Raport podatności WordPressa: październik 2021, część 4
Opublikowany: 2021-10-27Podatne wtyczki i motywy są głównym powodem ataków na witryny WordPress. Cotygodniowy raport na temat luk w zabezpieczeniach WordPress obsługiwany przez WPScan obejmuje najnowsze wtyczki WordPress, motywy i podstawowe luki w zabezpieczeniach oraz co zrobić, jeśli uruchomisz jedną z wrażliwych wtyczek lub motywów w swojej witrynie.
Każda podatność będzie miała wskaźnik ważności Niski , Średni , Wysoki lub Krytyczny . Odpowiedzialne ujawnianie i zgłaszanie luk w zabezpieczeniach jest integralną częścią zapewniania bezpieczeństwa społeczności WordPressa.
Udostępnij ten post swoim znajomym, aby pomóc w rozpowszechnianiu informacji i uczynić WordPress bezpieczniejszym dla wszystkich.
Główne luki w WordPressie
Najnowsza wersja rdzenia WordPress to 5.8.1 została wydana jako wydanie zabezpieczające i konserwacyjne. W ramach najlepszej praktyki zawsze używaj najnowszej wersji rdzenia WordPressa!
Luki w zabezpieczeniach wtyczki WordPress
W tej sekcji ujawniono najnowsze luki w zabezpieczeniach wtyczki WordPress. Każda lista wtyczek zawiera rodzaj luki, numer wersji, jeśli została ona załatana, oraz ocenę ważności.
1. Udostępnione pliki
Wtyczka: Pliki współdzielone
Luka w zabezpieczeniach: Admin+ Stored Cross-Site Scripting
Poprawione w wersji : 1.6.61
Wynik ciężkości : niski
2. Przekierowanie QR
Wtyczka: QR Redirector
Luka w zabezpieczeniach : Przechowywane skrypty między witrynami Contributor+
Łatka w wersji : 1.6.1
Wynik ważności : średni
Wtyczka: QR Redirector
Luka w zabezpieczeniach: Aktualizacja stanu odpowiedzi subskrybenta + arbitralnego przekierowania QR
Poprawione w wersji : 1.6
Wynik ważności : średni
3. Płynne przewijanie kółkiem myszy
Wtyczka: Płynne przewijanie z kółkiem myszy
Luka : Aktualizacja ustawień wtyczki przez CSRF
Poprawione w wersji : 5.7
Wynik ważności : średni
4. Wstaw strony
Wtyczka: Wstaw strony
Luka w zabezpieczeniach : Contributor + arbitralne posty/dostęp do stron
Łatka w wersji : 3.7.0
Wynik ważności : średni
Wtyczka: Wstaw strony
Luka w zabezpieczeniach : Przechowywane skrypty między witrynami Contributor+
Łatka w wersji : 3.7.0
Wynik ważności : średni
5. Przekierowanie SEO
Wtyczka: Przekierowanie SEO
Luka w zabezpieczeniach : subskrybent + wstrzyknięcie SQL
Poprawione w wersji : 8.2
Wynik ważności : wysoki
6. Darowizna Paypal
Wtyczka: Darowizna Paypal
Luka w zabezpieczeniach: Admin+ Stored Cross-Site Scripting
Poprawione w wersji : 1.3.2
Wynik ciężkości : niski
7. IMPress dla brokera IDX
Wtyczka: IMPress dla IDX Broker
Luka w zabezpieczeniach: odbite skrypty między witrynami
Poprawione w wersji : 3.0.6
Wynik ważności : wysoki
8. Proste logowanie do JWT
Wtyczka: Proste logowanie do JWT
Luka w zabezpieczeniach: aktualizacja ustawień arbitralnych do przejęcia witryny przez CSRF
Poprawione w wersji : 3.2.1
Wynik ważności : wysoki
9. Moje bilety
Wtyczka: Moje bilety
Luka w zabezpieczeniach : subskrybent + wstrzyknięcie SQL
Łatka w wersji : 1.8.31
Wynik ważności : wysoki
10. Fakturowanie klienta za pomocą faktur Sprout
Wtyczka: Fakturowanie klienta według faktur Sprout
Luka w zabezpieczeniach: Admin+ Stored Cross-Site Scripting
Poprawione w wersji : 19.9.7
Wynik ciężkości : niski
11. Dziennik e-mail
Wtyczka: Dziennik e-mail
Luka w zabezpieczeniach: Admin + wstrzyknięcie SQL
Poprawiona w wersji : 2.4.7
Wynik ważności : średni
12. Wzmacniacz wyników WP
Wtyczka WP Performance Booster
Luka w zabezpieczeniach: zmiana ustawień przez CSRF
Łatka w wersji : 2.1
Wynik ważności : średni
13. Integracja Active Directory / Integracja LDAP
Wtyczka: Integracja z Active Directory / Integracja z LDAP
Luka w zabezpieczeniach : subskrybent + wstrzyknięcie SQL
Łatka w wersji : 3.6.95
Wynik ważności : wysoki
14. Stół włączony
Wtyczka: TableOn
Luka w zabezpieczeniach: odbite skrypty między witrynami
Łatka w wersji : 1.0.1
Wynik ważności : średni
15. Responsywny suwak obrazu, galeria zdjęć i karuzela
Wtyczka: responsywny suwak obrazu, galeria zdjęć i karuzela
Luka w zabezpieczeniach: klonowanie/zapisywanie/usuwanie suwaka przez CSRF
Poprawione w wersji : 1.3.2
Wynik ważności : średni
Wtyczka: responsywny suwak obrazu, galeria zdjęć i karuzela
Luka w zabezpieczeniach: subskrybent + arbitralny dostęp do postów
Łatka w wersji : 1.3.6
Wynik ważności : średni
16. Strona mapy witryny WP
Wtyczka: Strona mapy witryny WP
Luka w zabezpieczeniach: Admin+ Stored Cross Site Scripting
Łatka w wersji : 1.7.0
Wynik ciężkości : niski
17. Strumień
Wtyczka: Strumień
Luka w zabezpieczeniach: Admin + wstrzyknięcie SQL
Łatka w wersji : 3.8.2
Wynik ważności : średni
18. Pomocne
Wtyczka: pomocna
Luka w zabezpieczeniach: Admin+ Stored Cross-Site Scripting
Łatka w wersji : 4.4.59
Wynik ciężkości : niski
19. Dowiedz się Naciśnij
Wtyczka: LearnPress
Luka w zabezpieczeniach: Admin+ Stored Cross-Site Scripting
Łatka w wersji : 4.1.3.2
Wynik ciężkości : niski
20. Inscenizacja treści
Wtyczka: etapowanie treści
Luka w zabezpieczeniach: Admin+ Stored Cross-Site Scripting
Poprawiona w wersji : Brak znanej poprawki – wtyczka zamknięta
Wynik ciężkości : niski
21. Nieszczelny płat
Wtyczka: nieszczelny Paywall
Luka w zabezpieczeniach: Admin+ Stored Cross-Site Scripting
Poprawiona w wersji : brak znanej poprawki
Wynik ciężkości : niski
22. Nauczyciel LMS
Wtyczka: Tutor LMS
Luka w zabezpieczeniach: odbite skrypty między witrynami
Łatka w wersji : 1.9.11
Wynik ważności : średni
23. Prezentacja logo z suwakiem Slick
Wtyczka: Prezentacja logo z suwakiem Slick
Luka w zabezpieczeniach: Przechowywane skrypty między witrynami autora+
Poprawione w wersji : 1.2.4
Wynik ważności : średni
24. Potężny kreator formularzy
Wtyczka: potężny kreator formularzy
Luka w zabezpieczeniach: nieuwierzytelnione zapisane skrypty między witrynami
Łatka w wersji : 4.09.05
Wynik ciężkości : niski
25. Pobierz wtyczkę
Wtyczka: Pobierz wtyczkę
Luka w zabezpieczeniach: Subskrybent + arbitralna aktywacja wtyczki
Łatka w wersji : 1.6.1
Wynik ważności : średni
26. Obrazy do WebP
Wtyczka: obrazy do WebP
Luka w zabezpieczeniach: wielokrotne fałszowanie żądań między witrynami (CSRF)
Poprawione w wersji : 1.9
Wynik ważności : średni
Wtyczka: obrazy do WebP
Luka w zabezpieczeniach : uwierzytelnione włączenie plików lokalnych
Poprawione w wersji : 1.9
Wynik ciężkości : niski
27. API MS Store
Wtyczka: MSstore API
Luka w zabezpieczeniach: przesyłanie nieuwierzytelnionego pliku PHP
Poprawione w wersji : 3.4.5
Ocena ważności : krytyczna
28. Łatwe pobieranie cyfrowe
Wtyczka: Łatwe pobieranie cyfrowe
Luka w zabezpieczeniach: odbite skrypty między witrynami
Łatka w wersji : 2.11.2.1
Wynik ważności : wysoki
29. Zaawansowany menedżer dostępu
Wtyczka: Zaawansowany menedżer dostępu
Luka w zabezpieczeniach: Admin+ Stored Cross-Site Scripting
Poprawione w wersji : 6.8.0
Wynik ciężkości : niski
30. Sonda YOP
Wtyczka: ankieta YOP
Luka w zabezpieczeniach: odbite skrypty między witrynami
Poprawione w wersji : 6.1.2
Wynik ważności : średni
31. Eksport załączników WP
Wtyczka: Eksport załączników WP
Luka w zabezpieczeniach: pobieranie nieuwierzytelnionych postów
Poprawione w wersji : 0.2.4
Wynik ważności : wysoki
32. Suwak treści w poście
Wtyczka: suwak tekstu treści w poście
Luka w zabezpieczeniach: uwierzytelnione zapisane skrypty między witrynami (XSS)
Poprawione w wersji : 6.9
Wynik ważności : średni
33. Icegram
Wtyczka: Icegram
Luka w zabezpieczeniach: Admin+ Stored Cross-Site Scripting
Łatka w wersji : 2.0.3
Wynik ciężkości : niski
34. Lepsze linki
Wtyczka: BetterLinks
Luka w zabezpieczeniach: Admin+ Stored Cross-Site Scripting
Łatka w wersji : 1.2.6
Wynik ciężkości : niski
35. Ucz się kreska
Wtyczka: LearnDash
Luka w zabezpieczeniach: przesyłanie nieuwierzytelnionego arbitralnego pliku
Łatka w wersji : 2.5.4
Ocena ważności : krytyczna
36. ImageBoss
Wtyczka: ImageBoss
Luka w zabezpieczeniach: Admin+ Stored Cross-Site Scripting
Poprawione w wersji : 3.0.6
Wynik ciężkości : niski
37. Formator
Wtyczka: Formator
Luka w zabezpieczeniach: administrator + przechowywane skrypty między witrynami
Poprawione w wersji : 1.2.4
Wynik ciężkości : niski
38. Wydawca MPL
Wtyczka: Wydawca MPL
Luka w zabezpieczeniach: Admin+ Stored Cross Site Scripting
Poprawione w wersji : 1.30.4
Wynik ciężkości : niski
39. Elementor
Wtyczka: Elementor
Luka w zabezpieczeniach: DOM Cross Site Scripting
Łatka w wersji : 3.1.4
Wynik ważności : średni
40. Bezczelny udział w mediach społecznościowych
Wtyczka: Sassy Social Share
Luka : brak kontroli dostępu do wstrzykiwania obiektów PHP
Poprawione w wersji : 3.3.24
Wynik ważności : średni
41. Rejestr ciast
Wtyczka: Rejestr kołowy
Luka : otwarte przekierowanie
Łatka w wersji 3.7.2.4
Wynik ważności : średni
42. Zaawansowane formularze
Wtyczka: Zaawansowane formularze
Luka w zabezpieczeniach: aktualizacja adresu e-mail subskrybenta + arbitralnego użytkownika przez IDOR
Poprawione w wersji : 1.6.9
Wynik ważności : wysoki
Wtyczka: Zaawansowane formularze Pro
Luka w zabezpieczeniach: aktualizacja adresu e-mail subskrybenta + arbitralnego użytkownika przez IDOR
Poprawione w wersji : 1.6.9
Wynik ważności : wysoki
43. Importuj demo motywów
Wtyczka: Importuj demo motywów
Luka w zabezpieczeniach: Admin + arbitralne przesyłanie plików
Poprawione w wersji : 1.8
Ocena ważności : krytyczna
44. Prosta tablica ogłoszeń
Wtyczka: Prosta tablica ogłoszeń
Luka w zabezpieczeniach: Admin+ Stored Cross-Site Scripting
Łatka w wersji : 2.9.5
Wynik ciężkości : niski
45. Poszukiwanie kości słoniowej
Wtyczka: Wyszukiwanie kości słoniowej
Luka w zabezpieczeniach: odbite skrypty między witrynami
Poprawione w wersji : 4.7
Wynik ważności : wysoki
46. Brama wieku
Wtyczka: Brama wieku
Luka w zabezpieczeniach: uwierzytelnione przechowywane przechowywane skrypty między witrynami
Łatka w wersji : 2.16.4
Ocena ważności : krytyczna
Jak chronić swoją witrynę WordPress przed podatnymi wtyczkami i motywami?
Jak widać z tego raportu, co tydzień ujawnianych jest wiele nowych wtyczek WordPress i luk w motywach. Wiemy, że śledzenie każdego zgłoszonego ujawnienia luki w zabezpieczeniach może być trudne, więc wtyczka iThemes Security Pro ułatwia upewnienie się, że w Twojej witrynie nie jest uruchomiony motyw, wtyczka lub główna wersja WordPress ze znaną luką.
1. Skanuj w poszukiwaniu znanych luk w zabezpieczeniach witryn
Wtyczka iThemes Security Pro skanuje w poszukiwaniu pierwszego powodu hakowania witryn WordPress: nieaktualnych wtyczek i motywów ze znanymi lukami w zabezpieczeniach.
2. Automatyczna aktualizacja do bezpiecznych wersji
Funkcja zarządzania wersjami w iThemes Security Pro integruje się ze skanowaniem witryny, aby chronić Twoją witrynę. Podatne motywy, wtyczki i podstawowe wersje WordPress zostaną automatycznie zaktualizowane.
3. Monitoruj zmiany plików
Kluczem do szybkiego wykrycia naruszenia bezpieczeństwa jest monitorowanie zmian w plikach w Twojej witrynie. Funkcja wykrywania zmian plików w iThemes Security Pro przeskanuje pliki Twojej witryny i powiadomi Cię, gdy nastąpią zmiany w Twojej witrynie.
Uzyskaj iThemes Security Pro z całodobowym monitorowaniem witryn
iThemes Security Pro, nasza wtyczka bezpieczeństwa WordPress, oferuje ponad 50 sposobów zabezpieczenia i ochrony Twojej witryny przed typowymi lukami w zabezpieczeniach WordPress. Dzięki WordPress, uwierzytelnianiu dwuskładnikowemu, ochronie przed brutalną siłą, silnemu egzekwowaniu haseł i nie tylko, możesz dodać dodatkowe warstwy bezpieczeństwa do swojej witryny.