Roundup Kerentanan WordPress: Oktober 2020, Bagian 1
Diterbitkan: 2020-12-08Kerentanan plugin dan tema WordPress baru diungkapkan selama paruh pertama Oktober. Dalam posting ini, kami membahas plugin WordPress, tema, dan kerentanan inti terbaru dan apa yang harus dilakukan jika Anda menjalankan salah satu plugin atau tema yang rentan di situs web Anda.
Roundup Kerentanan WordPress dibagi menjadi tiga kategori berbeda: inti WordPress, plugin WordPress, dan tema WordPress.
Kerentanan Inti WordPress
Belum ada kerentanan inti WordPress yang diungkapkan pada paruh kedua Juli.
Kerentanan Plugin WordPress
1. XCloner
Versi XCloner di bawah 4.2.15 memiliki kerentanan Pemalsuan Permintaan Lintas Situs.
2. Formulir Kontak Ninja Form
Versi Formulir Kontak Ninja Forms di bawah 3.4.27.1 memiliki kerentanan Pemalsuan Permintaan Lintas Situs.
3. Koditor
Semua versi Coditor memiliki kerentanan Pemalsuan Permintaan Lintas Situs.
4. Sederhana: Tekan
Sederhana:Tekan versi di bawah 6.6.1 memiliki kerentanan Broken Access Control, yang dapat menyebabkan serangan Remote Code Execution.
5. WP Kursus LMS
WP Courses versi LMS di bawah 2.0.29 memiliki kerentanan Broken Access Control.
6. Penggeser oleh 10Web
Slider oleh versi 10Web di bawah 1.2.36 memiliki beberapa kerentanan Injeksi SQL Terotentikasi.
7. WordPress + Microsoft Office 365 / Azure AD
WordPress + Microsoft Office 365 / Azure AD versi di bawah 11.7 memiliki kerentanan Bypass Otentikasi.
8. Etalase Tim
Versi Etalase Tim di bawah 1.22.16 memiliki kerentanan Pembuatan Skrip Lintas Situs Tersimpan yang Diautentikasi.
9. Kotak Pos
Versi Post Grid di bawah 2.0.73 memiliki kerentanan Skrip Lintas Situs Tersimpan yang Diautentikasi.
10. Pembuat Halaman WPBakery
Versi WPBakery Page Builder di bawah 6.4.1 memiliki kerentanan Authenticated Stored Cross-Site Scripting.
11. Komentar berlebihan
Semua versi kerentanan Penghapusan File Sewenang-wenang yang Tidak Diautentikasi Hypercomments.
12. Konten Dinamis untuk Elementor
Konten Dinamis untuk versi Elementor di bawah 1.9.6 memiliki kerentanan Eksekusi Kode Jarak Jauh yang Diautentikasi.
13. Podcasting PowerPress
Versi PowerPress Podcasting di bawah 8.3.8 memiliki masalah utama Unggah File Sewenang-wenang yang Diautentikasi yang mengarah ke kerentanan Eksekusi Kode Jarak Jauh.
Kerentanan Tema WordPress
1. Bentuknya
Versi indah di bawah v1.2.9 memiliki kerentanan Injeksi Fungsi yang Tidak Diautentikasi.
2. Majalah Berita
Versi NewsMag di bawah 2.4.2 memiliki kerentanan Injeksi Fungsi yang Tidak Diautentikasi.
3. Aktif
Versi Activello di bawah 1.4.2 memiliki kerentanan Injeksi Fungsi Tidak Diautentikasi.
4. Illdy
Versi buruk di bawah 2.1.7 memiliki kerentanan Injeksi Fungsi Tidak Diautentikasi.
5. Setia
Versi Allegiant di bawah 1.2.6 memiliki kerentanan Injeksi Fungsi yang Tidak Diautentikasi.
6. Koran X
Versi Koran X di bawah 1.3.2 memiliki kerentanan Injeksi Fungsi yang Tidak Diautentikasi.
7. Pixova Lite
Versi Pixova Lite di bawah 2.0.7 memiliki kerentanan Injeksi Fungsi Tidak Diautentikasi.
8. Kecemerlangan
Versi brilian di bawah 1.3.0 memiliki kerentanan Injeksi Fungsi Tidak Diautentikasi.
9. MedZone Lite
Versi MedZone Lite di bawah 1.2.6 memiliki kerentanan Injeksi Fungsi yang Tidak Diautentikasi.
10. Regina Lite
Versi Regina Lite di bawah 2.0.6 memiliki kerentanan Injeksi Fungsi Tidak Diautentikasi.
12. Melampaui
Versi Transcend di bawah 1.2.0 memiliki kerentanan Injeksi Fungsi yang Tidak Diautentikasi.
13. Kaya
Versi makmur di bawah 1.1.2 memiliki kerentanan Injeksi Fungsi yang Tidak Diautentikasi.
14. Gila
Versi gila di bawah 1.0.6 memiliki kerentanan Injeksi Fungsi Tidak Diautentikasi.
15. Antreas
Versi Antreas di bawah 1.0.7 memiliki kerentanan Injeksi Fungsi Tidak Diautentikasi.
16. NatureMag Lite
Semua versi NatureMag Lite memiliki kerentanan Injeksi Fungsi yang Tidak Diautentikasi.
Tip Keamanan Oktober: Mengapa Anda Harus Menggunakan Otentikasi Dua Faktor
Menggunakan otentikasi dua faktor untuk login pengguna situs WordPress Anda dapat membantu menjaga situs web Anda tetap aman bahkan jika Anda menggunakan salah satu plugin di edisi kumpulan kerentanan ini dengan kerentanan bypass otentikasi.
Menggunakan otentikasi dua faktor untuk login pengguna situs WordPress Anda dapat membantu menjaga situs web Anda tetap aman bahkan jika Anda menggunakan plugin dengan kerentanan bypass otentikasi.Mengapa? Otentikasi dua faktor membuat hampir tidak mungkin bagi pengguna yang tidak diautentikasi untuk masuk ke situs web Anda.
Apa itu otentikasi dua faktor ? Otentikasi dua faktor adalah proses verifikasi identitas seseorang dengan memerlukan dua metode verifikasi yang terpisah. Otentikasi dua faktor menambahkan lapisan keamanan WordPress tambahan untuk memverifikasi bahwa Anda benar-benar masuk dan bukan seseorang yang mendapatkan akses (atau bahkan menebak) kata sandi Anda.
Berikut adalah beberapa alasan lagi untuk menggunakan otentikasi dua faktor untuk menambahkan lapisan perlindungan lain ke login WordPress Anda.
- Kata sandi yang digunakan kembali adalah kata sandi yang lemah. Menurut Laporan Investigasi Pelanggaran Data Verizon, lebih dari 70% karyawan menggunakan kembali kata sandi di tempat kerja. Tetapi statistik terpenting dari laporan tersebut adalah bahwa “ 81% pelanggaran terkait peretasan memanfaatkan kata sandi yang dicuri atau lemah .”
- Meskipun 91% orang tahu bahwa menggunakan kembali kata sandi adalah praktik yang buruk , secara mengejutkan 59% orang masih menggunakan kembali kata sandi mereka di mana saja!
- Banyak orang masih menggunakan kata sandi yang muncul di database dump. Dump basis data terjadi ketika peretas berhasil mendapatkan akses ke basis data pengguna dan kemudian membuang konten di suatu tempat secara online. Sayangnya bagi kami, dump ini berisi banyak informasi login dan akun yang sensitif.
- Pelanggaran Data “Koleksi #1” yang dihosting di MEGA yang dihosting mencakup 1.160.253.228 kombinasi unik alamat email dan kata sandi. Skor semacam ini akan memberi bot jahat lebih dari satu miliar set kredensial untuk digunakan dalam serangan brute force. Serangan brute force mengacu pada metode coba-coba yang digunakan untuk menemukan kombinasi nama pengguna dan kata sandi untuk meretas situs web.
- Bahkan jika Anda memiliki kata sandi yang kuat, Anda hanya seaman setiap pengguna admin lain di situs Anda. Oke, jadi Anda adalah tipe orang yang menggunakan pengelola kata sandi seperti LastPass untuk membuat kata sandi yang kuat dan unik untuk setiap akun Anda. Tetapi bagaimana dengan pengguna administrator dan editor lain di situs Anda? Jika penyerang dapat mengkompromikan salah satu akun mereka, mereka masih dapat melakukan banyak kerusakan pada situs web Anda.
- Google mengatakan otentikasi dua faktor efektif terhadap 100% serangan bot otomatis . Itu saja adalah alasan yang cukup bagus.
Cara Menambahkan Otentikasi Dua Faktor untuk Mengamankan Login WordPress Anda dengan iThemes Security Pro
Plugin iThemes Security Pro memudahkan untuk menambahkan otentikasi dua faktor ke situs web WordPress Anda. Dengan otentikasi dua faktor WordPress iThemes Security Pro, pengguna diharuskan memasukkan kata sandi DAN kode sekunder yang dikirim ke perangkat seluler seperti ponsel cerdas atau tablet. Baik kata sandi dan kode diperlukan untuk berhasil masuk ke akun pengguna.
Untuk mulai menggunakan Otentikasi Dua Faktor di situs web Anda, aktifkan fitur di halaman utama pengaturan iThemes Security Pro.
Dalam posting ini, kami membongkar semua langkah tentang cara menambahkan otentikasi dua faktor ke situs Anda dengan iThemes Security Pro, termasuk cara menggunakan aplikasi pihak ketiga seperti Google Authenticator atau Authy.
Lihat cara kerjanya
Plugin Keamanan WordPress Dapat Membantu Mengamankan Situs Web Anda
iThemes Security Pro, plugin keamanan WordPress kami, menawarkan 50+ cara untuk mengamankan dan melindungi situs web Anda dari kerentanan keamanan WordPress yang umum. Dengan WordPress, otentikasi dua faktor, perlindungan brute force, penegakan kata sandi yang kuat, dan banyak lagi, Anda dapat menambahkan lapisan keamanan ekstra ke situs web Anda.
Dapatkan iThemes Security Pro
Setiap minggu, Michael menyusun Laporan Kerentanan WordPress untuk membantu menjaga situs Anda tetap aman. Sebagai Manajer Produk di iThemes, dia membantu kami terus meningkatkan jajaran produk iThemes. Dia kutu buku raksasa & suka belajar tentang semua hal teknologi, lama & baru. Anda dapat menemukan Michael bergaul dengan istri & putrinya, membaca atau mendengarkan musik saat tidak bekerja.
