Raport podatności WordPressa: sierpień 2021, część 3

Podatne wtyczki i motywy są głównym powodem ataków na witryny WordPress. Cotygodniowy raport na temat luk w zabezpieczeniach WordPress obsługiwany przez WPScan obejmuje najnowsze wtyczki WordPress, motywy i podstawowe luki w zabezpieczeniach oraz co zrobić, jeśli uruchomisz jedną z wrażliwych wtyczek lub motywów w swojej witrynie.

Każda podatność będzie miała wskaźnik ważności Niski , Średni , Wysoki lub Krytyczny . Odpowiedzialne ujawnianie i zgłaszanie luk w zabezpieczeniach jest integralną częścią zapewniania bezpieczeństwa społeczności WordPressa.

Jako jeden z największych dotychczasowych raportów o lukach w zabezpieczeniach WordPress, udostępnij ten post znajomym, aby pomóc w rozpowszechnianiu informacji i uczynić WordPress bezpieczniejszym dla wszystkich.

Główne luki w WordPressie

1. Czyste logowanie

Wtyczka: czyste logowanie
Luka w zabezpieczeniach : odbite skrypty między witrynami
Łatka w wersji : 1.12.6.4
Wynik ciężkości : średni

2. PlasterekWP

Wtyczka: SliceWP
Luka w zabezpieczeniach : odbite skrypty między witrynami (XSS)
Łatka w wersji : 1.0.46
Wynik ważności : wysoki

3. Menedżer pobierania WordPress

Wtyczka: Menedżer pobierania WordPress
Luka w zabezpieczeniach : aktualizacja ustawień szablonu wiadomości e-mail przez CSRF
Łatka w wersji : 3.2.13
Wynik ciężkości : średni

4. Wypowiedz się! Petycje e-mailowe

Wtyczka: SpeakOut! Petycje e-mailowe
Luka w zabezpieczeniach : odbite skrypty między witrynami
Łatka w wersji : 2.13.3
Wynik ważności : wysoki

5. Recenzje stron

Wtyczka: Recenzje stron
Luka w zabezpieczeniach : uwierzytelniony przechowywany XSS
Łatka w wersji : 5.13.1
Ocena ważności : Niska

6. Nauczyciel LMS

Wtyczka: Tutor LMS
Luka w zabezpieczeniach : odbite skrypty między witrynami
Łatka w wersji : 1.9.6
Wynik ważności : wysoki

7. Pasek powiadomień z przodu WPF

Wtyczka: pasek powiadomień WPFront
Luka w zabezpieczeniach : uwierzytelniony przechowywany XSS
Łatka w wersji : 2.1.08087
Ocena ważności : Niska

8. Kreator formularzy

Wtyczka: Kreator formularzy
Luka w zabezpieczeniach : odbite skrypty między witrynami (XSS)
Łatka w wersji : 1.9.8.5
Wynik ważności : wysoki

Wtyczka: Kreator formularzy
Luka w zabezpieczeniach : uwierzytelnione przechowywane przechowywane skrypty między witrynami
Poprawiona w wersji : 1.9.8.4
Ocena ważności : Niska

9. Kopia zapasowa WPvivid

Wtyczka: WPvivid Backup
Luka w zabezpieczeniach : odbite skrypty między witrynami
Łatka w wersji : 0.9.56
Wynik ważności : wysoki

10. Dodaj do dowolnego

Wtyczka: AddToAny
Luka w zabezpieczeniach : uwierzytelniony przechowywany XSS
Łatka w wersji : 1.7.46
Ocena ważności : Niska

11. Zatrzymaj bezpieczeństwo spamerów

Wtyczka: Zatrzymaj Spamerów Bezpieczeństwo
Luka w zabezpieczeniach : uwierzytelniony przechowywany XSS
Łatka w wersji : 2021.18
Ocena ważności : Niska

12. Słowa kluczowe i meta

Wtyczka: Słowa kluczowe i meta
Luka w zabezpieczeniach : CSRF do Stored Cross-Site Scripting (XSS)
Poprawiona w wersji : brak znanej poprawki
Wynik ważności : wysoki

13. Rama Tytana

Wtyczka: Rama Titan
Luka w zabezpieczeniach : odbite skrypty między witrynami (XSS)
Poprawiona w wersji : brak znanej poprawki
Wynik ważności : wysoki

Wpływa na wtyczki:

• 4k-icon-fonts-for-visual-composer – Brak znanej poprawki – wtyczka zamknięta
• adblock-notify-by-bweb – brak znanej poprawki
• affiliate-pro – brak znanej poprawki – wtyczka zamknięta
• amp-extensions – brak znanej poprawki
• aoi-tori – brak znanej poprawki
• niesamowite wsparcie – brak znanej poprawki
• betteroptin – brak znanej poprawki – wtyczka zamknięta
• border-loading-bar – brak znanej poprawki
• catchers-helpdesk – brak znanej poprawki
• kategorie-galeria – Nie wiadomo, jaka jest poprawka
• kategorie-galeria-woocommerce – Brak znanej poprawki
• cf7-customizer – brak znanej poprawki
• Clinicwp-core – brak znanej poprawki
• cool-facebook-page-feed-timeline – Brak znanej poprawki – wtyczka zamknięta
• custom-scroll-bar-designer – brak znanej poprawki
• custom-text-selection-colors – Nieznane rozwiązanie
• disable-image-click-right-click – Brak znanej poprawki
• easy-galeria-slideshow – brak znanej poprawki
• easy-google-map – brak znanej poprawki
• łatwa-uzasadniona-galeria – Nieznana poprawka
• email-moje-posty – brak znanej poprawki
• exit-popup-show – brak znanej poprawki
• Flight-search-widget-blocks – brak znanej poprawki
• ikony-z-linkami-widget – Brak znanej poprawki – wtyczka zamknięta
• icustomizer – brak znanej poprawki
• live-chat-facebook-fanpage – brak znanej poprawki
• media-mirror – brak znanej poprawki
• mobile-menu – brak znanej poprawki
• popup-modal-for-youtube – brak znanej poprawki
• project-app – brak znanej poprawki
• seatgeek-affiliate-tickets – Nieznana poprawka
• seo-dashboard-by-gutewebsites-de – Brak znanej poprawki
• share-woocommerce-email – brak znanej poprawki
• simple-behace-portfolio – Nieznane rozwiązanie
• stars-menu – brak znanej poprawki – wtyczka zamknięta
• station-pro – brak znanej poprawki
• sticky-related-posts – Brak znanej poprawki – wtyczka zamknięta
• tcs3 – brak znanej poprawki
• template-events-calendar – Brak znanej poprawki
• całkowita-sprzedaż-dla-woocommerce – brak znanej poprawki
• tr-easy-google-analytics – Brak znanej poprawki – wtyczka zamknięta
• venture-event-manager – brak znanej poprawki
• w3s-cf7-zoho – Nieznana poprawka
• webhotelier – brak znanej poprawki
• woo-availability-date – brak znanej poprawki
• woo-whatsapp-request-quote – Brak znanej poprawki – wtyczka zamknięta
• woosaleskit-bar – brak znanej poprawki – wtyczka zamknięta
• Yandex-money-button – Nieznana poprawka

14. WP Fusion Lite

Wtyczka: WP Fusion Lite
Luka : CSRF do usunięcia danych
Łatka w wersji : 3.37.30
Wynik ciężkości : średni

Wtyczka: WP Fusion Lite
Luka w zabezpieczeniach : odbite skrypty między witrynami (XSS)
Łatka w wersji : 3.37.30
Wynik ważności : wysoki

Wtyczka: WP Fusion Lite
Luka w zabezpieczeniach : odbite skrypty między witrynami (XSS)
Łatka w wersji : 3.37.31
Wynik ważności : wysoki

15. Blokuj i zatrzymuj złe boty

Wtyczka: Blokuj i zatrzymuj złe boty
Luka w zabezpieczeniach : uwierzytelnione wstrzyknięcia SQL
Poprawione w wersji : 6.60
Wynik ciężkości : średni

16. Prosty kalendarz rezerwacji WP

Wtyczka: Prosty kalendarz rezerwacji WP
Luka w zabezpieczeniach : uwierzytelnione wstrzyknięcia SQL
Łatka w wersji : 2.0.6
Wynik ciężkości : średni

17. Płatne subskrypcje członkowskie

Wtyczka: Płatne subskrypcje członkowskie
Luka w zabezpieczeniach : uwierzytelnione wstrzyknięcia SQL
Łatka w wersji : 2.4.2
Wynik ciężkości : średni

18. Favicon autorstwa RealFaviconGenerator

Wtyczka: Favicon od RealFaviconGenerator
Luka w zabezpieczeniach : odbite skrypty między witrynami (XSS)
Łatka w wersji : 1.3.22
Wynik ważności : wysoki

19. Alipay

Wtyczka: Alipay
Luka w zabezpieczeniach : uwierzytelniony wstrzyknięcie SQL
Poprawiona w wersji : brak znanej poprawki
Wynik ciężkości : średni

20. Kasjer

Wtyczka: Cashtomer
Luka w zabezpieczeniach : uwierzytelniony wstrzyknięcie SQL
Poprawiona w wersji : brak znanej poprawki
Wynik ciężkości : średni

21. Członkostwo WordPress SwiftCloud.io

Wtyczka: Członkostwo WordPress SwiftCloud.io
Luka w zabezpieczeniach : uwierzytelniony wstrzyknięcie SQL
Poprawiona w wersji : brak znanej poprawki
Wynik ciężkości : średni

22. Członkostwo WordPress SwiftCloud.io

Wtyczka: Podświetlacz komentarzy
Luka w zabezpieczeniach : uwierzytelniony wstrzyknięcie SQL
Poprawiona w wersji : brak znanej poprawki
Wynik ciężkości : średni

23. Łatwy menedżer referencji

Wtyczka: Łatwy menedżer referencji
Luka w zabezpieczeniach : uwierzytelniony wstrzyknięcie SQL
Poprawiona w wersji : brak znanej poprawki
Wynik ciężkości : średni

24. Osadź wideo z YouTube

Wtyczka: Osadź wideo z YouTube
Luka w zabezpieczeniach : uwierzytelniony wstrzyknięcie SQL
Poprawiona w wersji : brak znanej poprawki
Wynik ciężkości : średni

25. Mistrz quizów i ankiet

Wtyczka: Mistrz quizów i ankiet
Luka w zabezpieczeniach : odbite skrypty między witrynami
Łatka w wersji : 7.1.14
Wynik ważności : wysoki

26. Zarezerwuj wizytę online

Wtyczka: Zarezerwuj wizytę online
Luka w zabezpieczeniach : uwierzytelnione przechowywane przechowywane skrypty między witrynami (XSS)
Łatka w wersji : 1.39
Ocena ważności : Niska

27. Google Authenticator miniOrange

Wtyczka: Google Authenticator miniOrange
Luka w zabezpieczeniach : odbite skrypty między witrynami
Łatka w wersji : 5.4.40
Wynik ważności : wysoki

28. Uwierzytelnianie dwuetapowe

Wtyczka: uwierzytelnianie dwuetapowe
Luka w zabezpieczeniach : odbite skrypty między witrynami
Łatka w wersji : 1.0.8
Wynik ważności : wysoki

29. Codzienny czas modlitwy

Wtyczka: Codzienny czas modlitwy
Luka w zabezpieczeniach : uwierzytelniony przechowywany XSS
Łatka w wersji : 2021.08.10
Ocena ważności : Niska

30. Generator niestandardowych widoków postów

Wtyczka: Generator niestandardowych widoków postów
Luka w zabezpieczeniach : odbite skrypty między witrynami
Poprawiona w wersji : brak znanej poprawki
Wynik ważności : wysoki

31. Odtwarzacz wideo FV Flowplayer

Wtyczka: odtwarzacz wideo FV Flowplayer
Luka w zabezpieczeniach : odbite skrypty między witrynami
Łatka w wersji : 7.5.3.727
Wynik ważności : wysoki

32. Galeria zdjęć

Wtyczka: Galeria zdjęć
Luka w zabezpieczeniach : uwierzytelniony przechowywany XSS
Poprawiona w wersji : brak znanej poprawki
Ocena ważności : Niska

33. Menedżer licencji oprogramowania

Wtyczka: Menedżer licencji oprogramowania
Luka w zabezpieczeniach : odbite skrypty między witrynami
Łatka w wersji : 4.4.8 (wtyczka zamknięta)
Wynik ważności : wysoki

34. Na stronę Dodaj do nagłówka

Wtyczka: na stronę dodaj do nagłówka
Luka w zabezpieczeniach : uwierzytelniony przechowywany XSS
Poprawiona w wersji : brak znanej poprawki
Ocena ważności : Niska

Wtyczka: na stronę dodaj do nagłówka
Podatność : CSRF do zapisanego XSS
Łatka w wersji : 1.4.4 (wtyczka zamknięta)
Wynik ważności : wysoki

35. Securimage-WP-Fixed

Wtyczka: Securimage-WP-Naprawiona
Luka w zabezpieczeniach : odbite skrypty między witrynami (XSS)
Poprawiona w wersji : brak znanej poprawki
Wynik ważności : wysoki

36. Eksport obrazu

Wtyczka: Eksport obrazu
Luka w zabezpieczeniach : przechodzenie katalogów
Poprawiona w wersji : brak znanej poprawki
Ocena ważności : krytyczna

37. Suwak treści w poście

Wtyczka: suwak tekstu treści w poście
Luka w zabezpieczeniach : uwierzytelnione przechowywane przechowywane skrypty między witrynami (XSS)
Poprawione w wersji : 6.9
Wynik ciężkości : średni

38. Generator formularzy kontaktowych

Wtyczka: Generator formularzy kontaktowych
Luka w zabezpieczeniach : wielokrotne fałszowanie żądań między witrynami (CSRF)
Poprawiona w wersji : brak znanej poprawki
Wynik ważności : wysoki

39. Wtyczka_kalendarza

Wtyczka: wtyczka_kalendarza
Luka w zabezpieczeniach : odbite skrypty między witrynami
Poprawiona w wersji : brak znanej poprawki
Wynik ważności : wysoki

40. Dodaj pasek boczny

Wtyczka: Dodaj pasek boczny
Luka w zabezpieczeniach : odbite skrypty między witrynami
Poprawiona w wersji : brak znanej poprawki
Wynik ważności : wysoki

41. Tagi SEO WP

Wtyczka: Tagi SEO WP
Luka w zabezpieczeniach : odbite skrypty między witrynami
Poprawiona w wersji : brak znanej poprawki
Wynik ważności : wysoki

42. Moova dla WooCommerce

Wtyczka: Moova dla WooCommerce
Luka w zabezpieczeniach : odbite skrypty między witrynami
Poprawiona w wersji : brak znanej poprawki
Wynik ważności : wysoki

43. jQuery Tagline Rotator

Wtyczka: jQuery Tagline Rotator
Luka w zabezpieczeniach : odbite skrypty między witrynami
Poprawiona w wersji : brak znanej poprawki
Wynik ważności : wysoki

44. Tabela cen Plugmatter Lite

Wtyczka: Tabela cen Plugmatter Lite
Luka w zabezpieczeniach : odbite skrypty między witrynami
Poprawiona w wersji : brak znanej poprawki
Wynik ważności : wysoki

45. Prosty wyskakujący biuletyn

Wtyczka: Prosty wyskakujący biuletyn
Luka w zabezpieczeniach : odbite skrypty między witrynami
Poprawiona w wersji : brak znanej poprawki
Wynik ważności : wysoki

46. ​​TypoFR

Wtyczka: TypoFR
Luka w zabezpieczeniach : odbite skrypty między witrynami
Poprawiona w wersji : brak znanej poprawki
Wynik ważności : wysoki

47. Śpiewnik WP

Wtyczka: Śpiewnik WP
Luka w zabezpieczeniach : odbite skrypty między witrynami
Poprawiona w wersji : brak znanej poprawki
Wynik ważności : wysoki

48. Niestandardowe relacje typu post

Wtyczka: niestandardowe relacje typu postu
Luka w zabezpieczeniach : odbite skrypty między witrynami
Poprawiona w wersji : brak znanej poprawki
Wynik ważności : wysoki

49. Dwukierunkowe rozmowy wideo i losowy czat

Wtyczka: dwukierunkowe rozmowy wideo i losowy czat
Luka w zabezpieczeniach : odbite skrypty między witrynami
Poprawiona w wersji : brak znanej poprawki
Wynik ważności : wysoki

50. Fontanna WP

Wtyczka: Fontanna WP
Luka w zabezpieczeniach : odbite skrypty między witrynami
Poprawiona w wersji : brak znanej poprawki
Wynik ważności : wysoki

51. Wykorzystanie mediów

Wtyczka: korzystanie z multimediów
Luka w zabezpieczeniach : odbite skrypty między witrynami
Poprawiona w wersji : brak znanej poprawki
Wynik ważności : wysoki

52. Mapy bazgrołów

Wtyczka: Mapy bazgrołów
Luka w zabezpieczeniach : odbite skrypty między witrynami
Poprawiona w wersji : brak znanej poprawki
Wynik ważności : wysoki

53. Gry wieloosobowe

Wtyczka: Gry wieloosobowe
Luka w zabezpieczeniach : odbite skrypty między witrynami
Poprawiona w wersji : brak znanej poprawki
Wynik ważności : wysoki

54. Skautski bazar

Wtyczka: bazar Skaut
Luka w zabezpieczeniach : odbite skrypty między witrynami
Poprawiona w wersji : brak znanej poprawki
Wynik ważności : wysoki

55. Inteligentne powiadomienia e-mail

Wtyczka: Inteligentne powiadomienia e-mail
Luka w zabezpieczeniach : odbite skrypty między witrynami
Poprawiona w wersji : brak znanej poprawki
Wynik ważności : wysoki

56. Proste portfolio Behance

Wtyczka: Proste portfolio Behance
Luka w zabezpieczeniach : odbite skrypty między witrynami
Poprawiona w wersji : brak znanej poprawki
Wynik ważności : wysoki

Luki w motywie WordPress

Uwaga dotycząca odpowiedzialnego ujawniania informacji

Być może zastanawiasz się, dlaczego luka w zabezpieczeniach zostałaby ujawniona, skoro daje hakerom możliwość ataku. Cóż, bardzo często badacz bezpieczeństwa znajduje i prywatnie zgłasza tę lukę twórcy oprogramowania.

W przypadku odpowiedzialnego ujawnienia wstępny raport badacza jest przekazywany prywatnie twórcom firmy będącej właścicielem oprogramowania, ale za zgodą, że pełne szczegóły zostaną opublikowane po udostępnieniu poprawki. W przypadku znaczących luk w zabezpieczeniach może wystąpić niewielkie opóźnienie w ujawnieniu luki, aby dać większej liczbie osób czas na poprawkę.

Badacz bezpieczeństwa może wyznaczyć producentowi oprogramowania termin odpowiedzi na zgłoszenie lub dostarczenia poprawki. Jeśli ten termin nie zostanie dotrzymany, badacz może publicznie ujawnić lukę, aby wywrzeć presję na dewelopera, aby wydał łatkę.

Publiczne ujawnienie luki w zabezpieczeniach i pozorne wprowadzenie luki dnia zerowego – rodzaju luki, która nie ma łaty i jest wykorzystywana na wolności – może wydawać się odwrotne do zamierzonych. Jest to jednak jedyna dźwignia, którą badacz musi wywrzeć na deweloperze, aby załatał tę lukę.

Jeśli haker odkryje lukę, może po cichu użyć exploita i wyrządzić szkody użytkownikowi końcowemu (to ty), podczas gdy programista pozostaje zadowolony z pozostawienia luki bez łaty. Google Project Zero ma podobne wytyczne, jeśli chodzi o ujawnianie luk w zabezpieczeniach. Publikują pełne szczegóły dotyczące luki po 90 dniach, niezależnie od tego, czy luka została załatana, czy nie.

Jak chronić swoją witrynę WordPress przed podatnymi wtyczkami i motywami?

Jak widać z tego raportu, co tydzień ujawnianych jest wiele nowych wtyczek WordPress i luk w motywach. Wiemy, że śledzenie każdego zgłoszonego ujawnienia luk w zabezpieczeniach może być trudne, więc wtyczka iThemes Security Pro ułatwia upewnienie się, że w Twojej witrynie nie działa motyw, wtyczka lub główna wersja WordPress ze znaną luką.

1. Włącz skaner witryny iThemes Security Pro

Skaner witryn wtyczki iThemes Security Pro skanuje w poszukiwaniu pierwszego powodu, dla którego witryny WordPress są atakowane: nieaktualne wtyczki i motywy ze znanymi lukami. Skaner witryn sprawdza witrynę pod kątem znanych luk w zabezpieczeniach i automatycznie stosuje łatę, jeśli jest dostępna.

Aby włączyć Skanowanie Witryny w nowych instalacjach, przejdź do zakładki Sprawdzanie Witryny w menu Funkcje we wtyczce i kliknij przełącznik, aby włączyć Skanowanie Witryny .

Aby uruchomić ręczne skanowanie witryny, kliknij przycisk Skanuj teraz na karcie pulpitu nawigacyjnego skanowania witryny.

Jeśli Skanowanie Witryny wykryje lukę w zabezpieczeniach, kliknij łącze dotyczące luki, aby wyświetlić stronę szczegółów.

Na stronie podatności Site Scan zobaczysz, czy jest dostępna poprawka dla tej luki. Jeśli dostępna jest poprawka, możesz kliknąć przycisk Aktualizuj wtyczkę , aby zastosować poprawkę na swojej stronie internetowej.

2. Włącz zarządzanie wersjami

Funkcja zarządzania wersjami w iThemes Security Pro integruje się ze skanowaniem witryny, aby chronić witrynę, gdy nieaktualne oprogramowanie nie jest wystarczająco szybko aktualizowane. Nawet najsilniejsze środki bezpieczeństwa zawiodą, jeśli na swojej stronie internetowej używasz podatnego na ataki oprogramowania. Te ustawienia pomagają chronić witrynę dzięki opcjom automatycznej aktualizacji do nowych wersji, jeśli istnieje znana luka w zabezpieczeniach i dostępna jest poprawka.

Na stronie Ustawienia w iThemes Security Pro przejdź do ekranu Funkcje. Kliknij kartę Sprawdzanie witryny. W tym miejscu użyj przełącznika, aby włączyć zarządzanie wersjami. Korzystając z narzędzi ustawień, możesz skonfigurować jeszcze więcej ustawień, w tym sposób, w jaki iThemes Security Pro ma obsługiwać aktualizacje WordPress, wtyczki, motywy i dodatkową ochronę.

Upewnij się, że zaznaczyłeś opcję Automatyczna aktualizacja, jeśli naprawi lukę, aby iThemes Security Pro automatycznie aktualizował wtyczkę lub motyw, jeśli naprawi usterkę znalezioną przez Skaner Witryny.

3. Otrzymuj alert e-mail, gdy iThemes Security Pro znajdzie znaną lukę w Twojej witrynie

Po włączeniu harmonogramu skanowania witryny przejdź do ustawień Centrum powiadomień wtyczki. Na tym ekranie przewiń do sekcji Wyniki skanowania witryny .

Kliknij pole, aby włączyć powiadomienia e-mail, a następnie kliknij przycisk Zapisz ustawienia .

Teraz, podczas każdego zaplanowanego skanowania witryny, otrzymasz wiadomość e-mail, jeśli iThemes Security Pro wykryje znane luki. E-mail będzie wyglądał mniej więcej tak.

Zdobądź iThemes Security Pro i odpocznij trochę łatwiej dziś wieczorem

iThemes Security Pro, nasza wtyczka bezpieczeństwa WordPress, oferuje ponad 50 sposobów zabezpieczenia i ochrony Twojej witryny przed typowymi lukami w zabezpieczeniach WordPress. Dzięki WordPress, uwierzytelnianiu dwuskładnikowemu, ochronie przed brutalną siłą, silnemu egzekwowaniu haseł i nie tylko, możesz dodać dodatkową warstwę bezpieczeństwa do swojej witryny.

Michael Moore

Co tydzień Michael opracowuje raport na temat luk w zabezpieczeniach WordPressa, aby pomóc chronić Twoje witryny. Jako Product Manager w iThemes pomaga nam w dalszym ulepszaniu linii produktów iThemes. Jest wielkim kujonem i uwielbia uczyć się wszystkich rzeczy technicznych, starych i nowych. Możesz znaleźć Michaela spędzającego czas z żoną i córką, czytającego lub słuchającego muzyki, gdy nie pracuje.