Roundup Kerentanan WordPress: September 2020, Bagian 2
Diterbitkan: 2020-10-23Beberapa plugin WordPress baru dan kerentanan tema diungkapkan selama paruh kedua September, menjadikan ini salah satu pengumpulan terbesar kami hingga saat ini. Dalam posting ini, kami membahas plugin WordPress, tema, dan kerentanan inti terbaru dan apa yang harus dilakukan jika Anda menjalankan salah satu plugin atau tema yang rentan di situs web Anda.
Roundup Kerentanan WordPress dibagi menjadi tiga kategori berbeda: inti WordPress, plugin WordPress, dan tema WordPress.
Kerentanan Inti WordPress
Tidak ada kerentanan inti WordPress yang diungkapkan pada tanggal dua September. Pastikan Anda menjalankan WordPress versi terbaru, yaitu versi 5.5.1.
Kerentanan Plugin WordPress
1. Pembersihan Aset
Versi Pembersihan Aset di bawah 1.3.6.7 memiliki Pemalsuan Permintaan Lintas Situs dan kerentanan Skrip Lintas Situs.
2. Menu Lengket, Tajuk Lengket
Sticky Menu, versi Sticky Header di bawah 2.21 memiliki Pemalsuan Permintaan Lintas Situs dan kerentanan Skrip Lintas Situs.
3. Cookiebot
Cookiebot versi di bawah 3.6.1 memiliki Pemalsuan Permintaan Lintas Situs dan kerentanan Pembuatan Skrip Lintas Situs.
4. Keamanan & Firewall WP Semua Dalam Satu
All In One WP Security & Firewall versi di bawah 4.4.4 memiliki Pemalsuan Permintaan Lintas Situs dan kerentanan Pembuatan Skrip Lintas Situs.
5. Admin Kustom yang Benar-benar Glamor
Versi Admin Kustom yang Benar-benar Glamor di bawah 6.5.5 memiliki Pemalsuan Permintaan Lintas Situs dan kerentanan Pembuatan Skrip Lintas Situs.
6. Elemen Addon Elemen
Elementor Addon Elemen versi di bawah 1.6.4 memiliki Pemalsuan Permintaan Lintas Situs dan kerentanan Pembuatan Skrip Lintas Situs.
7. Pelanggan Email & Buletin
Versi Pelanggan Email & Buletin di bawah 4.5.6 memiliki kerentanan Pemalsuan/Spoofing Email yang Tidak Diautentikasi.
8. Umpan Posting Sosial 10Web
10Web Social Post Feed versi di bawah 1.1.27 memiliki kerentanan Injeksi SQL Terotentikasi.
9. Manajer Afiliasi
Versi Affiliate Manager di bawah 2.7.8 memiliki kerentanan Pembuatan Skrip Lintas Situs yang Tidak Diautentikasi.
10. Pemesanan Hotel WP
Versi WP Hotel Booking di bawah 1.10.2 memiliki kerentanan Pemalsuan Permintaan Lintas Situs.
11. Manajer Proyek WP
Versi WP Project Manager di bawah 2.4.1 memiliki kerentanan Pemalsuan Permintaan Lintas Situs.
12. 10WebAnalytics
10WebAnalytics versi di bawah 1.2.9 memiliki kerentanan Pemalsuan Permintaan Lintas Situs.
13. Top 10 – Plugin posting populer untuk WordPress
10 Teratas – Plugin posting populer untuk versi WordPress di bawah 2.9.5 memiliki kerentanan Pemalsuan Permintaan Lintas Situs.
14. Manajer Sidebar Ringan
Versi Sidebar Manager Ringan di bawah 1.1.4 memiliki kerentanan Pemalsuan Permintaan Lintas Situs.
15. Tombol Radio untuk Taksonomi
Tombol Radio untuk versi Taksonomi di bawah 2.0.6 memiliki kerentanan Pemalsuan Permintaan Lintas Situs.
16. Katalog Produk X
Katalog Produk X versi di bawah 1.5.13 memiliki kerentanan Pemalsuan Permintaan Lintas Situs.
17. Keanggotaan Berbayar Pro
Versi Pro Keanggotaan Berbayar di bawah 2.4.3 memiliki kerentanan Pemalsuan Permintaan Lintas Situs.
18. PemberitahuanX
Versi NotificationX di bawah 1.8.3 memiliki kerentanan Pemalsuan Permintaan Lintas Situs.
19. Segera Hadir & Halaman Mode Pemeliharaan
Versi Halaman Mode Segera Hadir & Pemeliharaan di bawah 1,58 memiliki kerentanan Pemalsuan Permintaan Lintas Situs.
20. Menu Tukar
Versi Menu Swapper di bawah 1.1.1 memiliki kerentanan Pemalsuan Permintaan Lintas Situs.
21. Cuplikan iklan Woody
Versi cuplikan iklan Woody di bawah 2.3.10 memiliki kerentanan Pemalsuan Permintaan Lintas Situs.
22. Pembentuk
Versi Forminator di bawah 1.13.5 memiliki kerentanan Pemalsuan Permintaan Lintas Situs.
23. Agregator RSS oleh Feedzy
RSS Aggregator oleh Feedzy versi di bawah 3.4.3 memiliki kerentanan Pemalsuan Permintaan Lintas Situs.
24. Beri Mereka Sosial
Beri Mereka Versi Sosial di bawah 2.8.7 memiliki kerentanan Pemalsuan Permintaan Lintas Situs.
25. WP ERP
Versi WP ERP di bawah 1.6.4 memiliki kerentanan Pemalsuan Permintaan Lintas Situs.
26. Katalog Produk eCommerce
Versi Katalog Produk eCommerce di bawah 2.9.44 memiliki kerentanan Pemalsuan Permintaan Lintas Situs.
27. Testimoni Mudah
Versi Testimonial Mudah di bawah 3.7 memiliki kerentanan Pemalsuan Permintaan Lintas Situs.
28. Dokan
Versi Dokan di bawah 3.0.9 memiliki kerentanan Pemalsuan Permintaan Lintas Situs.
29. Solusi Pasar Multivendor WooCommerce Terbaik
Versi Solusi Pasar Multivendor WooCommerce Terbaik di bawah 3.5.8 memiliki kerentanan Pemalsuan Permintaan Lintas Situs.
30. Templat Bidang Kustom
Versi Templat Bidang Kustom di bawah 2.5.2 memiliki kerentanan Pemalsuan Permintaan Lintas Situs.
31. Pembuat Kupon
Versi Pembuat Kupon di bawah 3.1.1 memiliki kerentanan Pemalsuan Permintaan Lintas Situs.
32. Garis Waktu Keren
Versi Timeline Keren di bawah 2.0.3 memiliki kerentanan Pemalsuan Permintaan Lintas Situs.
33. Pembuat Corong oleh CartFlows
Versi Funnel Builder oleh CartFlows di bawah 1.5.16 memiliki kerentanan Pemalsuan Permintaan Lintas Situs.
34. Pengaturan Penyesuai Impor / Ekspor
Versi Pengaturan Impor/Ekspor Penyesuai di bawah 1.0.4 memiliki kerentanan Pemalsuan Permintaan Lintas Situs.
35. Aturan Diskon untuk WooCommerce
Aturan Diskon untuk versi WooCommerce di bawah 2.2.1 memiliki beberapa kerentanan Bypass Otorisasi.
36. MetaSlider
Versi MetaSlider di bawah 3.17.2 memiliki kerentanan Authenticated Stored Cross-Site Scripting.
37. Seret dan Jatuhkan Beberapa Unggah File
Seret dan Jatuhkan Beberapa Versi Unggah File di bawah 1.3.5.5 memiliki kerentanan Eksekusi Kode Jarak Jauh yang Tidak Diautentikasi.
Kerentanan Tema WordPress
1. JobMonster
Versi JobMonster di bawah 4.6.6.1 memiliki kerentanan Daftar Direktori di Folder Unggah.
Sorotan Fitur iThemes Security Pro: Perangkat Tepercaya
Ada banyak fitur di iThemes Security Pro yang dapat menghentikan peretas dari mengeksploitasi kerentanan di plugin dan tema WordPress. Bypass Otentikasi dan Pembajakan Sesi adalah dua jenis kerentanan yang paling berbahaya. Kedua kerentanan ini dapat dimanfaatkan oleh peretas untuk melewati perlindungan otentikasi dan mengambil kendali atas situs web Anda.
Hari ini kita akan membahas Trusted Devices , metode keamanan yang kuat untuk melindungi situs web Anda bahkan ketika rentan terhadap autentikasi bypass atau serangan pembajakan sesi.
Perangkat Tepercaya adalah metode keamanan yang tangguh untuk melindungi situs web Anda bahkan ketika situs tersebut rentan terhadap autentikasi bypass atau serangan pembajakan sesi.
Mengapa Kami Mengembangkan Perangkat Tepercaya
Katakanlah Anda mengikuti semua praktik terbaik keamanan WordPress untuk melindungi akun pengguna Anda. Anda tidak hanya menggunakan kata sandi yang unik dan kuat untuk setiap situs, tetapi Anda juga mengunci semua akun online Anda dengan otentikasi dua faktor. Anda adalah contoh yang baik tentang bagaimana menangani keamanan WordPress dengan serius .
Namun, bahkan dengan semua langkah keamanan yang Anda lakukan, entah bagaimana, situs web Anda masih diretas. Dan, untuk memperburuk keadaan, penyerang menggunakan pengguna WordPress ANDA untuk meretas situs tersebut. Bagaimana ini bisa terjadi padamu, guru keamanan ?!
Sayangnya, bahkan jika Anda melakukan segalanya dengan benar untuk mengamankan akun pengguna WordPress Anda, masih ada metode yang dapat digunakan peretas untuk mengeksploitasi akun Anda.
Misalnya, WordPress menghasilkan cookie sesi setiap kali Anda masuk ke situs web Anda. Dan katakanlah Anda memiliki ekstensi browser yang telah ditinggalkan oleh pengembang dan tidak lagi merilis pembaruan keamanan. Sayangnya untuk Anda, ekstensi browser yang diabaikan memiliki kerentanan. Kerentanan memungkinkan aktor jahat untuk membajak cookie browser Anda, termasuk cookie sesi WordPress yang disebutkan sebelumnya. Jenis peretasan ini dikenal sebagai Pembajakan Sesi . Jadi, penyerang dapat mengeksploitasi kerentanan ekstensi untuk mendukung login Anda dan mulai membuat perubahan berbahaya dengan pengguna WordPress Anda.
Cukup payah, bukan? Kami setuju, jadi kami menciptakan cara untuk melindungi akun Anda, bahkan ketika pelaku jahat dapat menemukan dan mengeksploitasi kerentanan lainnya.
Apa Itu Perangkat Tepercaya?
Fitur Trusted Devices di iThemes Security Pro berfungsi untuk mengidentifikasi perangkat yang Anda dan pengguna lain gunakan untuk login ke situs WordPress Anda. Setelah perangkat Anda diidentifikasi, kami dapat menghentikan pembajak sesi dan pelaku jahat lainnya dari melakukan kerusakan apa pun di situs web Anda.
Saat pengguna masuk ke perangkat yang tidak dikenal, Perangkat Tepercaya dapat membatasi kemampuan tingkat administrator mereka . Ini berarti bahwa jika penyerang dapat membobol backend situs WordPress Anda, mereka tidak akan memiliki kemampuan untuk membuat perubahan berbahaya apa pun pada situs web Anda.
Dalam skenario ini, Anda akan menerima email yang memberi tahu Anda bahwa seseorang masuk ke situs Anda dari perangkat yang tidak dikenal. Email tersebut menyertakan opsi untuk memblokir perangkat peretas. Kemudian Anda hanya bisa tertawa dan tertawa, mengetahui bahwa Anda merusak hari orang jahat.
Manfaat lain dari Perangkat Tepercaya adalah membuat Pembajakan Sesi menjadi sesuatu dari masa lalu. Jika perangkat pengguna berubah selama sesi, iThemes Security akan secara otomatis mengeluarkan pengguna untuk mencegah aktivitas tidak sah di akun pengguna, seperti mengubah alamat email pengguna atau mengunggah plugin berbahaya.
Astaga, rasanya menyenangkan mencegah serangan jahat agar tidak berhasil!
Cara Menggunakan Fitur Perangkat Tepercaya di iThemes Security Pro
Untuk mulai menggunakan Perangkat Tepercaya, aktifkan di halaman utama pengaturan keamanan, lalu klik tombol Konfigurasi Pengaturan .
Dalam pengaturan Perangkat Tepercaya, putuskan pengguna mana yang ingin Anda gunakan fiturnya, lalu aktifkan fitur Batasi Kemampuan dan Perlindungan Pembajakan Sesi .
Setelah mengaktifkan pengaturan Perangkat Tepercaya yang baru, pengguna akan menerima pemberitahuan di bilah admin WordPress tentang perangkat yang tidak dikenal yang tertunda. Jika perangkat Anda saat ini belum ditambahkan ke daftar perangkat tepercaya, klik tautan Konfirmasi Perangkat Ini untuk mengirim email otorisasi .
Klik tombol Konfirmasi Perangkat di email Login Tidak Dikenal untuk menambahkan perangkat Anda saat ini ke daftar Perangkat Tepercaya.
Setelah Perangkat Tepercaya diaktifkan, pengguna dapat mengelola perangkat dari halaman Profil Pengguna WordPress mereka. Dari layar ini, Anda dapat menyetujui atau menolak perangkat dari daftar Perangkat Tepercaya.
Selain itu, Anda memiliki opsi untuk mendaftar ke beberapa API bagian ketiga guna meningkatkan akurasi identifikasi Perangkat Tepercaya dan menggunakan peta gambar statis untuk menampilkan perkiraan lokasi login yang tidak dikenal. Lihat pengaturan Perangkat Tepercaya untuk melihat integrasi apa yang tersedia,
Plugin Keamanan WordPress Dapat Membantu Mengamankan Situs Web Anda
iThemes Security Pro, plugin keamanan WordPress kami, menawarkan 50+ cara untuk mengamankan dan melindungi situs web Anda dari kerentanan keamanan WordPress yang umum. Dengan WordPress, otentikasi dua faktor, perlindungan brute force, penegakan kata sandi yang kuat, dan banyak lagi, Anda dapat menambahkan lapisan keamanan ekstra ke situs web Anda.
Dapatkan iThemes Security Pro
Setiap minggu, Michael menyusun Laporan Kerentanan WordPress untuk membantu menjaga situs Anda tetap aman. Sebagai Manajer Produk di iThemes, dia membantu kami terus meningkatkan jajaran produk iThemes. Dia kutu buku raksasa & suka belajar tentang semua hal teknologi, lama & baru. Anda dapat menemukan Michael bergaul dengan istri & putrinya, membaca atau mendengarkan musik saat tidak bekerja.
