Roundup Kerentanan WordPress: Maret 2020, Bagian 2

Diterbitkan: 2020-08-18

Kerentanan plugin dan tema WordPress baru diungkapkan selama paruh kedua bulan Maret, jadi kami ingin memberi tahu Anda. Dalam posting ini, kami membahas plugin WordPress terbaru, tema dan kerentanan inti dan apa yang harus dilakukan jika Anda menjalankan salah satu plugin atau tema yang rentan di situs web Anda.

Roundup Kerentanan WordPress dibagi menjadi empat kategori berbeda:

  1. inti WordPress
  2. Plugin WordPress
  3. Tema WordPress

Kerentanan Inti WordPress

Belum ada kerentanan WordPress yang diungkapkan pada tahun 2020.

Kerentanan Plugin WordPress

Beberapa kerentanan plugin WordPress baru telah ditemukan bulan ini sejauh ini. Pastikan untuk mengikuti tindakan yang disarankan di bawah ini untuk memperbarui plugin atau mencopot pemasangannya sepenuhnya.

1 – 7. Beberapa Plugin

Statistik Komponen Buddypress, pengiriman abstrak, WP e-Commerce Shop Styling, web-portal-lite-client, post-pdf-export, blogtopdf, dan gboutique semuanya memiliki kerentanan Inklusi File Lokal Dompdf yang Tidak Diautentikasi.

Hapus plugin, mereka telah ditutup di repositori plugin WordPress.org.

8. Unggah File WordPress

Versi Unggah File WordPress di bawah 4.13.0 memiliki kerentanan Eksekusi Kode Jarak Jauh.

Kerentanan telah ditambal, dan Anda harus memperbarui ke versi 4.13.0.

9. Buletin

Versi buletin di bawah 6.5.4 memiliki kerentanan Injeksi CSV.

Kerentanan telah ditambal, dan Anda harus memperbarui ke versi 6.5.4.

10. LearnPress

Versi LearnPress di bawah 3.2.6.7 memiliki kerentanan Privilege Eskalasi.

Kerentanan telah ditambal, dan Anda harus memperbarui ke versi 3.2.6.7.

11. UI Jenis Posting Kustom

Versi UI Jenis Posting Kustom di bawah 1.7.4 memiliki kerentanan Pemalsuan Permintaan Lintas Situs dan Skrip Lintas Situs Tersimpan.

Kerentanan telah ditambal, dan Anda harus memperbarui ke versi 1.7.4.

12. Importir Template Gutenberg & Elementor Untuk Responsif

Pengimpor Template Gutenberg & Elementor Untuk versi Responsif di bawah 2.2.6 memiliki kerentanan AJAX Endpoints yang tidak terlindungi.

Kerentanan telah ditambal, dan Anda harus memperbarui ke versi 2.2.6.

13. Iklan Lanjutan – Pengelola Iklan & AdSense

Iklan Lanjutan – Ad Manager & versi AdSense di bawah 1.17.4 memiliki kerentanan Skrip Lintas Situs Tercermin yang Diautentikasi.

Kerentanan telah ditambal, dan Anda harus memperbarui ke versi 1.17.4.

14. Migrasi & Cadangkan WordPress – Plugin Cadangan WPvivid

Migrasi & Cadangkan WordPress – Plugin Cadangan WPvivid versi di bawah 0.9.36 memiliki Otorisasi Hilang yang Menyebabkan kerentanan Kebocoran Basis Data.

Kerentanan telah ditambal, dan Anda harus memperbarui ke versi 0.9.36.

15. Cookiebot

Versi Cookiebot di bawah 3.6.1 memiliki kerentanan Pembuatan Skrip Lintas Situs Tercermin yang Diautentikasi.

Kerentanan telah ditambal, dan Anda harus memperbarui ke versi 3.6.1.

16. Generator Tabel Data oleh Supsystic

Generator Tabel Data oleh versi Supsystic di bawah 1.9.92 memiliki beberapa kerentanan.

Kerentanan telah ditambal, dan Anda harus memperbarui ke versi 1.9.92.

17. daftar produk-walmart

product-lister-walmart memiliki kerentanan Eksekusi Kode Jarak Jauh yang Tidak Diautentikasi.

Hapus plugin, itu telah ditutup di repositori plugin WordPress.org menunggu tinjauan.

18. Migrasi WP All-in-One

Versi Migrasi WP All-in-One di bawah 7.15 memiliki kerentanan Unduhan Cadangan Sewenang-wenang.

Kerentanan telah ditambal, dan Anda harus memperbarui ke versi 7.15.

Tema WordPress

1. Berbuah

Versi tema yang bermanfaat di bawah 3.8.2 memiliki kerentanan Pembuatan Skrip Lintas Situs Tersimpan yang Diautentikasi.

Kerentanan telah ditambal, dan Anda harus memperbarui ke versi 3.8.2.

Bagaimana Menjadi Proaktif Tentang Kerentanan Tema & Plugin WordPress

Menjalankan perangkat lunak usang adalah alasan nomor satu situs WordPress diretas. Sangat penting untuk keamanan situs WordPress Anda bahwa Anda memiliki rutinitas pembaruan. Anda harus masuk ke situs Anda setidaknya sekali seminggu untuk melakukan pembaruan.

Pembaruan Otomatis Dapat Membantu

Pembaruan otomatis adalah pilihan tepat untuk situs web WordPress yang tidak terlalu sering berubah. Kurangnya perhatian sering membuat situs-situs ini terabaikan dan rentan terhadap serangan. Bahkan dengan pengaturan keamanan yang disarankan, menjalankan perangkat lunak yang rentan di situs Anda dapat memberi penyerang titik masuk ke situs Anda.

Menggunakan fitur Manajemen Versi plugin iThemes Security Pro , Anda dapat mengaktifkan pembaruan WordPress otomatis untuk memastikan Anda mendapatkan patch keamanan terbaru. Pengaturan ini membantu melindungi situs Anda dengan opsi untuk secara otomatis memperbarui ke versi baru atau untuk meningkatkan keamanan pengguna saat perangkat lunak situs sudah usang.

Opsi Pembaruan Manajemen Versi
  • Pembaruan WordPress – Secara otomatis menginstal rilis WordPress terbaru.
  • Pembaruan Otomatis Plugin – Secara otomatis menginstal pembaruan plugin terbaru. Ini harus diaktifkan kecuali Anda secara aktif memelihara situs ini setiap hari dan menginstal pembaruan secara manual segera setelah dirilis.
  • Pembaruan Otomatis Tema – Secara otomatis menginstal pembaruan tema terbaru. Ini harus diaktifkan kecuali jika tema Anda memiliki penyesuaian file.
  • Kontrol Granular atas Pembaruan Plugin dan Tema – Anda mungkin memiliki plugin/tema yang ingin Anda perbarui secara manual, atau tunda pembaruan hingga rilis memiliki waktu untuk terbukti stabil. Anda dapat memilih Kustom untuk kesempatan menetapkan setiap plugin atau tema untuk segera diperbarui ( Aktifkan ), tidak memperbarui secara otomatis sama sekali ( Nonaktifkan ) atau memperbarui dengan penundaan dalam jumlah hari tertentu ( Tunda ).
Penguatan dan Peringatan untuk Masalah Kritis
  • Perkuat Situs Saat Menjalankan Perangkat Lunak Kedaluwarsa – Secara otomatis menambahkan perlindungan ekstra ke situs ketika pembaruan yang tersedia belum diinstal selama sebulan. Plugin Keamanan iThemes akan secara otomatis mengaktifkan keamanan yang lebih ketat ketika pembaruan belum diinstal selama sebulan. Pertama, itu akan memaksa semua pengguna yang tidak mengaktifkan dua faktor untuk memberikan kode login yang dikirim ke alamat email mereka sebelum masuk kembali. Kedua, itu akan menonaktifkan WP File Editor (untuk memblokir orang dari mengedit plugin atau kode tema) , pingback XML-RPC, dan memblokir beberapa upaya autentikasi per permintaan XML-RPC (keduanya akan membuat XML-RPC lebih kuat terhadap serangan tanpa harus mematikannya sepenuhnya).
  • Pindai Situs WordPress Lama Lainnya – Ini akan memeriksa instalasi WordPress usang lainnya di akun hosting Anda. Satu situs WordPress usang dengan kerentanan dapat memungkinkan penyerang untuk berkompromi dengan semua situs lain di akun hosting yang sama.
  • Kirim Pemberitahuan Email – Untuk masalah yang memerlukan intervensi, email dikirim ke pengguna tingkat admin.

Mengelola Beberapa Situs WP? Perbarui Plugin, Tema & Inti Sekaligus dari Dasbor Sinkronisasi iThemes

iThemes Sync adalah dasbor pusat kami untuk membantu Anda mengelola beberapa situs WordPress. Dari dasbor Sinkronisasi, Anda dapat melihat pembaruan yang tersedia untuk semua situs Anda, lalu memperbarui plugin, tema, dan inti WordPress dengan satu klik . Anda juga bisa mendapatkan pemberitahuan email setiap hari saat pembaruan versi baru tersedia.

Coba Sinkronkan GRATIS selama 30 hariPelajari lebih lanjut

Plugin Keamanan WordPress Dapat Membantu Mengamankan Situs Web Anda

iThemes Security Pro, plugin keamanan WordPress kami, menawarkan lebih dari 30 cara untuk mengamankan dan melindungi situs web Anda dari kerentanan keamanan WordPress yang umum. Dengan WordPress, otentikasi dua faktor, perlindungan brute force, penegakan kata sandi yang kuat, dan banyak lagi, Anda dapat menambahkan lapisan keamanan ekstra ke situs web Anda.

Pelajari lebih lanjut tentang keamanan WordPress dengan 10 tips utama. Unduh ebook sekarang: Panduan Keamanan WordPress
Unduh sekarang