Notícias sobre vulnerabilidade do WordPress, novembro de 2021
Publicados: 2020-11-06
Vulnerabilidade do WordPress significa Fraqueza do WordPress. Neste post de notícias de vulnerabilidade do WordPress de novembro, vamos nos concentrar nos plugins vulneráveis do WordPress e nos problemas de segurança do WordPress descobertos em outubro de 2020 e novembro de 2020.
A parte mais importante e crucial da segurança é manter-se atualizado com as vulnerabilidades de segurança em CMS como WordPress e entre outros.
Esta é a razão pela qual analisamos os plug-ins suscetíveis e o ponto fraco revelado mais recente para garantir que seu site funcione sem problemas, não usando esses plug-ins e atualizações desprotegidos para o WordPress.
Seu site estará protegido contra todos os problemas de segurança e vulnerabilidades se você estiver usando o firewall do aplicativo da web WebARX. Mas o melhor método alternativo para tornar seu site seguro é remover ou atualizar os plugins desprotegidos em seus sites.
Notícias sobre vulnerabilidade do WordPress, outubro de 2020
WordPress + Microsoft Office 365
Para acessar seu site WordPress, os usuários podem fazer login com sua conta escolar ou corporativa com WPO365|LOGIN. Senha e nenhum nome de usuário necessário. Além disso, você poderá enviar e-mails com a ajuda do Microsoft Graph, em vez de usar o SMTP do seu site.
Vulnerabilidade: desvio de verificação de assinatura JWT
Resolvido na versão: 11.7
Total de sites afetados: mais de 1.000
Este plugin não verifica assinaturas JWT, permite verificações de autorização, ignora autenticações e permite que invasores formem tokens.
Controle deslizante da 10Web
Slider by 10Web é um método alternativo de adicionar controles deslizantes responsivos, rápidos e amigáveis para SEO no cabeçalho do tema, nas postagens e nas páginas do site ou em qualquer outro local.
Este plugin é compatível com vídeos e imagens e permite que ambos os conteúdos sejam adicionados em slides. Você pode adicionar diferentes efeitos de transição a ele com muita facilidade.
Vulnerabilidade: injeção de SQL autenticada múltipla
Resolvido na versão: 1.2.36
Total de sites afetados: mais de 50.000
As duas funcionalidades vulneráveis deste plugin são save_slider_db e bulk_action, export_full. Essas duas funcionalidades permitem que usuários autorizados ou admin ou meio como contribuidor + 'opção de função' suponha que o outro usuário esteja ativado para executar um ataque conhecido como injeções de SQL.
A data de declaração do PoC foi em 13 de outubro de 2020, que fornece atualizações aos usuários de tempos em tempos.
Cursos WP
WP Courses é um plugin gratuito do WordPress que pode ser usado para LMS para gerenciar e criar cursos em seu site com ferramentas de arrastar e soltar, uma interface intuitiva, tutoriais em vídeo e muito mais. Este plugin tem mais de 900 instalações ativas.
Este plugin pode ser adicionado com qualquer outro modelo, pois funcionará perfeitamente. Ele também vem com tantas opções que ajudarão você a combinar sua visão e o design do seu site. Este plugin é fácil de navegar, pois não requer nenhum conhecimento técnico ou de codificação.
Vulnerabilidade: levando à divulgação do conteúdo dos cursos devido a controles de acesso quebrados
Resolvido na versão: 2.0.29
Total de sites afetados: mais de 20.000
Pela API REST do WordPress, o problema nos cursos WP pode tornar seus cursos disponíveis para todos.
Simples: pressione
Para o seu site WordPress, o Simple: Press é um software de fórum. Com alguns recursos extras, você pode iniciar seu fórum facilmente. Ele é integrado ao modelo de segurança e ao modelo de usuário do WordPress e pode ser aumentado para milhares de usuários.
Apesar de outros plugins de fórum, os recursos deste plugin são criados e suportados pelas organizações. A opção está disponível para remoção ou desinstalação, integração com login e registros do WordPress, integração com plugins de assinaturas de membros e muito mais.
Vulnerabilidade: Levando ao RCE devido ao controle de acesso quebrado
Resolvido na versão: 6.6.1
Total de sites afetados: mais de 600
O problema de controle de acesso quebrado no plug-in Simple: Press foi corrigido, o que estava afetando a versão 6.6.0 e abaixo.
Plugin XCloner
Este plugin irá ajudá-lo a restaurar e fazer backup do seu site WordPress.
Vulnerabilidade: falsificação de solicitação entre sites
Resolvido na versão: 4.2.13
Total de sites afetados: mais de 30.000
Os backups de sites podem ser enviados para o Google Drive, SFTP, Amazon, Dropbox, Backblaze e alguns outros locais. Automaticamente ou manualmente você pode criar backups com um agendador que é um build-in do XCloner.
Diferentes recursos de segurança são fornecidos pelo XCloner, como o XCloner, que criará temas, núcleo, plugins, backup de arquivos de idiomas antes das atualizações automáticas, temas, plugins ou arquivos de idioma do núcleo do WordPress. As pessoas que procuram um site seguro e privacidade devem escolher o XCloner.
Arraste e Solte o Upload de Múltiplos Arquivos – formulário de contato 7
Este plugin é uma extensão fácil de usar e direta, especialmente para o formulário de contato 7. Este plugin permitirá que os usuários adicionem arquivos diferentes com a ajuda de recursos de arrastar e soltar. Pode-se também adicionar um arquivo de navegação comum do formulário da web.
Os recursos deste plug-in são restritos ao número de uploads de arquivos, restringem o tamanho do arquivo para cada campo, responsivo para dispositivos móveis, compatível com qualquer navegador, suporta vários idiomas, barra de progresso legal, recurso de arrastar e soltar, validação de tamanho de arquivo, validação de tipo de arquivo, e assim por diante.
Vulnerabilidade: execução remota de código não verificada
Resolvido na versão: 1.3.5.5
Total de sites afetados: mais de 20.000
Esta ferramenta faz uso da lista negra de extensões de arquivos perigosos que não permitem o upload. No entanto, as extensões .phpt e .phar não estavam na lista negra que não pode ser utilizada para adicionar código PHP arbitrário.
Alguns mais de 25 plugins WordPress foram descobertos com vulnerabilidades a ataques CSRF, alguns deles são
- Profissional de associação paga
- Criador de cupons
- Criadores de Funner
- Botões de rádio para taxonomias
- Linha do tempo legal
- Depoimentos fáceis
- Dokan
- Agregador RSS do Feedly
- Reserva de hotel WP
- WP Project Manager e muito mais.
Post relacionado: Melhores temas WordPress sem erros para projetos para escolher para o seu próximo site
Notícias sobre vulnerabilidade do WordPress, novembro de 2020
Suporte de conformidade GDPR CCPA
Também é conhecido como o plugin de conformidade Ninja GDPR para usuários do WordPress.
Vulnerabilidade: injeção não oficial em objeto PHP
Resolvido na versão: 2.4
Total de sites afetados: mais de 1.000
O plug-in de suporte GDPR CCPA Compliance tem mais de 1000 instalações ativas Ele resolveu uma vulnerabilidade de desserialização insegura que afeta a versão 2.1 e inferior que pode levar à injeção de objeto PHP não oficial. Em 17 de novembro de 2020. O PoC será exibido para atualizar os usuários com todas as informações.
e-commerce Welcart
WelCart é gratuito para usar. Possui mais de 20.000 instalações ativas e está disponível em 3 idiomas diferentes, ou seja, inglês (EUA), japonês e vietnamita. Em 9 de outubro de 2020, a vulnerabilidade foi descoberta neste plugin.
Vulnerabilidade: injeção não oficial no objeto PHP
Resolvido na versão: 1.9.36
Total de sites afetados: mais de 20.000
Os usuários do WordPress podem usar o plug-in Welcart para criar um site de compras com uma área de conta de cliente diferente. Ele não usa o mesmo cookie que é usado pelo WordPress. Ele usa o seu próprio.
Isso ajuda você a rastrear as sessões do usuário. Usando este plugin, você poderá vender qualquer tipo de produto, incluindo produtos baseados em assinatura, produtos digitais e produtos físicos. Não há limite especificado para o número de fotos, produtos e categorias de itens.
Ícones sociais do AccessPress
Você poderá criar diferentes ícones sociais e adicionar um link para suas contas de mídia social válidas diretamente do site. Possui mais de 40.000 instalações ativas e suporta o WordPress versão 4.5 e superior.
Vulnerabilidade: injeção SQL autenticada
Resolvido na versão: 1.8.1
Total de sites afetados: mais de 40.000
Seu atributo widget não foi desinfetado por este plugin, ele permite que contas com permissão de postagem, por exemplo, autor, executem injeções de SQL.
Muito facilmente, uma pessoa não técnica também pode vincular-se a perfis sociais no site. Você pode criar e personalizar os ícones lindamente por conta própria. 12 vários conjuntos projetados são fornecidos que podem ser usados para selecionar ícones.
As principais características deste plugin são a integração fácil, dicas de ferramentas, mais estilos, visualização ao vivo em tempo real, responsivo, interativo, layouts próprios e muito mais.
WordPress
A versão 5.5.2 do WordPress foi lançada em 29 de outubro de 2020. Esta versão foi introduzida para corrigir os problemas afetados pela versão 5.5 do WordPress, incluindo a vulnerabilidade XSS refletida. Além disso, corrigiu alguns problemas de regressões que foram descobertos na versão 5.5
Vulnerabilidade: XSS refletido
Resolvido na versão: 5.5.2
Total de sites afetados: N/A
Em cada conta de usuário do WordPress e site do usuário, esse problema é suscetível. O assaltante pode enganar um usuário inconsciente para clicar em um link infectado ou visitar o site que está com armadilha. O nível de vitimização para esse problema é médio porque precisa de algum tipo de engenharia social.
SW Ajax WooCommerce Search
SW Ajax WooCommerce Search é um plugin WordPress para WooCommerce que possui um recurso de pesquisa Ajax.
Vulnerabilidade: XFS e XSS refletido não oficial
Resolvido na versão: 1.2.8
Total de sites afetados: N/A
Conclusão:
Notícias de vulnerabilidade do WordPress de novembro – Número de sites do WordPress estão sendo infectados e invadidos todos os dias. Alguns números mostram que mais de 30.000 sites são afetados diariamente com vários tipos de malware.
Cada site aberto na internet é um recurso disponível para todos e esta é a principal razão pela qual a maioria dos sites são direcionados.
É crucial saber o fato de que, assim que você vive seu negócio online, ele se torna disponível ao público. Assim, torna-se facilmente alvo.
Para evitar adicionar plugins vulneráveis em seu site, é importante manter seus plugins e sites atualizados. Você pode ativar as atualizações automáticas, se possível.
Se você estiver usando os plugins mencionados acima, é hora de atualizá-lo com uma nova versão, caso contrário seu site será afetado gravemente.