Roundup Kerentanan WordPress: November 2020, Bagian 1

Beberapa plugin WordPress baru dan kerentanan tema diungkapkan selama paruh pertama bulan November. Posting ini mencakup plugin WordPress, tema, dan kerentanan inti terbaru dan apa yang harus dilakukan jika Anda menjalankan salah satu plugin atau tema yang rentan di situs web Anda.

Roundup Kerentanan WordPress dibagi menjadi tiga kategori berbeda: inti WordPress, plugin WordPress, dan tema WordPress.

Kerentanan Inti WordPress

WordPress 5.5.2 dirilis pada 29 Oktober dan menyertakan 10 perbaikan keamanan inti WordPress.

Berikut adalah daftar perbaikan keamanan yang disebutkan dalam posting rilis WordPress 5.5.2.

• Permintaan deserialisasi yang diperkeras.
• Perbaiki untuk menonaktifkan penyematan spam dari situs yang dinonaktifkan di jaringan multisitus .
• Memperbaiki masalah keamanan yang dapat menyebabkan XSS dari variabel global.
• Memperbaiki masalah eskalasi hak istimewa di XML-RPC.
• Memperbaiki masalah seputar eskalasi hak istimewa seputar komentar pos melalui XML-RPC.
• Memperbaiki masalah keamanan di mana serangan DoS dapat menyebabkan RCE.
• Menghapus metode untuk menyimpan XSS di post slug.
• Metode yang dihapus untuk melewati meta yang dilindungi yang dapat menyebabkan penghapusan file secara sewenang-wenang.
• Menghapus metode yang dapat mengarah ke CSRF.

Kerentanan Plugin WordPress

1. Pencarian SW Ajax WooCommerce

Versi Pencarian SW Ajax WooCommerce di bawah 1.2.8 memiliki kerentanan XSS & XFS Tercermin yang Tidak Diautentikasi.

2. AccessPress Social Icons

AccessPress Social Icons versi di bawah 1.8.1 memiliki kerentanan Injeksi SQL Terotentikasi.

3. Dukungan Kepatuhan CCPA GDPR

Dukungan Kepatuhan CCPA GDPR versi di bawah 2.4 memiliki kerentanan Injeksi Objek PHP yang Tidak Diautentikasi.

4. Realitas Tertambah

Semua versi Augmented Reality memiliki Unggahan File PHP yang Tidak Diautentikasi yang menyebabkan kerentanan RCE.

5. Welcart e-Commerce

Versi e-Commerce Welcart di bawah 1.9.36 memiliki kerentanan Injeksi Objek PHP Otentikasi.

6. WooCommerce

Versi WooCommerce di bawah 4.6.2 memiliki kerentanan Pembuatan Akun Tamu.

7. Blok WooCommerce

Versi Blok WooCommerce di bawah 3.7.1 memiliki kerentanan Pembuatan Akun Tamu.

8. Keranjang Terbengkalai untuk WooCommerce

Abandoned Cart Lite untuk versi WooCommerce di bawah 5.8.3 memiliki kerentanan Injeksi SQL yang Tidak Diautentikasi.

9. Log Aktivitas WP

Versi Log Aktivitas WP di bawah 4.1.5 memiliki kerentanan SQL Injection di Modul Database Eksternal.

10. Anggota Utama

Versi Anggota Utama di bawah 2.1.12 memiliki Peningkatan Hak Istimewa yang Tidak Diautentikasi melalui Peran Pengguna, Pembaruan Profil & kerentanan Meta Pengguna.

11. Ulasan Utama

Versi Ulasan Ultimate di bawah 2.1.33 memiliki kerentanan Injeksi Objek PHP yang Tidak Diautentikasi.

Kerentanan Tema WordPress

1. GreenMart

Versi GreenMart di bawah 2.4.3 memiliki kerentanan Skrip Lintas Situs yang Tercermin.

Tip Keamanan November: Mengapa Anda Membutuhkan Log Keamanan WordPress

Logging adalah bagian penting dari strategi keamanan WordPress Anda. Pencatatan dan pemantauan yang tidak memadai dapat menyebabkan keterlambatan dalam mendeteksi pelanggaran keamanan. Sebagian besar studi pelanggaran menunjukkan bahwa waktu untuk mendeteksi pelanggaran adalah lebih dari 200 hari! Jumlah waktu itu memungkinkan penyerang untuk menembus sistem lain, memodifikasi, mencuri, atau menghancurkan lebih banyak data. Karena alasan itulah Insufficient Logging masuk dalam 10 besar risiko keamanan aplikasi web OWASP.

Log keamanan WordPress memiliki beberapa manfaat dalam strategi keamanan Anda secara keseluruhan.

1. Identitas dan hentikan perilaku jahat.
2. Temukan aktivitas yang dapat memperingatkan Anda tentang pelanggaran.
3. Menilai berapa banyak kerusakan yang dilakukan.
4. Ajudan dalam perbaikan situs yang diretas.

Jika situs Anda diretas, Anda pasti ingin memiliki informasi terbaik untuk membantu penyelidikan dan pemulihan cepat.

Apa itu Log Keamanan WordPress?

Log Keamanan WordPress di iThemes Security Pro melacak peristiwa keamanan penting yang terjadi di situs web Anda. Peristiwa ini penting untuk dipantau untuk menunjukkan jika atau ketika pelanggaran keamanan terjadi.

Log keamanan situs web Anda adalah bagian penting dari strategi keamanan apa pun. Informasi yang ditemukan dalam catatan ini dapat digunakan untuk mengunci pelaku jahat, menyoroti perubahan yang tidak diinginkan di situs, dan membantu mengidentifikasi dan menambal titik masuk serangan yang berhasil.

Cara Menambahkan Log Keamanan WordPress ke Situs Web Anda

Cara termudah untuk menambahkan pencatatan keamanan ke situs web Anda adalah dengan plugin seperti iThemes Security Pro. Segera setelah iThemes Security Pro diinstal dan diaktifkan, iThemes Security Pro akan mulai memantau dan merekam aktivitas keamanan penting yang terjadi di situs web Anda.

iThemes Security Pro kemudian mengubah data dari log Anda menjadi dasbor keamanan WordPress real-time sehingga Anda bisa mendapatkan tampilan yang lebih baik dari semua aktivitas keamanan yang terjadi di situs Anda.

Lihat posting kami di log keamanan WordPress, untuk mempelajari peristiwa keamanan apa yang harus Anda pantau dan cara merekamnya.

Lihat cara kerjanya

Plugin Keamanan WordPress Dapat Membantu Mengamankan Situs Web Anda

iThemes Security Pro, plugin keamanan WordPress kami, menawarkan 50+ cara untuk mengamankan dan melindungi situs web Anda dari kerentanan keamanan WordPress yang umum. Dengan WordPress, otentikasi dua faktor, perlindungan brute force, penegakan kata sandi yang kuat, dan banyak lagi, Anda dapat menambahkan lapisan keamanan ekstra ke situs web Anda.

Dapatkan iThemes Security Pro

Michael Moore

Setiap minggu, Michael menyusun Laporan Kerentanan WordPress untuk membantu menjaga situs Anda tetap aman. Sebagai Manajer Produk di iThemes, dia membantu kami terus meningkatkan jajaran produk iThemes. Dia kutu buku raksasa & suka belajar tentang semua hal teknologi, lama & baru. Anda dapat menemukan Michael bergaul dengan istri & putrinya, membaca atau mendengarkan musik saat tidak bekerja.