Podsumowanie luk w zabezpieczeniach WordPressa: sierpień 2020 r., część 2

Opublikowany: 2020-10-29

Nowa wtyczka WordPress i luki w motywach zostały ujawnione w drugiej połowie sierpnia, więc chcemy Cię informować. W tym poście omawiamy najnowsze luki w zabezpieczeniach wtyczek, motywów i podstawowych WordPress oraz co zrobić, jeśli używasz jednej z wrażliwych wtyczek lub motywów w swojej witrynie.

Podsumowanie luk w zabezpieczeniach WordPress jest podzielone na trzy różne kategorie: rdzeń WordPress, wtyczki WordPress i motywy WordPress.

W tym raporcie

    Główne luki w WordPressie

    W sierpniu nie ujawniono żadnych podstawowych luk w WordPressie. Jednak sierpień przyniósł nową główną wersję WordPressa. Pamiętaj tylko, że otrzymaliśmy wiele raportów dotyczących stron internetowych psujących aktualizację 5.5, więc oto przewodnik dotyczący stron internetowych psujących WordPress 5.5: Jak to naprawić.

    Zobacz, co nowego w WordPressie 5.5

    WordPress 5.5 „Eckstine” jest już dostępny! Ta główna wersja WordPressa skupia się na „szybkości, wyszukiwaniu i bezpieczeństwie”, w tym 1500+ zmian w interfejsie edytora bloków, ponad 150 ulepszeń i żądań funkcji, ponad 300 poprawek błędów i wiele więcej. Zobacz, co nowego w WordPress 5.5.

    Pamiętaj, aby zaktualizować wszystkie swoje witryny do WordPress 5.5.

    Luki w zabezpieczeniach wtyczki WordPress

    1. Ostateczny członek

    Wersje Ultimate Member poniżej 2.1.7 mają lukę w zabezpieczeniach nieuwierzytelnionego otwartego przekierowania.

    Luka została załatana i należy zaktualizować ją do wersji 2.1.7.

    2. Mistrz quizów i ankiet

    Wersje Quiz i Survey Master poniżej 7.0.1 mają luki w zabezpieczeniach związane z nieuwierzytelnionym usuwaniem arbitralnych plików i arbitralnym przesyłaniem plików.

    Luki zostały załatane i należy zaktualizować je do wersji 7.0.1.

    3. Sprzedawaj media

    Wersje Sell Media poniżej 2.4.2 mają lukę w zabezpieczeniach nieuwierzytelnionych odbitych skryptów krzyżowych.

    Luka została załatana i należy zaktualizować ją do wersji 2.4.2.

    4. WordPress fancyBox Lightbox

    Wersje WordPress fancyBox Lightbox poniżej 1.0.2 mają usterkę Authenticated Stored Cross-Site Scripting.

    Luka została załatana i należy zaktualizować ją do wersji 1.0.2.

    5. Pole kolorów WordPress

    Wersje WordPress Colorbox Lightbox poniżej 1.1.3 mają usterkę Authenticated Stored Cross-Site Scripting.

    Luka została załatana i należy zaktualizować ją do wersji 1.1.3.

    6. Sprzedaj zdjęcie

    Wszystkie wersje luki Sell Photo Authenticated Stored Cross-Site Scripting.

    Usuń wtyczkę, dopóki nie zostanie wydana poprawka bezpieczeństwa.

    7. Responsywny Lightbox2

    Wersje responsywne Lightbox2 poniżej 1.0.3 mają usterkę Authenticated Stored Cross-Site Scripting.

    Luka została załatana i należy zaktualizować ją do wersji 1.0.3.

    8. Galeria NextGEN Sprzedaj zdjęcie

    Wszystkie wersje NextGEN Gallery Sell Photo mają usterkę Authenticated Stored Cross-Site Scripting.

    Usuń wtyczkę, dopóki nie zostanie wydana poprawka bezpieczeństwa.

    9. Łatwe pobieranie multimediów

    Wersje Easy Media Download poniżej 1.1.5 mają usterkę Authenticated Stored Cross-Site Scripting.

    Luka została załatana i należy zaktualizować ją do wersji 1.1.5.

    10. Menedżer linków wewnętrznych

    Wszystkie wersje Menedżera linków wewnętrznych mają wiele luk w zabezpieczeniach skryptów wielu witryn uwierzytelnionych.

    Usuń wtyczkę, dopóki nie zostanie wydana poprawka bezpieczeństwa.

    11. Eleganckie referencje

    Wszystkie wersje Elegant Testimonial mają wiele luk w zabezpieczeniach skryptów cross-site Scripting Authenticated Stored.

    Usuń wtyczkę, dopóki nie zostanie wydana poprawka bezpieczeństwa.

    12. Kliknij na górę

    Wersje Click to top poniżej 1.2.7 mają lukę w zabezpieczeniach Authenticated Stored Cross-Site Scripting.

    Luka została załatana i należy zaktualizować ją do wersji 1.2.7.

    13. Opinie klientów WP

    Wersje WP Customer Reviews poniżej 3.4.3 mają wiele nieuwierzytelnionych i uwierzytelnionych o niskich uprawnieniach przechowywanych luk XSS.

    Luki zostały załatane i należy zaktualizować je do wersji 3.4.3.

    14. Zasady rabatowe dla WooCommerce

    Zasady rabatowe dla wersji WooCommerce poniżej 2.1.0 mają wiele luk w zabezpieczeniach.

    Luki zostały załatane i należy zaktualizować je do wersji 2.1.0.

    15. Zaawansowany menedżer dostępu

    Wersje Advanced Access Manager poniżej 6.6.2 mają luki w zabezpieczeniach pominięcia autoryzacji uwierzytelnionej i eskalacji uprawnień.

    Luki zostały załatane i należy zaktualizować je do wersji 6.6.2.

    16. WooCommerce – Transakcja NAB

    WooCommerce – wersje NAB Transact poniżej 2.1.2 mają podatność na obejście płatności.

    Luka została załatana i należy zaktualizować ją do wersji 2.1.2.

    17. Formy Kali

    Wersje Kali Forms poniżej 2.1.2 mają wiele luk.

    Luki zostały załatane i należy zaktualizować je do wersji 2.1.2.

    18. Kreator RSVP

    Wersje RSVPMaker poniżej 7.8.2 zawierają lukę w zabezpieczeniach nieuwierzytelnionego wstrzyknięcia SQL.

    Luka została załatana i należy zaktualizować ją do wersji 7.8.2.

    19. Autooptymalizacja

    Wersje funkcji Autoptimize poniżej 2.7.7 mają lukę w zabezpieczeniach uwierzytelnionego przesyłania plików arbitralnych.

    Luka została załatana i należy zaktualizować ją do wersji 2.7.7.

    Luki w motywie WordPress

    1. JedzeniePiekarnia

    FoodBakery w wersjach 1.9 i starszych zawiera lukę w zabezpieczeniach XSS typu Unauthenticated Reflected.

    Luka została załatana na gorąco w wersji 1.9. Jednak żadna nowa wersja nie została wydana. W rezultacie istnieją dwie wersje 1.9, jedna podatna na ataki, a druga z łatką. Powinieneś skontaktować się z deweloperem, aby potwierdzić, że otrzymałeś tę poprawkę.

    2. Konzept

    Wersje Konzept poniżej 2.5 mają podatność nieuwierzytelnionego odbicia XSS.

    Luka została załatana i należy zaktualizować ją do wersji 2.5.

    3. Nova Lite

    Wersje Nova Lite poniżej 1.3.9 mają lukę w zabezpieczeniach Unautenticated Reflected Cross-Site Scripting.

    Luka została załatana i należy zaktualizować ją do wersji 1.3.9.

    4. Domowe wille

    Wszystkie wersje Home Villas mają wiele luk w zabezpieczeniach Cross-Site Scripting.

    Usuń kompozycję do czasu wydania poprawki zabezpieczeń.

    5. Magazyn Geo

    Wszystkie wersje Geo Magazine mają podatność na nieautoryzowane odbicie XSS.

    Usuń kompozycję do czasu wydania poprawki zabezpieczeń.

    Chroń WordPress za pomocą iThemes Security Site Scan

    Czy wiesz, że 60% naruszeń witryn internetowych dotyczy luk, dla których dostępna była poprawka, ale nie została zastosowana? Oznacza to, że posiadanie w witrynie zainstalowanego oprogramowania ze znanymi lukami daje hakerom plany, których potrzebują, aby przejąć witrynę.

    Każdego dnia coraz trudniej jest śledzić każdą ujawnioną lukę w zabezpieczeniach WordPressa . Musisz porównać tę listę z wersjami wtyczek i motywów, które zainstalowałeś na swojej stronie… i upewnij się, że stale aktualizujesz.

    Aby rozwiązać ten problem, z radością ogłaszamy dzisiaj, że wtyczka iThemes Security Pro wprowadza lepszy sposób ochrony Twoich witryn przed lukami w oprogramowaniu , głównym winowajcą zhakowanych i zhakowanych witryn WordPress.

    Nowy, ulepszony WordPress Security Site Scan obsługiwany przez iThemes przeprowadza automatyczne sprawdzanie znanych luk w zabezpieczeniach witryn internetowych, a jeśli dostępna jest poprawka, iThemes Security Pro automatycznie zastosuje poprawkę za Ciebie… więc nie musisz. Uff. to trochę spokoju.

    Szczegóły luki w zabezpieczeniach skanowania witryny

    Wtyczka bezpieczeństwa WordPress może pomóc w zabezpieczeniu Twojej witryny

    iThemes Security Pro, nasza wtyczka bezpieczeństwa WordPress, oferuje ponad 50 sposobów zabezpieczenia i ochrony Twojej witryny przed typowymi lukami w zabezpieczeniach WordPress. Dzięki WordPress, uwierzytelnianiu dwuskładnikowemu, ochronie przed brutalną siłą, silnemu egzekwowaniu haseł i nie tylko, możesz dodać dodatkową warstwę bezpieczeństwa do swojej witryny.