Roundup Kerentanan WordPress: Februari 2021, Bagian 1

Diterbitkan: 2021-02-10

Kerentanan plugin dan tema WordPress baru diungkapkan selama paruh pertama Februari. Posting ini mencakup plugin WordPress, tema, dan kerentanan inti terbaru dan apa yang harus dilakukan jika Anda menjalankan salah satu plugin atau tema yang rentan di situs web Anda.

Roundup Kerentanan WordPress dibagi menjadi tiga kategori berbeda: inti WordPress, plugin WordPress, dan tema WordPress.

Setiap kerentanan akan memiliki tingkat keparahan Rendah , Sedang , Tinggi , atau Kritis . Peringkat keparahan didasarkan pada Sistem Skor Kerentanan Umum.

Dalam Laporan Februari, Bagian 1

    Kerentanan Inti WordPress

    Tidak ada kerentanan inti WordPress baru yang diungkapkan bulan ini.

    Kerentanan Plugin WordPress

    1. uListing – Kritis

    Versi uListing di bawah 1.7 memiliki beberapa kerentanan, termasuk Suntikan SQL Tidak Diautentikasi, Pembuatan Akun Sewenang-wenang Tidak Diautentikasi, dan Perubahan Opsi WordPress yang Tidak Diautentikasi.

    Kerentanan telah ditambal, dan Anda harus memperbarui ke versi 1.7.

    2. Bentuk Super – Kritis

    Versi Super Forms di bawah 4.9.703 memiliki kerentanan Unggah File PHP yang Tidak Diautentikasi ke RCE.

    Kerentanan telah ditambal, dan Anda harus memperbarui ke versi 4.9.703.

    3. Kalender Acara Modern Lite – Penting

    Versi Lite Kalender Acara Modern di bawah 5.16.5 memiliki beberapa masalah, termasuk Unggahan File Sewenang-wenang Terautentikasi yang menyebabkan kerentanan Eksekusi Kode Jarak Jauh.

    Kerentanan telah ditambal, dan Anda harus memperbarui ke versi 5.16.5.

    4. Pencarian Gading – Sedang

    Versi Pencarian Gading di bawah 4.5.11 memiliki kerentanan Pembuatan Skrip Lintas Situs Tercermin yang Diautentikasi.

    Kerentanan telah ditambal, dan Anda harus memperbarui ke versi 4.5.11.

    5. Editor WP – Kritis

    Versi WP Editor di bawah 1.2.7 memiliki kerentanan Injeksi SQL Terotentikasi.

    Kerentanan telah ditambal, dan Anda harus memperbarui ke versi 1.2.7.

    6. API MSstore – Tinggi

    Versi API MStore di bawah 3.2.0 memiliki kerentanan Bypass Otentikasi Dengan Masuk Dengan Apple.

    Kerentanan telah ditambal, dan Anda harus memperbarui ke versi 3.2.0.

    7. Pembuat Popup – Sedang

    Versi Pembuat Popup di bawah 3,74 memiliki kerentanan Pembuatan Skrip Lintas Situs Tercermin yang Diautentikasi.

    Kerentanan telah ditambal, dan Anda harus memperbarui ke versi 3.74.

    8. Voucher Hadiah – Penting

    Semua versi Voucher Hadiah memiliki kerentanan Injeksi SQL Buta yang Tidak Diautentikasi.

    Hapus plugin sampai perbaikan keamanan dirilis.

    9. Nama Direktori – Media

    Nama Direktori versi di bawah 1.18 memiliki kerentanan Pemalsuan Permintaan Lintas Situs.

    Kerentanan telah ditambal, dan Anda harus memperbarui ke versi 1.18.

    10. Formulir Kontak 7 Gaya – Tinggi

    Semua versi Contact Form 7 Style memiliki kerentanan Cross-Site Request Forgery to Stored Cross-Site Scripting.

    Hapus plugin sampai perbaikan keamanan dirilis.

    11. Toolkit Kepatuhan GDPR & CCPA Ultimate – Penting

    Perangkat Kepatuhan GDPR & CCPA Ultimate versi di bawah 2.5 Pengaturan Plugin Tidak Diautentikasi Ekspor dan Impor yang mengarah ke kerentanan Pengalihan Berbahaya.

    Kerentanan telah ditambal, dan Anda harus memperbarui ke versi 2.5.

    12. Suka Peringkat Tombol? SukaBtn – Tinggi

    Suka Peringkat Tombol? Versi LikeBtn di bawah 2.6.32 memiliki Perubahan Pengaturan Blog Sewenang-wenang yang Tidak Diautentikasi dan kerentanan SSRF Baca Lengkap yang Tidak Diautentikasi.

    Kerentanan telah ditambal, dan Anda harus memperbarui ke versi 2.6.32.

    13. Keanggotaan Berbayar Pro – Sedang

    Versi Pro Keanggotaan Berbayar di bawah 2.5.3 memiliki kerentanan Bypass Otentikasi yang mengarah ke Pengungkapan Informasi Pesanan Tidak Sah.

    Kerentanan telah ditambal, dan Anda harus memperbarui ke versi 2.5.3.

    14. Backup oleh Supsystic – Kritis

    Semua versi Cadangan oleh Supsystic memiliki kerentanan Penyertaan File Lokal.

    Hapus plugin sampai perbaikan keamanan dirilis.

    15. Formulir Kontak oleh Supsystic – Kritis

    Semua versi Formulir Kontak oleh Supsystic memiliki kerentanan Injeksi SQL Terotentikasi.

    Hapus plugin sampai perbaikan keamanan dirilis.

    16. Generator Tabel Data oleh Supsystic – Kritis

    Semua versi Generator Tabel Data oleh Supsystic oleh Supsystic memiliki kerentanan Injeksi SQL Terotentikasi.

    Hapus plugin sampai perbaikan keamanan dirilis.

    17. Publikasi Digital oleh Supsystic – Medium

    Semua versi Publikasi Digital oleh Supsystic memiliki kerentanan Skrip Lintas Situs Tersimpan yang Diautentikasi.

    Hapus plugin sampai perbaikan keamanan dirilis.

    18. Keanggotaan oleh Supsystic – Kritis

    Semua versi Keanggotaan oleh Supsystic memiliki kerentanan Injeksi SQL Terotentikasi.

    Hapus plugin sampai perbaikan keamanan dirilis.

    19. Newsletter oleh Supsystic – Critical

    Semua versi Newsletter oleh Supsystic memiliki kerentanan Injeksi SQL Terotentikasi.

    Hapus plugin sampai perbaikan keamanan dirilis.

    20. Tabel Harga oleh Supsystic – Kritis

    Semua versi Tabel Harga oleh Supsystic memiliki kerentanan Injeksi SQL Terotentikasi.

    Hapus plugin sampai perbaikan keamanan dirilis.

    21. Peta Ultimate oleh Supsystic – Kritis

    Semua versi memiliki kerentanan Ultimate Maps by Supsystic Authenticated SQL Injection.

    Hapus plugin sampai perbaikan keamanan dirilis.

    22. Galeri NextGen – Kritis

    Versi Galeri NextGen di bawah 3.5.0 memiliki kerentanan CSRF, Upload File, Stored XSS, dan RCE.

    Kerentanan telah ditambal, dan Anda harus memperbarui ke versi 3.5.0.

    23. Blok Peta untuk Google Maps – Sedang

    Blok Peta untuk Google Maps versi di bawah 1,32 memiliki kerentanan Kontrol Akses Rusak yang menyebabkan perubahan Kunci API Google yang Tidak Sah.

    Kerentanan telah ditambal, dan Anda harus memperbarui ke versi 1.32.

    Kerentanan Tema WordPress

    1. Wyzi – Sedang

    Versi Wyzi di bawah 2.4.3 telah mencerminkan kerentanan Cross-Site Scripting.

    Kerentanan telah ditambal, dan Anda harus memperbarui ke versi 2.4.3.

    2. Beberapa Tema Paralelus – Sedang

    Beberapa versi Tema Paralelus di bawah 2.0 memiliki kerentanan Skrip Lintas Situs yang Tercermin.

    Kerentanan telah ditambal, dan Anda harus memperbarui ke versi 2.0.

    Tips Keamanan Februari: Mengapa Anda Harus Mencatat Aktivitas Keamanan Situs Web

    Pencatatan keamanan harus menjadi bagian penting dari strategi keamanan WordPress Anda. Mengapa?

    Pencatatan dan pemantauan yang tidak memadai dapat menyebabkan keterlambatan dalam mendeteksi pelanggaran keamanan. Sebagian besar studi pelanggaran menunjukkan bahwa waktu untuk mendeteksi pelanggaran adalah lebih dari 200 hari!

    Jumlah waktu itu memungkinkan penyerang untuk menembus sistem lain, memodifikasi, mencuri, atau menghancurkan lebih banyak data. Untuk alasan ini, “pencatatan yang tidak mencukupi” masuk dalam 10 besar risiko keamanan aplikasi web OWASP.

    Log keamanan WordPress memiliki beberapa manfaat dalam strategi keamanan Anda secara keseluruhan, membantu Anda:

    1. Identitas dan hentikan perilaku jahat.
    2. Temukan aktivitas yang dapat memperingatkan Anda tentang pelanggaran.
    3. Menilai berapa banyak kerusakan yang dilakukan.
    4. Bantuan dalam perbaikan situs yang diretas.

    Jika situs Anda diretas, Anda pasti ingin memiliki informasi terbaik untuk membantu penyelidikan dan pemulihan cepat.

    Kabar baiknya adalah iThemes Security Pro dapat membantu Anda menerapkan pencatatan situs web. Log keamanan WordPress iThemes Security Pro melacak semua aktivitas situs web ini untuk Anda:

    • Serangan Brute Force WordPress
    • Perubahan File
    • Pemindaian Malware
    • Aktivitas pengguna

    Statistik dari log Anda kemudian ditampilkan di dasbor keamanan WordPress waktu nyata yang dapat Anda lihat dari dasbor admin WordPress Anda.

    Lihat posting sorotan fitur ini di mana kami membongkar semua langkah menambahkan log keamanan WordPress ke situs web Anda menggunakan iThemes Security Pro.

    Lihat cara kerjanya

    Plugin Keamanan WordPress Dapat Membantu Mengamankan Situs Web Anda

    iThemes Security Pro, plugin keamanan WordPress kami, menawarkan 50+ cara untuk mengamankan dan melindungi situs web Anda dari kerentanan keamanan WordPress yang umum. Dengan WordPress, otentikasi dua faktor, perlindungan brute force, penegakan kata sandi yang kuat, dan banyak lagi, Anda dapat menambahkan lapisan keamanan ekstra ke situs web Anda.

    Dapatkan iThemes Security Pro

    pengumpulan kerentanan