Relatório de vulnerabilidade do WordPress: agosto de 2021, parte 3

Plug-ins e temas vulneráveis ​​são o principal motivo pelo qual os sites do WordPress são hackeados. O relatório semanal de vulnerabilidade do WordPress desenvolvido por WPScan cobre plug-ins, temas e vulnerabilidades principais do WordPress recentes e o que fazer se você executar um dos plug-ins ou temas vulneráveis ​​em seu site.

Cada vulnerabilidade terá uma classificação de gravidade Baixa , Média , Alta ou Crítica . A divulgação responsável e o relatório de vulnerabilidades são parte integrante de manter a comunidade do WordPress segura.

Como um dos maiores Relatórios de Vulnerabilidade do WordPress até hoje, compartilhe este post com seus amigos para ajudar a divulgar e tornar o WordPress mais seguro para todos.

Vulnerabilidades do núcleo do WordPress

1. Limpar login

Plugin: Limpar Login
Vulnerabilidade : script entre sites refletido
Com patch na versão : 1.12.6.4
Pontuação de gravidade : média

2. SliceWP

Plugin: SliceWP
Vulnerabilidade : Scripting Cross-Site Refletido (XSS)
Remendado na versão : 1.0.46
Pontuação de gravidade : alta

3. Gerenciador de download do WordPress

Plugin: gerenciador de download do WordPress
Vulnerabilidade : atualização da configuração do modelo de email via CSRF
Remendado na versão : 3.2.13
Pontuação de gravidade : média

4. SpeakOut! Petições por e-mail

Plugin: SpeakOut! Petições por e-mail
Vulnerabilidade : script entre sites refletido
Remendado na versão : 2.13.3
Pontuação de gravidade : alta

5. Avaliações do site

Plugin: Críticas do Site
Vulnerabilidade : XSS armazenado autenticado
Remendado na versão : 5.13.1
Pontuação de gravidade : baixa

6. Tutor LMS

Plugin: Tutor LMS
Vulnerabilidade : script entre sites refletido
Remendado na versão : 1.9.6
Pontuação de gravidade : alta

7. Barra de Notificação WPFront

Plugin: Barra de Notificação WPFront
Vulnerabilidade : XSS armazenado autenticado
Remendado na versão : 2.1.08087
Pontuação de gravidade : baixa

8. Form Builder

Plugin: Form Builder
Vulnerabilidade : Scripting Cross-Site Refletido (XSS)
Remendado na versão : 1.9.8.5
Pontuação de gravidade : alta

Plugin: Form Builder
Vulnerabilidade : script entre sites armazenados e autenticados
Remendado na versão : 1.9.8.4
Pontuação de gravidade : baixa

9. WPvivid Backup

Plugin: WPvivid Backup
Vulnerabilidade : script entre sites refletido
Remendado na versão : 0.9.56
Pontuação de gravidade : alta

10. AddToAny

Plugin: AddToAny
Vulnerabilidade : XSS armazenado autenticado
Remendado na versão : 1.7.46
Pontuação de gravidade : baixa

11. Pare a segurança dos spammers

Plug-in: interromper a segurança dos spammers
Vulnerabilidade : XSS armazenado autenticado
Remendado na versão : 2021.18
Pontuação de gravidade : baixa

12. Palavras-chave e Meta

Plugin: palavras - chave e meta
Vulnerabilidade : CSRF para scripts entre sites armazenados (XSS)
Remendado na versão : nenhuma correção conhecida
Pontuação de gravidade : alta

13. Estrutura Titan

Plugin: Titan Framework
Vulnerabilidade : Scripting Cross-Site Refletido (XSS)
Remendado na versão : nenhuma correção conhecida
Pontuação de gravidade : alta

Afeta os plug-ins:

• 4k-icon-fonts-for-visual-composer - Nenhuma correção conhecida - plugin fechado
• adblock-notification-by-bweb - Nenhuma correção conhecida
• affiliate-pro - Nenhuma correção conhecida - plugin fechado
• amp-extensions - Nenhuma correção conhecida
• aoi-tori - Nenhuma correção conhecida
• awesome-support - Nenhuma correção conhecida
• betteroptin - Nenhuma correção conhecida - plugin fechado
• border-loading-bar - Nenhuma correção conhecida
• catchers-helpdesk - Nenhuma correção conhecida
• galeria de categorias - nenhuma correção conhecida
• categorias-galeria-woocommerce - Nenhuma correção conhecida
• cf7-customizer - Nenhuma correção conhecida
• Clinicwp-core - Nenhuma correção conhecida
• cool-facebook-page-feed-timeline - Nenhuma correção conhecida - plugin fechado
• custom-scroll-bar-designer - Nenhuma correção conhecida
• custom-text-selection-colors - Nenhuma correção conhecida
• disable-image-right-click - Nenhuma correção conhecida
• apresentação de slides da galeria fácil - nenhuma correção conhecida
• easy-google-map - Nenhuma correção conhecida
• galeria de justificativa fácil - nenhuma correção conhecida
• email-my-posts - Nenhuma correção conhecida
• exit-popup-show - Nenhuma correção conhecida
• flight-search-widget-blocks - Nenhuma correção conhecida
• icons-with-links-widget - Nenhuma correção conhecida - plugin fechado
• icustomizer - Nenhuma correção conhecida
• live-chat-facebook-fanpage - Nenhuma correção conhecida
• media-mirror - Nenhuma correção conhecida
• mobile-menu - Nenhuma correção conhecida
• popup-modal-for-youtube - Nenhuma correção conhecida
• project-app - Nenhuma correção conhecida
• bilhetes de afiliados de seatgeek - Sem solução conhecida
• seo-dashboard-by-gutewebsites-de - Nenhuma correção conhecida
• share-woocommerce-email - Nenhuma correção conhecida
• portfólio de comportamento simples - nenhuma correção conhecida
• menu de estrelas - Nenhuma correção conhecida - plugin fechado
• station-pro - nenhuma correção conhecida
• sticky-related-posts - Nenhuma correção conhecida - plugin fechado
• tcs3 - Nenhuma correção conhecida
• template-events-calendar - Nenhuma correção conhecida
• total-sales-for-woocommerce - Nenhuma correção conhecida
• tr-easy-google-analytics - Nenhuma correção conhecida - plugin fechado
• venture-event-manager - Sem solução conhecida
• w3s-cf7-zoho - Nenhuma correção conhecida
• webhotelier - Nenhuma correção conhecida
• woo-availability-date - Nenhuma correção conhecida
• woo-whatsapp-request-quote - Nenhuma correção conhecida - plugin fechado
• woosaleskit-bar - Nenhuma correção conhecida - plugin fechado
• botão yandex-money - Nenhuma correção conhecida

14. WP Fusion Lite

Plugin: WP Fusion Lite
Vulnerabilidade : CSRF para exclusão de dados
Remendado na versão : 3.37.30
Pontuação de gravidade : média

Plugin: WP Fusion Lite
Vulnerabilidade : Scripting Cross-Site Refletido (XSS)
Remendado na versão : 3.37.30
Pontuação de gravidade : alta

Plugin: WP Fusion Lite
Vulnerabilidade : Scripting Cross-Site Refletido (XSS)
Remendado na versão : 3.37.31
Pontuação de gravidade : alta

15. Bloquear e parar bots ruins

Plugin: bloquear e parar bots ruins
Vulnerabilidade : injeções de SQL autenticadas
Remendado na versão : 6.60
Pontuação de gravidade : média

16. WP Simple Booking Calendar

Plugin: WP Simple Booking Calendar
Vulnerabilidade : injeções de SQL autenticadas
Remendado na versão : 2.0.6
Pontuação de gravidade : média

17. Assinaturas de membros pagas

Plugin: assinaturas pagas de membros
Vulnerabilidade : injeções de SQL autenticadas
Remendado na versão : 2.4.2
Pontuação de gravidade : média

18. Favicon por RealFaviconGenerator

Plugin: Favicon de RealFaviconGenerator
Vulnerabilidade : Scripting Cross-Site Refletido (XSS)
Remendado na versão : 1.3.22
Pontuação de gravidade : alta

19. Alipay

Plugin: Alipay
Vulnerabilidade : injeção de SQL autenticada
Remendado na versão : nenhuma correção conhecida
Pontuação de gravidade : média

20. Cashtomer

Plugin: Cashtomer
Vulnerabilidade : injeção de SQL autenticada
Remendado na versão : nenhuma correção conhecida
Pontuação de gravidade : média

21. Associação WordPress SwiftCloud.io

Plug-in: WordPress Membership SwiftCloud.io
Vulnerabilidade : injeção de SQL autenticada
Remendado na versão : nenhuma correção conhecida
Pontuação de gravidade : média

22. Associação do WordPress SwiftCloud.io

Plugin: Marcador de comentários
Vulnerabilidade : injeção de SQL autenticada
Remendado na versão : nenhuma correção conhecida
Pontuação de gravidade : média

23. Easy Testimonial Manager

Plugin: Easy Testimonial Manager
Vulnerabilidade : injeção de SQL autenticada
Remendado na versão : nenhuma correção conhecida
Pontuação de gravidade : média

24. Incorporar vídeo do Youtube

Plugin: Incorporar vídeo do Youtube
Vulnerabilidade : injeção de SQL autenticada
Remendado na versão : nenhuma correção conhecida
Pontuação de gravidade : média

25. Mestre de questionários e pesquisas

Plugin: Quiz And Survey Master
Vulnerabilidade : script entre sites refletido
Remendado na versão : 7.1.14
Pontuação de gravidade : alta

26. Marque consulta online

Plug-in: agendar consulta online
Vulnerabilidade : Scripts entre sites armazenados e autenticados (XSS)
Remendado na versão : 1.39
Pontuação de gravidade : baixa

27. Google Authenticator de miniOrange

Plugin: miniOrange's Google Authenticator
Vulnerabilidade : script entre sites refletido
Remendado na versão : 5.4.40
Pontuação de gravidade : alta

28. Autenticação de dois fatores

Plugin: autenticação de dois fatores
Vulnerabilidade : script entre sites refletido
Remendado na versão : 1.0.8
Pontuação de gravidade : alta

29. Hora de Oração Diária

Plugin: Hora de Oração Diária
Vulnerabilidade : XSS armazenado autenticado
Remendado na versão : 2021.08.10
Pontuação de gravidade : baixa

30. Gerador de Post View Customizado

Plug-in: gerador de pós-visualização personalizado
Vulnerabilidade : script entre sites refletido
Remendado na versão : nenhuma correção conhecida
Pontuação de gravidade : alta

31. Player de vídeo FV Flowplayer

Plugin: Player de vídeo FV Flowplayer
Vulnerabilidade : script entre sites refletido
Remendado na versão : 7.5.3.727
Pontuação de gravidade : alta

32. Galeria de fotos

Plugin: Galeria de Imagens
Vulnerabilidade : XSS armazenado autenticado
Remendado na versão : nenhuma correção conhecida
Pontuação de gravidade : baixa

33. Gerenciador de Licença de Software

Plugin: Gerenciador de Licença de Software
Vulnerabilidade : script entre sites refletido
Versão corrigida : 4.4.8 (plug-in fechado)
Pontuação de gravidade : alta

34. Por página adicionar ao cabeçalho

Plugin: Por Página Adicionar ao Cabeçalho
Vulnerabilidade : XSS armazenado autenticado
Remendado na versão : nenhuma correção conhecida
Pontuação de gravidade : baixa

Plugin: Por Página Adicionar ao Cabeçalho
Vulnerabilidade : CSRF para XSS armazenado
Versão corrigida : 1.4.4 (plug-in fechado)
Pontuação de gravidade : alta

35. Securimage-WP-Fixed

Plugin: Securimage-WP-Fixed
Vulnerabilidade : Scripting Cross-Site Refletido (XSS)
Remendado na versão : nenhuma correção conhecida
Pontuação de gravidade : alta

36. Exportação de imagem

Plugin: Exportação de Imagem
Vulnerabilidade : Directory Traversal
Remendado na versão : nenhuma correção conhecida
Pontuação de gravidade : crítica

37. Controle deslizante de texto de conteúdo na postagem

Plugin: controle deslizante de texto de conteúdo na postagem
Vulnerabilidade : Scripts entre sites armazenados e autenticados (XSS)
Remendado na versão : 6.9
Pontuação de gravidade : média

38. Gerador de formulário de contato

Plugin: gerador de formulário de contato
Vulnerabilidade : Multiple Cross-Site Request Forgery (CSRF)
Remendado na versão : nenhuma correção conhecida
Pontuação de gravidade : alta

39. Calendar_plugin

Plugin: Calendar_plugin
Vulnerabilidade : script entre sites refletido
Remendado na versão : nenhuma correção conhecida
Pontuação de gravidade : alta

40. Adicionar barra lateral

Plugin: Adicionar Barra Lateral
Vulnerabilidade : script entre sites refletido
Remendado na versão : nenhuma correção conhecida
Pontuação de gravidade : alta

41. Tags WP SEO

Plugin: Tags WP SEO
Vulnerabilidade : script entre sites refletido
Remendado na versão : nenhuma correção conhecida
Pontuação de gravidade : alta

42. Moova para WooCommerce

Plugin: Moova para WooCommerce
Vulnerabilidade : script entre sites refletido
Remendado na versão : nenhuma correção conhecida
Pontuação de gravidade : alta

43. jQuery Tagline Rotator

Plugin: jQuery Tagline Rotator
Vulnerabilidade : script entre sites refletido
Remendado na versão : nenhuma correção conhecida
Pontuação de gravidade : alta

44. Tabela de preços do Plugmatter Lite

Plugin: Plugmatter Pricing Table Lite
Vulnerabilidade : script entre sites refletido
Remendado na versão : nenhuma correção conhecida
Pontuação de gravidade : alta

45. Boletim informativo pop-up simples

Plugin: boletim informativo pop-up simples
Vulnerabilidade : script entre sites refletido
Remendado na versão : nenhuma correção conhecida
Pontuação de gravidade : alta

46. ​​TypoFR

Plugin: TypoFR
Vulnerabilidade : script entre sites refletido
Remendado na versão : nenhuma correção conhecida
Pontuação de gravidade : alta

47. Songbook WP

Plugin: WP Songbook
Vulnerabilidade : script entre sites refletido
Remendado na versão : nenhuma correção conhecida
Pontuação de gravidade : alta

48. Relações de tipo de postagem personalizadas

Plugin: Relações de tipo de postagem personalizadas
Vulnerabilidade : script entre sites refletido
Remendado na versão : nenhuma correção conhecida
Pontuação de gravidade : alta

49. Chamadas de vídeo de 2 vias e bate-papo aleatório

Plugin: 2Way VideoCalls e Random Chat
Vulnerabilidade : script entre sites refletido
Remendado na versão : nenhuma correção conhecida
Pontuação de gravidade : alta

50. Fonte WP

Plugin: WP Fountain
Vulnerabilidade : script entre sites refletido
Remendado na versão : nenhuma correção conhecida
Pontuação de gravidade : alta

51. Uso de mídia

Plugin: uso de mídia
Vulnerabilidade : script entre sites refletido
Remendado na versão : nenhuma correção conhecida
Pontuação de gravidade : alta

52. Mapas de rabiscar

Plugin: Scribble Maps
Vulnerabilidade : script entre sites refletido
Remendado na versão : nenhuma correção conhecida
Pontuação de gravidade : alta

53. Jogos multijogador

Plugin: jogos multijogador
Vulnerabilidade : script entre sites refletido
Remendado na versão : nenhuma correção conhecida
Pontuação de gravidade : alta

54. Skaut bazar

Plugin: Skaut bazar
Vulnerabilidade : script entre sites refletido
Remendado na versão : nenhuma correção conhecida
Pontuação de gravidade : alta

55. Alertas de e-mail inteligente

Plugin: Alertas de e-mail inteligentes
Vulnerabilidade : script entre sites refletido
Remendado na versão : nenhuma correção conhecida
Pontuação de gravidade : alta

56. Portfólio Behance Simples

Plugin: Portfólio Simples do Behance
Vulnerabilidade : script entre sites refletido
Remendado na versão : nenhuma correção conhecida
Pontuação de gravidade : alta

Vulnerabilidades de tema do WordPress

Uma nota sobre divulgação responsável

Você pode estar se perguntando por que uma vulnerabilidade seria divulgada se ela dá aos hackers uma exploração para atacar. Bem, é muito comum para um pesquisador de segurança encontrar e relatar em particular a vulnerabilidade para o desenvolvedor do software.

Com divulgação responsável , o relatório inicial do pesquisador é feito em particular para os desenvolvedores da empresa proprietária do software, mas com um acordo de que todos os detalhes serão publicados assim que um patch for disponibilizado. Para vulnerabilidades de segurança significativas, pode haver um pequeno atraso na divulgação da vulnerabilidade para dar a mais pessoas tempo para corrigir.

O pesquisador de segurança pode fornecer um prazo para que o desenvolvedor de software responda ao relatório ou forneça um patch. Se este prazo não for cumprido, o pesquisador pode divulgar publicamente a vulnerabilidade para pressionar o desenvolvedor a lançar um patch.

Divulgar publicamente uma vulnerabilidade e aparentemente introduzir uma vulnerabilidade Zero-Day - um tipo de vulnerabilidade que não tem patch e está sendo explorado em estado selvagem - pode parecer contraproducente. Mas, é a única alavanca que um pesquisador tem para pressionar o desenvolvedor a corrigir a vulnerabilidade.

Se um hacker descobrisse a vulnerabilidade, ele poderia usar silenciosamente o Exploit e causar danos ao usuário final (este é você), enquanto o desenvolvedor de software continua contente em deixar a vulnerabilidade sem correção. O Projeto Zero do Google tem diretrizes semelhantes no que diz respeito à divulgação de vulnerabilidades. Eles publicam todos os detalhes da vulnerabilidade após 90 dias, independentemente de a vulnerabilidade ter sido corrigida ou não.

Como proteger seu site WordPress contra plug-ins e temas vulneráveis

Como você pode ver neste relatório, muitos novos plug-ins do WordPress e vulnerabilidades de tema são divulgados a cada semana. Sabemos que pode ser difícil ficar por dentro de cada divulgação de vulnerabilidade relatada, então o plug-in iThemes Security Pro torna mais fácil garantir que seu site não esteja executando um tema, plug-in ou versão central do WordPress com uma vulnerabilidade conhecida.

1. Ligue o iThemes Security Pro Site Scanner

O Site Scanner do plug-in iThemes Security Pro verifica o principal motivo pelo qual os sites do WordPress são hackeados: plug-ins desatualizados e temas com vulnerabilidades conhecidas. O Site Scanner verifica se há vulnerabilidades conhecidas em seu site e aplica automaticamente um patch, se houver um disponível.

Para habilitar a Verificação do Site em novas instalações, navegue até a guia Verificação do Site no menu Recursos dentro do plug-in e clique no botão para habilitar a Verificação do Site .

Para acionar uma verificação manual do site, clique no botão Verificar agora no cartão do painel de segurança de verificação do site.

Se o Site Scan detectar uma vulnerabilidade, clique no link da vulnerabilidade para visualizar a página de detalhes.

Na página de vulnerabilidade do Site Scan, você verá se há uma correção disponível para a vulnerabilidade. Se houver um patch disponível, você pode clicar no botão Atualizar plug-in para aplicar a correção em seu site.

2. Ative o gerenciamento de versão

O recurso de gerenciamento de versão no iThemes Security Pro se integra ao Site Scan para proteger o seu site quando o software desatualizado não for atualizado com a rapidez necessária. Mesmo as medidas de segurança mais fortes falharão se você estiver executando um software vulnerável em seu site. Essas configurações ajudam a proteger seu site com opções de atualização para novas versões automaticamente se houver uma vulnerabilidade conhecida e um patch estiver disponível.

Na página Configurações do iThemes Security Pro, navegue até a tela Recursos. Clique na guia Site Check. A partir daqui, use o botão de alternância para habilitar o gerenciamento de versão. Usando a engrenagem de configurações, você pode definir ainda mais configurações, incluindo como deseja que o iThemes Security Pro lide com atualizações para WordPress, plug-ins, temas e proteção adicional.

Certifique-se de selecionar Atualização automática se corrige uma caixa de vulnerabilidade para que o iThemes Security Pro atualize automaticamente um plug-in ou tema se ele corrigir uma vulnerabilidade que foi encontrada pelo Scanner de site.

3. Receba um alerta por e-mail quando o iThemes Security Pro encontrar uma vulnerabilidade conhecida em seu site

Depois de habilitar o Agendamento de verificação de site, vá para as configurações da Central de Notificações do plug-in. Nesta tela, role até a seção Resultados da varredura de site .

Clique na caixa para ativar o e-mail de notificação e, em seguida, clique no botão Salvar configurações .

Agora, durante qualquer varredura de site agendada, você receberá um e-mail se o iThemes Security Pro descobrir alguma vulnerabilidade conhecida. O e-mail será parecido com isto.

Obtenha o iThemes Security Pro e descanse um pouco mais fácil esta noite

O iThemes Security Pro, nosso plugin de segurança para WordPress, oferece mais de 50 maneiras de proteger e proteger seu site de vulnerabilidades comuns de segurança do WordPress. Com o WordPress, autenticação de dois fatores, proteção de força bruta, aplicação de senha forte e muito mais, você pode adicionar uma camada extra de segurança ao seu site.

Michael Moore

A cada semana, Michael elabora o Relatório de vulnerabilidade do WordPress para ajudar a manter seus sites seguros. Como Gerente de Produto da iThemes, ele nos ajuda a continuar melhorando a linha de produtos da iThemes. Ele é um nerd gigante e adora aprender sobre todas as coisas de tecnologia, antigas e novas. Você pode encontrar Michael saindo com sua esposa e filha, lendo ou ouvindo música quando não está trabalhando.