Relatório de vulnerabilidade do WordPress: dezembro de 2021, parte 4
Publicados: 2022-01-06Plugins e temas vulneráveis são a razão número 1 pela qual os sites WordPress são invadidos. O relatório semanal de vulnerabilidades do WordPress, desenvolvido pela WPScan, abrange as vulnerabilidades recentes de plugins, temas e principais do WordPress, e o que fazer se você executar um dos plugins ou temas vulneráveis em seu site.
Cada vulnerabilidade terá uma classificação de gravidade baixa , média , alta ou crítica . A divulgação responsável e o relatório de vulnerabilidades são parte integrante de manter a comunidade WordPress segura. Novidade neste relatório: as vulnerabilidades agora são listadas em ordem pelo número de instalações ativas, em vez da data da divulgação.
Por favor, compartilhe este post com seus amigos para ajudar a divulgar e tornar o WordPress mais seguro para todos.
Vulnerabilidades do WordPress Core
A versão mais recente do núcleo do WordPress é 5.8.2. Como prática recomendada, sempre execute a versão mais recente do núcleo do WordPress!
Vulnerabilidades de plugins do WordPress
Nesta seção, as vulnerabilidades mais recentes do plugin WordPress foram divulgadas. Cada listagem de plug-ins inclui o tipo de vulnerabilidade, as instalações ativas, o número da versão se corrigida e a classificação de gravidade.
1. Tudo em um SEO
Plugin: Tudo em um SEO
Vulnerabilidade : injeção de SQL autenticada
Instalação ativa : 3+ milhões
Corrigido na versão : 4.1.5.3
Pontuação de gravidade : alta
Plugin: Tudo em um SEO
Vulnerabilidade : escalonamento de privilégio autenticado
Instalação ativa : 3+ milhões
Corrigido na versão : 4.1.5.3
Pontuação de gravidade : Crítico
2. Smash Balloon Social Post Feed
Plugin: Smash Balloon Social Post Feed
Vulnerabilidade : Scripts entre sites refletidos autenticados (XSS)
Instalação ativa : 200.000+
Corrigido na versão : 4.1.1
Pontuação de gravidade : média
3. Calendário de Eventos Moderno Lite
Plugin: Modern Events Calendar Lite
Vulnerabilidade : Assinante+ Adicionar Categoria Levando ao XSS Armazenado
Instalação ativa : 100.000+
Corrigido na versão : 6.2.0
Pontuação de gravidade : média
4. WOOCS
Plugin: WOOCS
Vulnerabilidade : Script entre sites refletido
Instalação ativa : 60.000+
Corrigido na versão : 1.3.7.3
Pontuação de gravidade : alta
5. Bate-papo ao vivo nítido
Plugin: bate-papo ao vivo nítido
Vulnerabilidade : CSRF para scripts entre sites armazenados
Instalação ativa : 60.000+
Corrigido na versão : 0.32
Pontuação de gravidade : alta
6. Efeitos de foco de imagem final
Plugin: Image Hover Effects Ultimate
Vulnerabilidade : Atualização de opção arbitrária não autenticada
Instalação ativa : 20.000+
Corrigido na versão : 9.7.0
Pontuação de gravidade : Crítico
7. Sistema de Reservas WP - Calendário de Reservas
Plugin: WP Booking System – Calendário de reservas
Vulnerabilidade : Scripts entre sites refletidos autenticados (XSS)
Instalação ativa : 10.000+
Corrigido na versão : 2.0.15
Pontuação de gravidade : média
8. Construtor de páginas de destino
Plug-in: Criador de página de destino
Vulnerabilidade : Scripts entre sites refletidos autenticados (XSS)
Instalação ativa : 10.000+
Corrigido na versão : 1.4.9.6
Pontuação de gravidade : média
9. Fathom Analytics
Plugin: Fathom Analytics
Vulnerabilidade : Admin+ Stored Cross-Site Scripting
Instalação ativa : 2000+
Corrigido na versão : 3.0.5
Pontuação de gravidade : baixa
10. Verdadeiro Ranker
Plugin: True Ranker
Vulnerabilidade : Acesso a arquivo arbitrário não autenticado via caminho de travessia
Instalação ativa : 200+
Corrigido na versão : 2.2.4
Pontuação de gravidade : baixa
Vulnerabilidades do plug-in do WordPress: plug-in fechado
Nesta seção, as vulnerabilidades mais recentes do plugin WordPress foram divulgadas em plugins fechados. Cada listagem de plug-ins inclui o tipo de vulnerabilidade, a classificação de gravidade e a data de encerramento.
11. Comente Engine Pro
Plugin: Comment Engine Pro
Vulnerabilidade : Editor+ Scripts entre sites armazenados
Corrigido na versão : Nenhuma correção conhecida – plug-in fechado
Pontuação de gravidade : baixa
12. Redirecionamento .htaccess
Plugin: Redirecionamento .htaccess
Vulnerabilidade : Script entre sites refletido
Corrigido na versão : Nenhuma correção conhecida – plug-in fechado
Pontuação de gravidade : alta
13. Gateway de banco parsiano para Woocommerce
Plugin: Parsian Bank Gateway para Woocommerce
Vulnerabilidade : Script entre sites refletido
Corrigido na versão : Nenhuma correção conhecida – plug-in fechado
Pontuação de gravidade : alta
14. Verdadeiro WYSIWYG
Plugin: Real WYSIWYG
Vulnerabilidade : Script entre sites refletido
Corrigido na versão : Nenhuma correção conhecida – plug-in fechado
Pontuação de gravidade : alta
15. Gerenciador de Lista de Links
Plugin: Gerenciador de lista de links
Vulnerabilidade : Script entre sites refletido
Corrigido na versão : Nenhuma correção conhecida – plug-in fechado
Pontuação de gravidade : alta
16. Galeria de imagens simples
Plugin: Galeria de Imagens Simples
Vulnerabilidade : Script entre sites refletido
Corrigido na versão : Nenhuma correção conhecida – plug-in fechado
Pontuação de gravidade : alta
17. WooCommerce EnvioPack
Plugin: WooCommerce EnvioPack
Vulnerabilidade : Script entre sites refletido
Corrigido na versão : Nenhuma correção conhecida – plug-in fechado
Pontuação de gravidade : alta
18. Voz do Correio Mágico
Plugin: Magic Post Voice
Vulnerabilidade : Script entre sites refletido
Corrigido na versão : Nenhuma correção conhecida – plug-in fechado
Pontuação de gravidade : alta
19. Editor CSS H5P
Plugin: Editor CSS H5P
Vulnerabilidade : Script entre sites refletido
Corrigido na versão : Nenhuma correção conhecida – plug-in fechado
Pontuação de gravidade : alta
20. duoFAQ
Plugin: duoFAQ
Vulnerabilidade : Script entre sites refletido
Corrigido na versão : Nenhuma correção conhecida – plug-in fechado
Pontuação de gravidade : alta
21. Voz do Magic Post
Plugin: Magic Post Voice
Vulnerabilidade : Script entre sites refletido
Corrigido na versão : Nenhuma correção conhecida – plug-in fechado
Pontuação de gravidade : alta
22. Gateway de pagamento do WooCommerce myghpay
Plugin: WooCommerce myghpay Payment Gateway
Vulnerabilidade : Script entre sites refletido
Corrigido na versão : Nenhuma correção conhecida – plug-in fechado
Pontuação de gravidade : alta
Vulnerabilidades de plug-ins premium
Nesta seção, as vulnerabilidades mais recentes do plugin premium do WordPress foram divulgadas. Cada listagem de plug-ins inclui o tipo de vulnerabilidade, o número da versão se corrigida e a classificação de gravidade.
23. Os complementos Plus para Elementor Pro
Plugin: Os complementos Plus para Elementor - Pro
Vulnerabilidade : divulgação de dados confidenciais
Corrigido na versão : 5.0.7
Pontuação de gravidade : média
Plugin: Os complementos Plus para Elementor - Pro
Vulnerabilidade : injeção de SQL não autenticada
Corrigido na versão : 5.0.7
Pontuação de gravidade : média
24. Vamos Caixa
Plugin: Lets Box
Vulnerabilidade : Script entre sites refletido
Corrigido na versão : 1.13.3
Pontuação de gravidade : média
25. Compartilhe uma unidade
Plug-in: compartilhar um drive
Vulnerabilidade : Script entre sites refletido
Corrigido na versão : 1.15.3
Pontuação de gravidade : média
26. Fora da Caixa
Plugin: Fora da Caixa
Vulnerabilidade : Script entre sites refletido
Corrigido na versão : 1.20.3
Pontuação de gravidade : média
27. Use sua unidade
Plug-in: use sua unidade
Vulnerabilidade : Script entre sites refletido
Corrigido na versão : 1.18.3
Pontuação de gravidade : média
Como proteger seu site WordPress de plugins e temas vulneráveis
Como você pode ver neste relatório, muitos novos plugins WordPress e vulnerabilidades de temas são divulgados a cada semana. Sabemos que pode ser difícil ficar por dentro de cada divulgação de vulnerabilidade relatada, portanto, o plug-in iThemes Security Pro facilita a verificação de que seu site não está executando um tema, plug-in ou versão principal do WordPress com uma vulnerabilidade conhecida.
1. Instale o plug-in iThemes Security Pro
O plug-in iThemes Security Pro protege seu site WordPress contra as formas mais comuns de invasão de sites. Com mais de 30 maneiras de proteger seu site em um plug-in fácil de usar.
2. Habilite a Verificação do Site para Verificar Vulnerabilidades Conhecidas
O recurso de gerenciamento de versão do iThemes Security Pro se integra ao Site Scan para proteger seu site. Temas vulneráveis, plugins e versões principais do WordPress serão atualizados automaticamente para você.
3. Ative a detecção de alteração de arquivo
A chave para detectar rapidamente uma violação de segurança é monitorar as alterações de arquivos em seu site. O recurso Detecção de alteração de arquivo no iThemes Security Pro verificará os arquivos do seu site e o alertará quando ocorrerem alterações em seu site.
Obtenha o iThemes Security Pro com monitoramento de segurança de sites 24 horas por dia, 7 dias por semana
O iThemes Security Pro, nosso plugin de segurança do WordPress, oferece mais de 50 maneiras de proteger seu site contra vulnerabilidades comuns de segurança do WordPress. Com o WordPress, autenticação de dois fatores, proteção de força bruta, aplicação de senha forte e muito mais, você pode adicionar camadas extras de segurança ao seu site.
