Roundup Kerentanan WordPress: Oktober 2020, Bagian 2

Beberapa kerentanan plugin WordPress baru diungkapkan selama paruh kedua Oktober. Dalam posting ini, kami membahas plugin WordPress, tema, dan kerentanan inti terbaru dan apa yang harus dilakukan jika Anda menjalankan salah satu plugin atau tema yang rentan di situs web Anda.

Roundup Kerentanan WordPress dibagi menjadi tiga kategori berbeda: inti WordPress, plugin WordPress, dan tema WordPress.

Kerentanan Inti WordPress

WordPress 5.5.2 dirilis pada 29 Oktober dan menyertakan 10 perbaikan keamanan inti WordPress.

Berikut adalah daftar perbaikan keamanan yang disebutkan dalam posting rilis WordPress 5.5.2.

• Permintaan deserialisasi yang diperkeras.
• Perbaiki untuk menonaktifkan penyematan spam dari situs yang dinonaktifkan di jaringan multisitus .
• Memperbaiki masalah keamanan yang dapat menyebabkan XSS dari variabel global.
• Memperbaiki masalah eskalasi hak istimewa di XML-RPC.
• Memperbaiki masalah seputar eskalasi hak istimewa seputar komentar pos melalui XML-RPC.
• Memperbaiki masalah keamanan di mana serangan DoS dapat menyebabkan RCE.
• Menghapus metode untuk menyimpan XSS di post slug.
• Metode yang dihapus untuk melewati meta yang dilindungi yang dapat menyebabkan penghapusan file secara sewenang-wenang.
• Menghapus metode yang dapat mengarah ke CSRF.

Kerentanan Plugin WordPress

1. Obrolan Langsung – Dukungan langsung

Obrolan Langsung – Versi dukungan langsung di bawah 3.2.0 memiliki kerentanan Pemalsuan Permintaan Lintas Situs.

2. Obrolan Cepat

Semua versi Obrolan Cepat memiliki kerentanan Skrip Lintas Situs Tersimpan yang Tidak Diautentikasi.

3. Pencipta Tema Anak oleh Orbisius

Child Theme Creator oleh Orbisius versi di bawah 1.5.2 memiliki kerentanan CSRF ke Arbitrary File Modification/Creation.

4. Realia

Semua versi Realia memiliki IDOR Tidak Diautentikasi yang mengarah ke kerentanan Penghapusan Postingan Sewenang-wenang.

5. Tekan Komentar

Komentar Versi press di bawah 2.7.2 memiliki kerentanan Cross-Frame Scripting yang Tidak Diautentikasi.

6. Pencari Toko Super untuk WordPress

Super Store Finder untuk versi WordPress di bawah 6.2 memiliki kerentanan Unggah File Sewenang-wenang yang Tidak Diautentikasi.

7. Peta Super Interaktif untuk WordPress

Peta Super Interaktif untuk WordPress versi di bawah 2.0 memiliki kerentanan Unggah File Sewenang-wenang yang Tidak Diautentikasi.

8. Etalase Logo Super untuk WordPress

Super Logos Showcase untuk WordPress versi di bawah 2.3 memiliki kerentanan Unauthenticated Arbitrary File Upload.

9. Monitor Unduhan Sederhana

Versi Monitor Unduhan Sederhana di bawah 3.8.9 memiliki Skrip Lintas Situs yang Tidak Diautentikasi dan kerentanan Injeksi SQL.

10. Masuk

Versi loginizer di bawah 1.6.4 memiliki kerentanan Injeksi SQL yang Tidak Diautentikasi.

11. Penggeser Logo Merek Solusi Helios

Semua versi Helios Solutions Brand Logo Slider memiliki kerentanan Unggah File Sewenang-wenang yang Diautentikasi.

12. Pengelola Unduhan CM

Versi CM Download Manager di bawah 2.8.0 memiliki kerentanan Pembuatan Skrip Lintas Situs yang Diautentikasi.

13. Kalender Pemesanan Lanjut

Versi Kalender Pemesanan Lanjutan di bawah 1.6.2 memiliki kerentanan Injeksi SQL Tidak Diautentikasi.

Kerentanan Tema WordPress

Belum ada kerentanan tema WordPress yang dilaporkan pada paruh kedua Oktober.

Tip Keamanan Oktober: Mengapa Anda Harus Mencatat Aktivitas Keamanan Situs Web

Pencatatan keamanan harus menjadi bagian penting dari strategi keamanan WordPress Anda. Mengapa?

Jumlah waktu itu memungkinkan penyerang untuk menembus sistem lain, memodifikasi, mencuri, atau menghancurkan lebih banyak data. Untuk alasan ini, “pencatatan yang tidak mencukupi” masuk dalam 10 besar risiko keamanan aplikasi web OWASP.

Log keamanan WordPress memiliki beberapa manfaat dalam strategi keamanan Anda secara keseluruhan, membantu Anda:

1. Identitas dan hentikan perilaku jahat.
2. Temukan aktivitas yang dapat memperingatkan Anda tentang pelanggaran.
3. Menilai berapa banyak kerusakan yang dilakukan.
4. Bantuan dalam perbaikan situs yang diretas.

Jika situs Anda diretas, Anda pasti ingin memiliki informasi terbaik untuk membantu penyelidikan dan pemulihan cepat.

Kabar baiknya adalah iThemes Security Pro dapat membantu Anda menerapkan pencatatan situs web. Log keamanan WordPress iThemes Security Pro melacak semua aktivitas situs web ini untuk Anda:

• Serangan Brute Force WordPress
• Perubahan File
• Pemindaian Malware
• Aktivitas pengguna

Statistik dari log Anda kemudian ditampilkan di dasbor keamanan WordPress waktu nyata yang dapat Anda lihat dari dasbor admin WordPress Anda.

Lihat posting sorotan fitur ini di mana kami membongkar semua langkah menambahkan log keamanan WordPress ke situs web Anda menggunakan iThemes Security Pro.

Lihat cara kerjanya

Plugin Keamanan WordPress Dapat Membantu Mengamankan Situs Web Anda

iThemes Security Pro, plugin keamanan WordPress kami, menawarkan 50+ cara untuk mengamankan dan melindungi situs web Anda dari kerentanan keamanan WordPress yang umum. Dengan WordPress, otentikasi dua faktor, perlindungan brute force, penegakan kata sandi yang kuat, dan banyak lagi, Anda dapat menambahkan lapisan keamanan ekstra ke situs web Anda.

Dapatkan iThemes Security Pro

Michael Moore

Setiap minggu, Michael menyusun Laporan Kerentanan WordPress untuk membantu menjaga situs Anda tetap aman. Sebagai Manajer Produk di iThemes, dia membantu kami terus meningkatkan jajaran produk iThemes. Dia kutu buku raksasa & suka belajar tentang semua hal teknologi, lama & baru. Anda dapat menemukan Michael bergaul dengan istri & putrinya, membaca atau mendengarkan musik saat tidak bekerja.