Roundup Kerentanan WordPress: Januari 2020, Bagian 2

Diterbitkan: 2020-08-18

Kerentanan plugin dan tema WordPress baru diungkapkan selama paruh kedua Januari, jadi kami ingin memberi tahu Anda. Dalam posting ini, kami membahas plugin WordPress terbaru, tema dan kerentanan inti dan apa yang harus dilakukan jika Anda menjalankan salah satu plugin atau tema yang rentan di situs web Anda.

Roundup Kerentanan WordPress dibagi menjadi empat kategori berbeda:

  • 1. Inti WordPress
  • 2. Plugin WordPress
  • 3. Tema WordPress
  • 4. Pelanggaran dari seluruh web

Kerentanan Inti WordPress

Belum ada kerentanan WordPress yang diungkapkan pada Januari 2020.

Kerentanan Plugin WordPress

Beberapa kerentanan plugin WordPress baru telah ditemukan bulan ini sejauh ini. Pastikan untuk mengikuti tindakan yang disarankan di bawah ini untuk memperbarui plugin atau mencopot pemasangannya sepenuhnya.

1. Cuplikan Kode

Logo Cuplikan Kode

Cuplikan Kode versi 2.13.3 dan di bawahnya memiliki kerentanan Pemalsuan Permintaan Lintas Situs yang dapat menyebabkan serangan Eksekusi Kode Jarak Jauh.

Apa yang Harus Anda Lakukan?

Kerentanan telah ditambal, jadi Anda harus memperbarui ke versi 2.14.0.

2. Atur Ulang Basis Data WP

Logo Reset Basis Data WP

WP Database Reset versi 3.1 dan di bawahnya memiliki dua kerentanan. Kerentanan pertama akan membuat semua pengguna yang tidak diautentikasi mengatur ulang tabel database apa pun ke status pengaturan WordPress awal. Kerentanan kedua akan memungkinkan setiap pengguna untuk memberikan hak istimewa administratif akun mereka dan menjatuhkan pengguna lain dari tabel.

Apa yang Harus Anda Lakukan?

Kerentanan telah ditambal, jadi Anda harus memperbarui ke versi 3.15.

3. Kuis Berrantai

Logo Kuis Berrantai

Kuis Berrantai versi 1.1.8 dan di bawahnya rentan terhadap serangan XSS Tercermin yang Tidak Diautentikasi.

Apa yang Harus Anda Lakukan?

Kerentanan telah ditambal, jadi Anda harus memperbarui ke versi 1.1.8.2.

4. Resim Ara

Logo Resim Ara

Resim Ara versi 3.0 dan di bawahnya rentan terhadap serangan Unauthenticated Reflected XSS.

Apa yang Harus Anda Lakukan?

WordPress.org menutup Resim Ara pada 17 Januari 2020, jadi Anda harus menghapus plugin dan mencari penggantinya.

5. Formulir dan Pelacakan Marketo

Formulir Marketo dan Logo Pelacakan

Formulir dan Pelacakan Marketo versi 3.2.2 dan di bawahnya rentan terhadap serangan Skrip Lintas Situs yang dapat menyebabkan Pemalsuan Permintaan Lintas Situs karena kurangnya pemeriksaan dan sanitasi CRSF.

Apa yang Harus Anda Lakukan?

WordPress.org menutup Formulir dan Pelacakan Marketo pada 11 Desember 2019, jadi Anda harus menghapus plugin dan mencari penggantinya.

6. Warna Adminbar Kontekstual

Logo Warna Adminbar Kontekstual

Contextual Adminbar Color versi 0.2 dan di bawahnya memiliki kerentanan Skrip Lintas Situs Tersimpan yang Diautentikasi.

Apa yang Harus Anda Lakukan?

Kerentanan telah ditambal, dan Anda harus memperbaruinya ke versi 0.3.

7. Slideshow 2J

2J SlideShow Logo

2J SlideShow versi 1.3.33 dan di bawahnya memiliki kerentanan penonaktifan plugin arbitrer yang diautentikasi yang akan memungkinkan pengguna dengan hak istimewa minimal – seperti Pelanggan – untuk menonaktifkan plugin apa pun yang diinstal di situs.

Apa yang Harus Anda Lakukan?

Kerentanan telah ditambal, dan Anda harus memperbaruinya ke versi 1.3.40.

8. Chatbot dengan IBM Watson

Chatbot dengan Logo IBM Watson

Chatbot dengan IBM Watson versi 0.8.20 dan di bawahnya menyertakan kerentanan XSS berbasis DOM yang memungkinkan penyerang jarak jauh untuk mengeksekusi JavaScript di browser korban dengan mengelabui korban agar menempelkan HTML di dalam kotak obrolan.

Apa yang Harus Anda Lakukan?

Kerentanan telah ditambal, jadi Anda harus memperbarui ke versi 0.8.21.

9. Aksesibilitas WP

Logo Aksesibilitas WP

Aksesibilitas WP versi 1.6.10 dan di bawahnya memiliki kerentanan minor Authenticated Stored Cross-Site Scripting di bagian "Gaya untuk Skiplinks ketika mereka memiliki fokus" dari plugin Aksesibilitas WP.

Apa yang Harus Anda Lakukan?

Kerentanan telah ditambal, jadi Anda harus memperbarui ke versi 1.7.0.

10. AccessAlly

Logo AcessAlly

AccessAlly versi di bawah 3.3.2 memiliki kerentanan Eksekusi PHP Sewenang-wenang. Kerentanan memungkinkan penyerang untuk mengeksekusi kode PHP menggunakan Widget Login. Kerentanan telah dieksploitasi di alam liar.

Apa yang Harus Anda Lakukan?

Kerentanan telah ditambal, jadi Anda harus memperbarui ke versi 3.3.2.

11. Anggota Utama

Logo Anggota Utama

Anggota Ultimate versi 2.1.2 dan di bawahnya memiliki Referensi Objek Langsung Tidak Aman yang memungkinkan penyerang mengubah profil dan foto sampul pengguna lain

Apa yang Harus Anda Lakukan?

Kerentanan telah ditambal, jadi Anda harus memperbarui ke versi 2.1.3.

12. FAQ WP DS Plus

WP DS FAQ Plus Logo

WP DS FAQ Plus versi 1.4.1 dan di bawahnya rentan terhadap serangan Stored Cross-Site Scripting.

Apa yang Harus Anda Lakukan?

Kerentanan telah ditambal, jadi Anda harus memperbarui ke versi 1.4.2.

13. wpCentral

wpCentral

wpCentral versi 1.4.7 dan di bawahnya memiliki kerentanan Privilege Eskalasi yang memungkinkan setiap pengguna yang masuk untuk meningkatkan hak istimewa mereka. Jika Anda mengizinkan siapa pun untuk mendaftar dan membuat pengguna di situs Anda, penyerang dapat membuat pengguna baru dengan peran pengguna pelanggan dan kemudian memberikan diri mereka hak istimewa admin.

Apa yang Harus Anda Lakukan?

Kerentanan telah ditambal, jadi Anda harus memperbarui ke versi 1.4.8.

14. WPS Sembunyikan Login

WPS Sembunyikan Logo Masuk

WPS Hide Login versi 1.5.4.2 dan di bawahnya memiliki kerentanan yang memungkinkan penyerang melewati login rahasia . Jika pada tahun 2020 Anda masih menggunakan URL login khusus sebagai strategi keamanan, silakan lihat 5 Aturan Sederhana untuk Keamanan Login WordPress kami.

Apa yang Harus Anda Lakukan?

Kerentanan telah ditambal, jadi Anda harus memperbarui ke versi 1.5.5.

15. Formulir Kontak Bersih dan Sederhana

Formulir Kontak Bersih dan Sederhana

Formulir Kontak versi Bersih dan Sederhana 4.7.0 dan di bawahnya memiliki kerentanan Pemalsuan Lintas Situs Tersimpan yang memungkinkan pengguna dengan kemampuan admin untuk mengirimkan kode berbahaya melalui opsi plugin. Kode berbahaya kemudian akan dieksekusi pada setiap halaman dengan formulir kontak.

Apa yang Harus Anda Lakukan?

WordPress.org menutup Formulir Kontak Bersih dan Sederhana pada 23 Januari 2020, jadi Anda harus menghapus plugin dan mencari penggantinya.

16. Formulir Bidang Terhitung

Logo Formulir Bidang Terhitung

Formulir Bidang Terhitung versi 1.0.353 dan di bawahnya memiliki kerentanan Pembuatan Skrip Lintas Situs Tersimpan yang Diautentikasi. Kerentanan akan memungkinkan pengguna yang diautentikasi dengan akses untuk mengedit atau membuat konten Formulir Bidang Terhitung untuk menyuntikkan javascript ke bidang input seperti 'nama bidang' dan 'nama formulir.

Apa yang Harus Anda Lakukan?

Kerentanan telah ditambal, jadi Anda harus memperbarui ke versi 1.0.354.

17. Flamingo

Logo Flamingo

Flamingo versi 2.1 dan di bawahnya memiliki kerentanan Injeksi CSV. Kerentanan akan memungkinkan pengguna dengan hak istimewa tingkat rendah untuk menyuntikkan perintah OS yang akan disertakan dalam file CSV yang diekspor, yang dapat menyebabkan eksekusi kode berbahaya.

Apa yang Harus Anda Lakukan?

Kerentanan telah ditambal, jadi Anda harus memperbarui ke versi 2.1.1.

Tema WordPress

1. Tempat Mobil

Logo CarSpot

CarSpot versi 2.2.0 dan di bawahnya memiliki beberapa kerentanan, termasuk 2 kerentanan Authenticated Cross-Site Scripting yang terpisah dan kerentanan Insecure Direct Object Reference.

Apa yang Harus Anda Lakukan?

Kerentanan telah ditambal, jadi Anda harus memperbarui ke versi 2.2.1.

2. Houzez – Real Estat

Houzez - Logo Real Estat

Houzez – Real Estat versi 1.8.3.1 dan di bawahnya memiliki kerentanan Cross-Site Scripting yang Tidak Diautentikasi.

Apa yang Harus Anda Lakukan?

Kerentanan telah ditambal, jadi Anda harus memperbarui ke versi 1.8.4.

Bagaimana Menjadi Proaktif Tentang Kerentanan Tema & Plugin WordPress

Menjalankan perangkat lunak usang adalah alasan nomor satu situs WordPress diretas. Sangat penting untuk keamanan situs WordPress Anda bahwa Anda memiliki rutinitas pembaruan. Anda harus masuk ke situs Anda setidaknya sekali seminggu untuk melakukan pembaruan.

Bagaimana Pembaruan Otomatis Dapat Membantu

Pembaruan otomatis adalah pilihan tepat untuk situs web WordPress yang tidak terlalu sering berubah. Kurangnya perhatian sering membuat situs-situs ini terabaikan dan rentan terhadap serangan. Bahkan dengan pengaturan keamanan yang disarankan, menjalankan perangkat lunak yang rentan di situs Anda dapat memberi penyerang titik masuk ke situs Anda.

Menggunakan fitur Manajemen Versi plugin iThemes Security Pro , Anda dapat mengaktifkan pembaruan WordPress otomatis untuk memastikan Anda mendapatkan patch keamanan terbaru. Pengaturan ini membantu melindungi situs Anda dengan opsi untuk secara otomatis memperbarui ke versi baru atau untuk meningkatkan keamanan pengguna saat perangkat lunak situs sudah usang.

Opsi Pembaruan Manajemen Versi
  • Pembaruan WordPress – Secara otomatis menginstal rilis WordPress terbaru.
  • Pembaruan Otomatis Plugin – Secara otomatis menginstal pembaruan plugin terbaru. Ini harus diaktifkan kecuali Anda secara aktif memelihara situs ini setiap hari dan menginstal pembaruan secara manual segera setelah dirilis.
  • Pembaruan Otomatis Tema – Secara otomatis menginstal pembaruan tema terbaru. Ini harus diaktifkan kecuali jika tema Anda memiliki penyesuaian file.
  • Kontrol Granular atas Pembaruan Plugin dan Tema – Anda mungkin memiliki plugin/tema yang ingin Anda perbarui secara manual, atau tunda pembaruan hingga rilis memiliki waktu untuk terbukti stabil. Anda dapat memilih Kustom untuk kesempatan menetapkan setiap plugin atau tema untuk segera diperbarui ( Aktifkan ), tidak memperbarui secara otomatis sama sekali ( Nonaktifkan ) atau memperbarui dengan penundaan dalam jumlah hari tertentu ( Tunda ).
Penguatan dan Peringatan untuk Masalah Kritis
  • Perkuat Situs Saat Menjalankan Perangkat Lunak Kedaluwarsa – Secara otomatis menambahkan perlindungan ekstra ke situs ketika pembaruan yang tersedia belum diinstal selama sebulan. Plugin Keamanan iThemes akan secara otomatis mengaktifkan keamanan yang lebih ketat ketika pembaruan belum diinstal selama sebulan. Pertama, itu akan memaksa semua pengguna yang tidak mengaktifkan dua faktor untuk memberikan kode login yang dikirim ke alamat email mereka sebelum masuk kembali. Kedua, itu akan menonaktifkan WP File Editor (untuk memblokir orang dari mengedit plugin atau kode tema) , pingback XML-RPC, dan memblokir beberapa upaya autentikasi per permintaan XML-RPC (keduanya akan membuat XML-RPC lebih kuat terhadap serangan tanpa harus mematikannya sepenuhnya).
  • Pindai Situs WordPress Lama Lainnya – Ini akan memeriksa instalasi WordPress usang lainnya di akun hosting Anda. Satu situs WordPress usang dengan kerentanan dapat memungkinkan penyerang untuk berkompromi dengan semua situs lain di akun hosting yang sama.
  • Kirim Pemberitahuan Email – Untuk masalah yang memerlukan intervensi, email dikirim ke pengguna tingkat admin.

Mengelola Beberapa Situs WP? Perbarui Plugin, Tema & Inti WP Di Beberapa Situs Sekaligus dari Dasbor Sinkronisasi iThemes

iThemes Sync adalah dasbor pusat kami untuk membantu Anda mengelola beberapa situs WordPress. Dari dasbor Sinkronisasi, Anda dapat melihat pembaruan yang tersedia untuk semua situs Anda, lalu memperbarui plugin, tema, dan inti WordPress dengan satu klik . Anda juga bisa mendapatkan pemberitahuan email setiap hari saat pembaruan versi baru tersedia.


Coba Sinkronkan GRATIS selama 30 hariPelajari lebih lanjut

Pelanggaran Dari Seluruh Web

Kami menyertakan pelanggaran dari seluruh web karena penting juga untuk menyadari kerentanan di luar ekosistem WordPress. Eksploitasi ke perangkat lunak server dapat mengekspos data sensitif. Pelanggaran basis data dapat mengekspos kredensial untuk pengguna di situs Anda, membuka pintu bagi penyerang untuk mengakses situs Anda.

1. Perbesar

Zoom Logo

Zoom memperbaiki kelemahan yang dapat membuka rapat bagi peretas. Setiap rapat Zoom diberi ID rapat 9-10 digit yang dibuat secara acak. Peneliti keamanan Check Point dapat menebak dengan benar beberapa ID rapat dan berhasil bergabung dengan beberapa panggilan Zoom.

Check Point mengungkapkan kerentanan untuk Zoom memperbaiki kelemahan dengan mengganti pembuatan nomor ID rapat secara acak dengan ID yang kuat secara kriptografis, menambahkan lebih banyak digit ke nomor ID rapat, dan membuat persyaratan kata sandi sebagai opsi default berubah terjadwal

Plugin Keamanan WordPress Dapat Membantu Mengamankan Situs Web Anda

iThemes Security Pro, plugin keamanan WordPress kami, menawarkan lebih dari 30 cara untuk mengamankan dan melindungi situs web Anda dari kerentanan keamanan WordPress yang umum. Dengan WordPress, otentikasi dua faktor, perlindungan brute force, penegakan kata sandi yang kuat, dan banyak lagi, Anda dapat menambahkan lapisan keamanan ekstra ke situs web Anda.

Pelajari lebih lanjut tentang keamanan WordPress dengan 10 tips utama. Unduh ebook sekarang: Panduan Keamanan WordPress
Unduh sekarang

Dapatkan Keamanan iThemes