Roundup Kerentanan WordPress: Oktober 2019, Bagian 2
Diterbitkan: 2019-10-30Beberapa plugin WordPress baru dan kerentanan tema diungkapkan selama paruh kedua Oktober, jadi kami ingin Anda tetap waspada. Dalam posting ini, kami membahas kerentanan plugin dan tema WordPress terbaru dan apa yang harus dilakukan jika Anda menjalankan salah satu plugin atau tema yang rentan di situs web Anda.
Kami membagi Roundup Kerentanan WordPress menjadi empat kategori berbeda:
- 1. Inti WordPress
- 2. Plugin WordPress
- 3. Tema WordPress
- 4. Pelanggaran dari seluruh web
*Kami menyertakan pelanggaran dari seluruh web karena penting juga untuk menyadari kerentanan di luar ekosistem WordPress. Eksploitasi ke perangkat lunak server dapat mengekspos data sensitif. Pelanggaran basis data dapat mengekspos kredensial untuk pengguna di situs Anda, membuka pintu bagi penyerang untuk mengakses situs Anda.
Catatan: Anda dapat melompat ke Bagan Ringkasan Kerentanan untuk bagian kedua Oktober 2019 yang tercantum di bawah ini.
Kerentanan Inti WordPress
Kerentanan Plugin WordPress
Beberapa kerentanan plugin WordPress baru telah ditemukan Oktober ini. Pastikan untuk mengikuti tindakan yang disarankan di bawah ini untuk memperbarui plugin atau mencopot pemasangannya sepenuhnya.
1. Paket SEO Semua Dalam Satu
All In One SEO Pack versi 3.2.6 dan di bawahnya rentan terhadap serangan Stored Cross-Site Scripting. Penyerang perlu menggunakan pengguna yang diautentikasi untuk mengeksploitasi kerentanan. Jika penyerang mendapatkan akses ke pengguna admin, mereka dapat mengeksekusi kode PHP dan membahayakan server.
Apa yang Harus Anda Lakukan?
2. Pemeriksa Tautan Rusak
Broken Link Checker versi 1.11.8 dan di bawahnya rentan terhadap serangan Skrip Lintas Situs yang Diautentikasi.
Apa yang Harus Anda Lakukan?
3. Manajer Acara
Pengelola Peristiwa versi 5.9.5 dan di bawahnya rentan terhadap serangan Skrip Lintas Situs Tersimpan.
Apa yang Harus Anda Lakukan?
4. Hukum Cookie UE
EU Cookie Law versi 3.0.6 dan di bawahnya rentan terhadap serangan Cross-Site Scripting. Kerentanan akan memungkinkan penyerang untuk memasukkan HTML dan Javascript sewenang-wenang untuk mengubah pengaturan Warna Font, Warna Latar Belakang, dan Teks "Nonaktifkan Cookie" di plugin.
Apa yang Harus Anda Lakukan?
5. Perkecil Kecepatan Cepat
Fast Velocity Minify versi 2.7.6 dan di bawahnya memiliki kerentanan yang memungkinkan penyerang yang diautentikasi untuk menemukan jalur root lengkap dari instalasi WordPress. Kerentanan Jalur Penuh itu sendiri tidak penting. Namun, mengetahui jalur root akan memberi penyerang informasi yang dibutuhkan untuk memanfaatkan kerentanan lain yang lebih parah.
Apa yang Harus Anda Lakukan?
6. SyntaxHighlighter Berkembang
SyntaxHighlighter Evolved versi 3.5.0 dan di bawahnya rentan terhadap serangan Cross-Site Scripting.
Apa yang Harus Anda Lakukan?
7. Surat HTML WP
WP HTML Mail versi 2.9.0.3 dan di bawahnya rentan terhadap serangan Injeksi HTML.
Apa yang Harus Anda Lakukan?
8. Irisan Faktur
Irisan Faktur versi 3.8.2 dan di bawahnya memiliki beberapa kerentanan. Kerentanan termasuk Injeksi SQL Terotentikasi, Skrip Lintas Situs Tercermin yang Diotentikasi, Pengungkapan Informasi Tidak Diautentikasi yang memungkinkan akses ke faktur, dan kurangnya pemeriksaan Pemalsuan dan Otentikasi Permintaan Lintas Situs.
Apa yang Harus Anda Lakukan?
9. Plugin Magnet Timbal Zoho CRM
Zoho CRM Lead Magnet Plugin versi 1.6.9 rentan terhadap serangan Skrip Lintas Situs yang Diautentikasi. Kerentanan akan memungkinkan penyerang untuk mengeksekusi kode berbahaya di browser pengguna.
Apa yang Harus Anda Lakukan?
10. Tentang Penulis
Tentang Penulis versi 1.3.9 dan di bawahnya rentan terhadap serangan Skrip Lintas Situs yang Diautentikasi.
Apa yang Harus Anda Lakukan?
11. Template Email
Template Email versi 1.3 dan di bawahnya rentan terhadap serangan Injeksi HTML.
Apa yang Harus Anda Lakukan?
12. Groundhogg
Groundhogg versi 1.3.11.3 dan di bawahnya rentan terhadap serangan Skrip Lintas Situs dan Injeksi SQL yang Diotentikasi.
Apa yang Harus Anda Lakukan?
13. Template Email WP
WP Email Template versi 2.2.10 dan di bawahnya rentan terhadap serangan Injeksi HTML.
Apa yang Harus Anda Lakukan?
Tema WordPress
14. Dalam Pekerjaan
InJob versi 3.3.7 dan di bawahnya rentan terhadap serangan Cross-Site Scripting.
Apa yang Harus Anda Lakukan?
Bagaimana Menjadi Proaktif Tentang Kerentanan Tema & Plugin WordPress
Menjalankan perangkat lunak usang adalah alasan nomor satu situs WordPress diretas. Sangat penting untuk keamanan situs WordPress Anda bahwa Anda memiliki rutinitas pembaruan. Anda harus masuk ke situs Anda setidaknya sekali seminggu untuk melakukan pembaruan.
Pembaruan Otomatis Dapat Membantu
Pembaruan otomatis adalah pilihan tepat untuk situs web WordPress yang tidak terlalu sering berubah. Kurangnya perhatian sering membuat situs-situs ini terabaikan dan rentan terhadap serangan. Bahkan dengan pengaturan keamanan yang disarankan, menjalankan perangkat lunak yang rentan di situs Anda dapat memberi penyerang titik masuk ke situs Anda.
Menggunakan fitur Manajemen Versi plugin iThemes Security Pro , Anda dapat mengaktifkan pembaruan WordPress otomatis untuk memastikan Anda mendapatkan patch keamanan terbaru. Pengaturan ini membantu melindungi situs Anda dengan opsi untuk secara otomatis memperbarui ke versi baru atau untuk meningkatkan keamanan pengguna saat perangkat lunak situs sudah usang.
Opsi Pembaruan Manajemen Versi
- Pembaruan WordPress – Secara otomatis menginstal rilis WordPress terbaru.
- Pembaruan Otomatis Plugin – Secara otomatis menginstal pembaruan plugin terbaru. Ini harus diaktifkan kecuali Anda secara aktif memelihara situs ini setiap hari dan menginstal pembaruan secara manual segera setelah dirilis.
- Pembaruan Otomatis Tema – Secara otomatis menginstal pembaruan tema terbaru. Ini harus diaktifkan kecuali jika tema Anda memiliki penyesuaian file.
- Kontrol Granular atas Pembaruan Plugin dan Tema – Anda mungkin memiliki plugin/tema yang ingin Anda perbarui secara manual, atau tunda pembaruan hingga rilis memiliki waktu untuk terbukti stabil. Anda dapat memilih Kustom untuk kesempatan menetapkan setiap plugin atau tema untuk segera diperbarui ( Aktifkan ), tidak memperbarui secara otomatis sama sekali ( Nonaktifkan ) atau memperbarui dengan penundaan dalam jumlah hari tertentu ( Tunda ).
Penguatan dan Peringatan untuk Masalah Kritis
- Perkuat Situs Saat Menjalankan Perangkat Lunak Kedaluwarsa – Secara otomatis menambahkan perlindungan ekstra ke situs ketika pembaruan yang tersedia belum diinstal selama sebulan. Plugin Keamanan iThemes akan secara otomatis mengaktifkan keamanan yang lebih ketat ketika pembaruan belum diinstal selama sebulan. Pertama, itu akan memaksa semua pengguna yang tidak mengaktifkan dua faktor untuk memberikan kode login yang dikirim ke alamat email mereka sebelum masuk kembali. Kedua, itu akan menonaktifkan WP File Editor (untuk memblokir orang dari mengedit plugin atau kode tema) , pingback XML-RPC, dan memblokir beberapa upaya autentikasi per permintaan XML-RPC (keduanya akan membuat XML-RPC lebih kuat terhadap serangan tanpa harus mematikannya sepenuhnya).
- Pindai Situs WordPress Lama Lainnya – Ini akan memeriksa instalasi WordPress usang lainnya di akun hosting Anda. Satu situs WordPress usang dengan kerentanan dapat memungkinkan penyerang untuk berkompromi dengan semua situs lain di akun hosting yang sama.
- Kirim Pemberitahuan Email – Untuk masalah yang memerlukan intervensi, email dikirim ke pengguna tingkat admin.
Pelanggaran Dari Seluruh Web
1. Kerentanan Eksekusi Kode Jarak Jauh PHP di Server NGINX
Jika salah satu situs Anda berada di server NGINX yang mengaktifkan PHP-FPM, Anda mungkin rentan terhadap serangan Eksekusi Kode Jarak Jauh.
Anda harus segera menghubungi host Anda untuk memastikan server Anda menjalankan salah satu versi PHP 7.3.11, 7.2.24, atau 7.1.33 yang telah ditambal ini.
Ringkasan Kerentanan WordPress untuk
Oktober 2019, Bagian 2
All In One SEO Pack versi 3.2.6 dan di bawahnya rentan terhadap serangan Stored Cross-Site Scripting.
Broken Link Checker versi 1.11.8 dan di bawahnya rentan terhadap serangan Skrip Lintas Situs yang Diautentikasi.
Pengelola Peristiwa versi 5.9.5 dan di bawahnya rentan terhadap serangan Skrip Lintas Situs Tersimpan.
EU Cookie Law versi 3.0.6 dan di bawahnya rentan terhadap serangan Cross-Site Scripting.
Fast Velocity Minify versi 2.7.6 dan di bawahnya memiliki kerentanan yang memungkinkan penyerang yang diautentikasi untuk menemukan jalur root lengkap dari instalasi WordPress.
SyntaxHighlighter Evolved versi 3.5.0 dan di bawahnya rentan terhadap serangan Cross-Site Scripting.
WP HTML Mail versi 2.9.0.3 dan di bawahnya rentan terhadap serangan Injeksi HTML.
Irisan Faktur versi 3.8.2 dan di bawahnya memiliki beberapa kerentanan. Kerentanan termasuk Injeksi SQL Terotentikasi, Skrip Lintas Situs Tercermin yang Diotentikasi, Pengungkapan Informasi Tidak Diautentikasi yang memungkinkan akses ke faktur, dan kurangnya pemeriksaan Pemalsuan dan Otentikasi Permintaan Lintas Situs.
Zoho CRM Lead Magnet Plugin versi 1.6.9 rentan terhadap serangan Skrip Lintas Situs yang Diautentikasi.
Tentang Penulis versi 1.3.9 dan di bawahnya rentan terhadap serangan Skrip Lintas Situs yang Diautentikasi.
Template Email versi 1.3 dan di bawahnya rentan terhadap serangan Injeksi HTML.
Groundhogg versi 1.3.11.3 dan di bawahnya rentan terhadap serangan Skrip Lintas Situs dan Injeksi SQL yang Diotentikasi.
WP Email Template versi 2.2.10 dan di bawahnya rentan terhadap serangan Injeksi HTML.
Plugin Keamanan WordPress Dapat Membantu Mengamankan Situs Web Anda + Hemat 35% Hingga 31 Oktober
iThemes Security Pro, plugin keamanan WordPress kami, menawarkan lebih dari 30 cara untuk mengamankan dan melindungi situs web Anda dari kerentanan keamanan WordPress yang umum. Dengan WordPress, otentikasi dua faktor, perlindungan brute force, penegakan kata sandi yang kuat, dan banyak lagi, Anda dapat menambahkan lapisan keamanan ekstra ke situs web Anda.
Dapatkan Keamanan iThemes
Setiap minggu, Michael menyusun Laporan Kerentanan WordPress untuk membantu menjaga situs Anda tetap aman. Sebagai Manajer Produk di iThemes, dia membantu kami terus meningkatkan jajaran produk iThemes. Dia kutu buku raksasa & suka belajar tentang semua hal teknologi, lama & baru. Anda dapat menemukan Michael bergaul dengan istri & putrinya, membaca atau mendengarkan musik saat tidak bekerja.
