Podsumowanie luk w zabezpieczeniach WordPressa: czerwiec 2020 r., część 1

Opublikowany: 2020-08-18

Nowa wtyczka WordPress i luki w motywach zostały ujawnione w pierwszej połowie czerwca, więc chcemy Cię informować. W tym poście omawiamy najnowsze luki w zabezpieczeniach wtyczek, motywów i podstawowych WordPress oraz co zrobić, jeśli używasz jednej z wrażliwych wtyczek lub motywów w swojej witrynie.

Podsumowanie luk w zabezpieczeniach WordPressa dzieli się na trzy różne kategorie:

  1. Rdzeń WordPressa
  2. Wtyczki WordPress
  3. Motywy WordPress

Każda podatność będzie miała ocenę zagrożenia Niską , Średnią , Wysoką lub Krytyczną .

Główne luki w WordPressie

1. Aktualizacja do WordPress 5.4.2 – Krytyczna

WordPress w wersji 5.4.2 jest już dostępny. Jest to ważna wersja bezpieczeństwa i konserwacji. Wcześniejsze wersje mają wiele błędów bezpieczeństwa, które zostały naprawione w wersji 5.4.2. Jeśli nie zaktualizowano jeszcze do 5.4, istnieją również zaktualizowane wersje 5.3 i wcześniejsze, które rozwiązują problemy z bezpieczeństwem.

Możesz pobrać WordPress 5.4.2 z WordPress.org lub odwiedzić pulpit nawigacyjny administratora WP > Aktualizacje i kliknąć Aktualizuj teraz . Jeśli masz witryny obsługujące automatyczne aktualizacje w tle, powinny już zostać zaktualizowane.

Luki zostały załatane i powinieneś zaktualizować WordPressa do wersji 5.4.2

Luki w zabezpieczeniach wtyczki WordPress

Do tej pory w tym miesiącu wykryto kilka nowych luk w zabezpieczeniach wtyczki WordPress. Postępuj zgodnie z sugerowaną czynnością poniżej, aby zaktualizować wtyczkę lub całkowicie ją odinstalować.

1. Przeciągnij i upuść przesyłanie wielu plików do formularza kontaktowego 7 – krytyczne

Przeciągnij i upuść przesyłanie wielu plików do formularza kontaktowego 7 w wersjach poniżej 1.3.3.3 zawiera lukę w zabezpieczeniach ominięcia nieuwierzytelnionego przesyłania plików.

Luka została załatana i należy zaktualizować ją do wersji 1.3.3.3.

2. Kreator stron: PageLayer – kreator stron internetowych typu „przeciągnij i upuść” – wysoki

Kreator stron: PageLayer – Wersje kreatora stron internetowych typu „przeciągnij i upuść” poniżej 1.1.2 mają niechroniony AJAX prowadzący do XSS i CSRF prowadzący do luk w zabezpieczeniach XSS.

Luka została załatana i należy zaktualizować ją do wersji 1.1.2.

3. Mapy MapPress – krytyczne

MapPress Mapy w wersjach poniżej 2.54.6 mają usterkę Niewłaściwe sprawdzanie zdolności w wywołaniach AJAX.

Luka została załatana i należy zaktualizować ją do wersji 2.54.6.

4. Galeria zdjęć obrazu Final Tiles Grid – Critical

Image Galeria zdjęć Wersje Final Tiles Grid poniżej 3.4.19 mają usterkę Authenticated Stored Cross-Site Scripting.

Luka została załatana i należy zaktualizować ją do wersji 3.4.19.

5. bbPress – krytyczne

Wersje bbPress poniżej 2.6.5 mają lukę w eskalacji uprawnień nieuwierzytelnionych, gdy włączona jest rejestracja nowego użytkownika.

Luka została załatana i należy zaktualizować ją do wersji 2.6.5.

6. Wiele harmonogramów – wysoki

Wszystkie wersje Multi Schedulera mają podatność na arbitralne usuwanie rekordów przez CSRF.

Usuń wtyczkę, dopóki nie zostanie wydana poprawka bezpieczeństwa.

7. Poszukiwanie pracy – wysokie

Wersje JobSearch poniżej 1.5.1 mają lukę w zabezpieczeniach nieuwierzytelnionych odbitych skryptów krzyżowych.

Luka została załatana i należy zaktualizować ją do wersji 1.5.1.

8. Rotacja reklam – średnia

Wersje AdRotate poniżej 5.8.4 mają lukę Authenticated SQL Injection.

Luka została załatana i należy zaktualizować ją do wersji 5.8.4.

9. Kreator Stron Elementora – Wysoki

Wersje kreatora stron Elementor poniżej 2.9.10 mają lukę w zabezpieczeniach uwierzytelnionego przechowywanego XSS.

Luka została załatana i należy zaktualizować ją do wersji 2.9.10.

10. SportsPress – Wysoka

Wersje SportsPress poniżej 2.7.2 mają usterkę Authenticated Stored Cross-Site Scripting.

Luka została załatana i należy zaktualizować ją do wersji 2.7.2.

Motywy WordPress

1. Kariera – wysoka

Wersje Careerfy poniżej 3.9.0 mają lukę w zabezpieczeniach nieuwierzytelnionych odbitych skryptów krzyżowych.

Luka została załatana i należy zaktualizować ją do wersji 3.9.0.

2. Gazeta – wysoka

Wersje gazety poniżej 10.3.4 mają usterkę Authenticated Reflected Cross-Site Scripting.

Luka została załatana i należy zaktualizować ją do wersji 10.3.4.

Nowy! Chroń swoją witrynę WordPress za pomocą skanowania witryny bezpieczeństwa iThemes.

Czy wiesz, że 60% naruszeń witryn internetowych dotyczy luk, dla których dostępna była poprawka, ale nie została zastosowana? Oznacza to, że posiadanie w witrynie zainstalowanego oprogramowania ze znanymi lukami daje hakerom plany, których potrzebują, aby przejąć witrynę.

Każdego dnia coraz trudniej jest śledzić każdą ujawnioną lukę w zabezpieczeniach WordPressa . Musisz porównać tę listę z wersjami wtyczek i motywów, które zainstalowałeś na swojej stronie… i upewnij się, że stale aktualizujesz.

Aby rozwiązać ten problem, z radością ogłaszamy dzisiaj, że wtyczka iThemes Security Pro wprowadza lepszy sposób ochrony Twoich witryn przed lukami w oprogramowaniu , głównym winowajcą zhakowanych i zhakowanych witryn WordPress.

Nowy, ulepszony WordPress Security Site Scan obsługiwany przez iThemes przeprowadza automatyczne sprawdzanie znanych luk w zabezpieczeniach witryn internetowych, a jeśli dostępna jest poprawka, iThemes Security Pro automatycznie zastosuje poprawkę za Ciebie… więc nie musisz. Uff. to trochę spokoju.

Szczegóły luki w zabezpieczeniach skanowania witryny

Wtyczka bezpieczeństwa WordPress może pomóc w zabezpieczeniu Twojej witryny

iThemes Security Pro, nasza wtyczka bezpieczeństwa WordPress, oferuje ponad 30 sposobów zabezpieczenia i ochrony Twojej witryny przed typowymi lukami w zabezpieczeniach WordPress. Dzięki WordPress, uwierzytelnianiu dwuskładnikowemu, ochronie przed brutalną siłą, silnemu egzekwowaniu haseł i nie tylko, możesz dodać dodatkową warstwę bezpieczeństwa do swojej witryny.

Dowiedz się więcej o bezpieczeństwie WordPress z 10 kluczowymi wskazówkami. Pobierz teraz ebook: Przewodnik po zabezpieczeniach WordPress
Pobierz teraz