Raport podatności WordPressa: październik 2021, część 1

Podatne wtyczki i motywy są głównym powodem ataków na witryny WordPress. Cotygodniowy raport na temat luk w zabezpieczeniach WordPress obsługiwany przez WPScan obejmuje najnowsze wtyczki WordPress, motywy i podstawowe luki w zabezpieczeniach oraz co zrobić, jeśli uruchomisz jedną z wrażliwych wtyczek lub motywów w swojej witrynie.

Każda podatność będzie miała wskaźnik ważności Niski , Średni , Wysoki lub Krytyczny . Odpowiedzialne ujawnianie i zgłaszanie luk w zabezpieczeniach jest integralną częścią zapewniania bezpieczeństwa społeczności WordPressa.

Udostępnij ten post swoim znajomym, aby pomóc w rozpowszechnianiu informacji i uczynić WordPress bezpieczniejszym dla wszystkich.

Najnowsza wersja rdzenia WordPressa to 5.8.1 została wydana jako wydanie zabezpieczające i konserwacyjne. W ramach najlepszej praktyki zawsze używaj najnowszej wersji rdzenia WordPressa!

W tej sekcji ujawniono najnowsze luki w zabezpieczeniach wtyczki WordPress. Każda lista wtyczek zawiera rodzaj luki, numer wersji, jeśli została ona załatana, oraz ocenę ważności.

1. Narzędzia WP DSGVO

Wtyczka: Narzędzia WP DSGVO
Luka : Aktualizacja ustawień nieuwierzytelnionej wtyczki do przechowywanych skryptów między witrynami
Łatka w wersji : 3.1.24 – wtyczka zamknięta
Wynik ważności : wysoki

2. Świetne cytaty

Wtyczka: świetne cytaty
Luka w zabezpieczeniach : Admin+ Stored Cross-Site Scripting
Poprawiona w wersji : Brak znanej poprawki – wtyczka zamknięta
Ocena ważności : Niska

3. Debugowanie WP

Wtyczka: Debugowanie WP
Luka : Aktualizacja ustawień nieuwierzytelnionej wtyczki
Łatka w wersji : 2.11.0
Wynik ciężkości : średni

4. Sprawdź i zarejestruj e-mail

Wtyczka: Sprawdź i zarejestruj e-mail
Luka w zabezpieczeniach : Admin + wstrzyknięcia SQL
Łatka w wersji : 1.0.3
Wynik ciężkości : średni

5. Permalink Manager Lite

Wtyczka: Permalink Manager Lite
Luka w zabezpieczeniach : Admin + wstrzyknięcie SQL
Łatka w wersji : 2.2.13.1
Wynik ciężkości : średni

6. Tabela produktów WooCommerce Lite

Wtyczka: Tabela produktów WooCommerce Lite
Luka w zabezpieczeniach : odbite skrypty między witrynami
Poprawione w wersji : 2.4.0
Wynik ciężkości : średni

7. Kreator tabel WP

Wtyczka: Kreator tabel WP
Luka w zabezpieczeniach : odbite skrypty między witrynami
Łatka w wersji : 1.3.10
Wynik ważności : wysoki

8. Wizualny kreator formularzy

Wtyczka: Visual Form Builder
Luka w zabezpieczeniach : Admin+ Stored Cross-Site Scripting
Łatka w wersji : 3.0.4
Ocena ważności : Niska

9. Formularze Ninja

Wtyczka: NinjaForms
Luka w zabezpieczeniach: Admin+ Stored Cross-Site Scripting
Łatka w wersji : 3.5.8.2
Ocena ważności : Niska

10. Powołanie

Wtyczka: Wappointment
Luka w zabezpieczeniach : nieuwierzytelnione zapisane skrypty między witrynami
Poprawione w wersji : 2.2.5
Wynik ważności : wysoki

11. Odliczanie i odliczanie, liczniki sprzedaży WooCommerce

Wtyczka: odliczanie i odliczanie, liczniki sprzedaży WooCommerce
Luka : CSRF na przechowywane skrypty między witrynami
Łatka w wersji : 1.5.8
Wynik ważności : wysoki

11. uListing

Wtyczka: uListing
Luka w zabezpieczeniach : aktualizacja ustawień przez CSRF
Łatka w wersji : 2.0.6
Wynik ciężkości : średni

Wtyczka: uListing
Luka : nieuwierzytelniony wstrzyknięcie SQL
Łatka w wersji : 2.0.4
Wynik ważności : wysoki

Wtyczka: uListing
Luka w zabezpieczeniach : nieuwierzytelniona eskalacja uprawnień
Łatka w wersji : 2.0.6
Wynik ciężkości : średni

Wtyczka: uListing
Luka w zabezpieczeniach : zmodyfikuj role użytkowników za pomocą CSRF
Łatka w wersji : 2.0.6
Wynik ciężkości : średni

Wtyczka: uListing
Podatność : wiele CSRF
Łatka w wersji : 2.0.6
Wynik ciężkości : średni

Wtyczka: uListing
Luka w zabezpieczeniach : odbite skrypty między witrynami
Łatka w wersji : 2.0.6
Wynik ciężkości : średni

Wtyczka: uListing
Luka w zabezpieczeniach : uwierzytelniony IDOR
Łatka w wersji : 2.0.6
Wynik ciężkości : średni

12. Tryb konserwacji YITH

Wtyczka: tryb konserwacji YITH
Luka w zabezpieczeniach : wielu administratorów + przechowywane skrypty między witrynami
Poprawione w wersji : 1.4.0
Ocena ważności : Niska

Wtyczka: tryb konserwacji YITH
Luka w zabezpieczeniach : Admin+ Stored Cross-Site Scripting
Poprawione w wersji : 1.3.8
Ocena ważności : Niska

13. Formularze kontaktowe WordPress autorstwa Cimatti

Wtyczka: Formularze kontaktowe WordPress autorstwa Cimatti
Luka w zabezpieczeniach : Admin+ Stored Cross-Site Scripting
Łatka w wersji : 1.4.12
Ocena ważności : Niska

14. Tagi OG

Wtyczka: Tagi OG
Luka : Aktualizacja ustawień wtyczki przez CSRF
Łatka w wersji : 2.0.2
Wynik ciężkości : średni

15. Połączenia Katalog Firm

Wtyczka: Połączenia Katalog Firm
Luka w zabezpieczeniach : Admin+ Stored Cross-Site Scripting
Łatka w wersji : 10.4.3
Ocena ważności : Niska

16. Płaski moduł wstępnego ładowania

Wtyczka: Płaski Preloader
Luka w zabezpieczeniach : Admin+ Stored Cross-Site Scripting
Łatka w wersji : 1.5.5
Wynik ciężkości : średni

Wtyczka: Płaski Preloader
Luka : CSRF na przechowywane skrypty między witrynami
Łatka w wersji : 1.54
Wynik ważności : wysoki

17. Fajna chmura tagów

Wtyczka: fajna chmura tagów
Luka w zabezpieczeniach : Przechowywane skrypty między witrynami Contributor+
Łatka w wersji : 2.26
Wynik ciężkości : średni

18. w ramach budowy

Wtyczka: underConstruction
Luka w zabezpieczeniach : odbite skrypty między witrynami
Łatka w wersji : 1.19
Wynik ważności : wysoki

19. Menu Restauracji MotoPress

Wtyczka: Menu restauracji MotoPress
Luka w zabezpieczeniach : uwierzytelnione skrypty przechowywane między witrynami
Poprawiona w wersji : Brak znanej poprawki – wtyczka zamknięta
Ocena ważności : Niska

20. Automat WP

Wtyczka: AutomatorWP
Luka w zabezpieczeniach : brakująca autoryzacja i eskalacja uprawnień
Łatka w wersji : 1.7.6
Wynik ciężkości : średni

21. Reakcje WP Lite

Wtyczka: WP Reactions Lite
Luka w zabezpieczeniach : uwierzytelnione skrypty przechowywane między witrynami
Łatka w wersji : 1.3.6
Ocena ważności : Niska

22. Stylowy cennik

Wtyczka: stylowy cennik
Luka w zabezpieczeniach : subskrybent + arbitralne przesyłanie obrazu
Łatka w wersji : 6.9.1
Wynik ciężkości : średni

Wtyczka: stylowy cennik
Luka w zabezpieczeniach : przesyłanie nieuwierzytelnionego arbitralnego obrazu
Łatka w wersji : 6.9.0
Wynik ciężkości : średni

23 łatwe ikony społecznościowe

Wtyczka: Łatwe ikony społecznościowe
Luka w zabezpieczeniach : odbite skrypty między witrynami
Łatka w wersji : 3.0.9
Wynik ważności : wysoki

Wtyczka: Łatwe ikony społecznościowe
Luka w zabezpieczeniach : odbite skrypty między witrynami
Łatka w wersji : 3.1.3
Wynik ważności : wysoki

24. Moduł pobierania kanałów RSS WPeMatico

Wtyczka: Moduł pobierania kanałów RSS WPeMatico
Luka w zabezpieczeniach : Admin+ Stored Cross-Site Scripting
Łatka w wersji : 2.6.12
Ocena ważności : Niska

25. Menedżer pobierania WordPress

Wtyczka: Menedżer pobierania WordPress
Luka w zabezpieczeniach : Admin+ Stored Cross-Site Scripting
Łatka w wersji : 3.2.16
Ocena ważności : Niska

26. Nowoczesny kalendarz wydarzeń Lite

Wtyczka: Nowoczesny kalendarz wydarzeń Lite
Luka w zabezpieczeniach : uwierzytelnione skrypty przechowywane między witrynami
Łatka w wersji : 5.22.3
Ocena ważności : Niska

27. Credova_Financial

Wtyczka: Credova_Financial
Luka w zabezpieczeniach : ujawnianie informacji wrażliwych
Poprawione w wersji : 1.4.9
Wynik ciężkości : średni

28. Menedżer pracy JS

Wtyczka: JS Job Manager
Luka w zabezpieczeniach : instalacja/aktywacja nieuwierzytelnionej arbitralnej wtyczki
Poprawiona w wersji : Brak znanej poprawki – wtyczka zamknięta
Ocena ważności : krytyczna

29. Łatwe wydarzenia

Wtyczka: Łatwe wydarzenia
Luka w zabezpieczeniach : Multi CSRF do zapisanych skryptów między witrynami i usuwania zdarzeń
Łatka w wersji : 1.5.50
Wynik ważności : wysoki

30. Pasek dla WooCommerce

Wtyczka: pasek dla WooCommerce
Luka w zabezpieczeniach : brak kontroli autoryzacji do przejęcia konta finansowego
Łatka w wersji : 3.3.10
Wynik ciężkości : średni

Jak widać z tego raportu, co tydzień ujawnianych jest wiele nowych wtyczek WordPress i luk w motywach. Wiemy, że śledzenie każdego zgłoszonego ujawnienia luk w zabezpieczeniach może być trudne, więc wtyczka iThemes Security Pro ułatwia upewnienie się, że w Twojej witrynie nie działa motyw, wtyczka lub główna wersja WordPress ze znaną luką.

1. Włącz skaner witryny iThemes Security Pro

Skaner witryn wtyczki iThemes Security Pro skanuje w poszukiwaniu pierwszego powodu, dla którego witryny WordPress są atakowane: nieaktualne wtyczki i motywy ze znanymi lukami. Skaner witryn sprawdza witrynę pod kątem znanych luk w zabezpieczeniach i automatycznie stosuje łatę, jeśli jest dostępna.

Aby włączyć Skanowanie Witryny w nowych instalacjach, przejdź do zakładki Sprawdzanie Witryny w menu Funkcje we wtyczce i kliknij przełącznik, aby włączyć Skanowanie Witryny .

Aby uruchomić ręczne skanowanie witryny, kliknij przycisk Skanuj teraz na karcie pulpitu nawigacyjnego skanowania witryny.

Jeśli Skanowanie Witryny wykryje lukę w zabezpieczeniach, kliknij łącze dotyczące luki, aby wyświetlić stronę szczegółów.

Na stronie podatności Site Scan zobaczysz, czy jest dostępna poprawka dla tej luki. Jeśli dostępna jest poprawka, możesz kliknąć przycisk Aktualizuj wtyczkę , aby zastosować poprawkę na swojej stronie internetowej.

2. Włącz zarządzanie wersjami w celu automatycznej aktualizacji, jeśli naprawi usterkę

Funkcja zarządzania wersjami w iThemes Security Pro integruje się ze skanowaniem witryny, aby chronić witrynę, gdy nieaktualne oprogramowanie nie jest wystarczająco szybko aktualizowane. Nawet najsilniejsze środki bezpieczeństwa zawiodą, jeśli na swojej stronie internetowej używasz podatnego na ataki oprogramowania. Te ustawienia pomagają chronić witrynę dzięki opcjom automatycznej aktualizacji do nowych wersji, jeśli istnieje znana luka w zabezpieczeniach i dostępna jest poprawka.

Na stronie Ustawienia w iThemes Security Pro przejdź do ekranu Funkcje. Kliknij kartę Sprawdzanie witryny. W tym miejscu użyj przełącznika, aby włączyć zarządzanie wersjami. Korzystając z narzędzi ustawień, możesz skonfigurować jeszcze więcej ustawień, w tym sposób, w jaki iThemes Security Pro ma obsługiwać aktualizacje WordPress, wtyczki, motywy i dodatkową ochronę.

Upewnij się, że zaznaczyłeś opcję Automatyczna aktualizacja, jeśli naprawi lukę, aby iThemes Security Pro automatycznie aktualizował wtyczkę lub motyw, jeśli naprawi usterkę znalezioną przez Skaner Witryny.

3. Otrzymuj alert e-mail, gdy iThemes Security Pro znajdzie znaną lukę w Twojej witrynie

Po włączeniu harmonogramu skanowania witryny przejdź do ustawień Centrum powiadomień wtyczki. Na tym ekranie przewiń do sekcji Wyniki skanowania witryny .

Kliknij pole, aby włączyć powiadomienia e-mail, a następnie kliknij przycisk Zapisz ustawienia .

Teraz, podczas każdego zaplanowanego skanowania witryny, otrzymasz wiadomość e-mail, jeśli iThemes Security Pro wykryje znane luki. E-mail będzie wyglądał mniej więcej tak.

Zdobądź iThemes Security Pro i odpocznij trochę łatwiej dziś wieczorem

iThemes Security Pro, nasza wtyczka bezpieczeństwa WordPress, oferuje ponad 50 sposobów zabezpieczenia i ochrony Twojej witryny przed typowymi lukami w zabezpieczeniach WordPress. Dzięki WordPress, uwierzytelnianiu dwuskładnikowemu, ochronie przed brutalną siłą, silnemu egzekwowaniu haseł i nie tylko, możesz dodać dodatkowe warstwy bezpieczeństwa do swojej witryny.

Uzyskaj iThemes Security Pro

Michael Moore

Co tydzień Michael opracowuje raport na temat luk w zabezpieczeniach WordPressa, aby pomóc chronić Twoje witryny. Jako Product Manager w iThemes pomaga nam w dalszym ulepszaniu linii produktów iThemes. Jest wielkim kujonem i uwielbia uczyć się wszystkich rzeczy technicznych, starych i nowych. Możesz znaleźć Michaela spędzającego czas z żoną i córką, czytającego lub słuchającego muzyki, gdy nie pracuje.