan awal peneliti dibuat secara pribadi kepada pengembang perusahaan yang memiliki perangkat lunak, tetapi dengan kesepakatan bahwa rincian lengkapnya akan dipublikasikan setelah patch tersedia. Untuk kerentanan keamanan yang signifikan, mungkin ada sedikit keterlambatan dalam mengungkapkan kerentanan untuk memberi lebih banyak waktu bagi orang untuk menambal.
Peneliti keamanan dapat memberikan tenggat waktu bagi pengembang perangkat lunak untuk menanggapi laporan atau memberikan tambalan. Jika tenggat waktu ini tidak terpenuhi, maka peneliti dapat mengungkapkan kerentanan secara terbuka untuk memberi tekanan pada pengembang untuk mengeluarkan tambalan.
Mengungkapkan kerentanan secara publik dan tampaknya memperkenalkan kerentanan Zero-Day – jenis kerentanan yang tidak memiliki patch dan sedang dieksploitasi di alam liar – mungkin tampak kontraproduktif. Tapi, itu adalah satu-satunya pengaruh yang dimiliki peneliti untuk menekan pengembang untuk menambal kerentanan.
Jika seorang peretas menemukan kerentanan, mereka dapat diam-diam menggunakan Eksploitasi dan menyebabkan kerusakan pada pengguna akhir (ini adalah Anda), sementara pengembang perangkat lunak tetap puas dengan membiarkan kerentanan tidak ditambal. Project Zero Google memiliki pedoman serupa dalam hal mengungkapkan kerentanan. Mereka mempublikasikan rincian lengkap kerentanan setelah 90 hari apakah kerentanan telah ditambal atau tidak.
Cara Melindungi Situs WordPress Anda Dari Plugin dan Tema yang Rentan
Seperti yang Anda lihat dari laporan ini, banyak plugin WordPress baru dan kerentanan tema diungkapkan setiap minggu. Kami tahu mungkin sulit untuk tetap mengetahui setiap pengungkapan kerentanan yang dilaporkan, jadi plugin iThemes Security Pro memudahkan untuk memastikan situs Anda tidak menjalankan tema, plugin, atau versi inti WordPress dengan kerentanan yang diketahui.
1. Nyalakan Pemindai Situs Pro Keamanan iThemes
Pemindai Situs plugin iThemes Security Pro memindai alasan #1 mengapa situs WordPress diretas: plugin dan tema usang dengan kerentanan yang diketahui. Pemindai Situs memeriksa kerentanan yang diketahui di situs Anda dan secara otomatis menerapkan tambalan jika tersedia.
Untuk mengaktifkan Pemindaian Situs pada pemasangan baru, navigasikan ke tab Pemeriksaan Situs pada menu Fitur di dalam plugin dan klik sakelar untuk mengaktifkan Pemindaian Situs .
Untuk memicu Pemindaian Situs manual, klik tombol Pindai Sekarang pada kartu Dasbor Keamanan Pemindaian Situs.
Jika Pemindaian Situs mendeteksi kerentanan, klik tautan kerentanan untuk melihat halaman detail.
Pada halaman kerentanan Pemindaian Situs, Anda akan melihat apakah ada perbaikan yang tersedia untuk kerentanan. Jika ada tambalan yang tersedia, Anda dapat mengklik tombol Perbarui Plugin untuk menerapkan perbaikan di situs web Anda.
2. Aktifkan Manajemen Versi ke Pembaruan Otomatis jika Memperbaiki Kerentanan
Fitur Manajemen Versi di iThemes Security Pro terintegrasi dengan Pemindaian Situs untuk melindungi situs Anda saat perangkat lunak usang tidak diperbarui dengan cukup cepat. Bahkan tindakan keamanan terkuat pun akan gagal jika Anda menjalankan perangkat lunak yang rentan di situs web Anda. Pengaturan ini membantu melindungi situs Anda dengan opsi untuk memperbarui ke versi baru secara otomatis jika ada kerentanan yang diketahui dan tambalan tersedia.
Dari halaman Pengaturan di iThemes Security Pro, navigasikan ke layar Fitur. Klik tab Periksa Situs. Dari sini, gunakan sakelar untuk mengaktifkan Manajemen Versi. Dengan menggunakan roda gigi pengaturan, Anda dapat mengonfigurasi lebih banyak pengaturan, termasuk bagaimana Anda ingin iThemes Security Pro menangani pembaruan WordPress, plugin, tema, dan perlindungan tambahan.
Pastikan untuk memilih Pembaruan Otomatis jika itu Memperbaiki kotak Kerentanan sehingga iThemes Security Pro akan secara otomatis memperbarui plugin atau tema jika memperbaiki kerentanan yang ditemukan oleh Pemindai Situs.
3. Dapatkan Peringatan Email Saat iThemes Security Pro Menemukan Kerentanan yang Diketahui Di Situs Anda
Setelah Anda mengaktifkan Penjadwalan Pemindaian Situs, buka pengaturan Pusat Pemberitahuan dari plugin. Pada layar ini, gulir ke bagian Hasil Pemindaian Situs .
Klik kotak untuk mengaktifkan email notifikasi dan kemudian klik tombol Simpan Pengaturan .
Sekarang, selama pemindaian situs terjadwal, Anda akan mendapatkan email jika iThemes Security Pro menemukan kerentanan yang diketahui. Email akan terlihat seperti ini.
Dapatkan iThemes Security Pro dan Istirahatlah Sedikit Lebih Mudah Malam Ini
iThemes Security Pro, plugin keamanan WordPress kami, menawarkan 50+ cara untuk mengamankan dan melindungi situs web Anda dari kerentanan keamanan WordPress yang umum. Dengan WordPress, otentikasi dua faktor, perlindungan brute force, penegakan kata sandi yang kuat, dan banyak lagi, Anda dapat menambahkan lapisan keamanan ekstra ke situs web Anda.
Dapatkan iThemes Security Pro
Setiap minggu, Michael menyusun Laporan Kerentanan WordPress untuk membantu menjaga situs Anda tetap aman. Sebagai Manajer Produk di iThemes, dia membantu kami terus meningkatkan jajaran produk iThemes. Dia kutu buku raksasa & suka belajar tentang semua hal teknologi, lama & baru. Anda dapat menemukan Michael bergaul dengan istri & putrinya, membaca atau mendengarkan musik saat tidak bekerja.
