Relatório de vulnerabilidade do WordPress: junho de 2021, parte 3
Publicados: 2021-06-16Plug-ins e temas vulneráveis são o principal motivo pelo qual os sites do WordPress são hackeados. O relatório semanal de vulnerabilidade do WordPress desenvolvido por WPScan cobre plug-ins, temas e vulnerabilidades principais do WordPress recentes e o que fazer se você executar um dos plug-ins ou temas vulneráveis em seu site.
Cada vulnerabilidade terá uma classificação de gravidade Baixa , Média , Alta ou Crítica . A divulgação responsável e o relatório de vulnerabilidades são parte integrante de manter a comunidade do WordPress segura. Compartilhe esta postagem com seus amigos para ajudar a divulgar e tornar o WordPress mais seguro para todos.
Vulnerabilidades do núcleo do WordPress
A partir de hoje, a versão atual do WordPress é 5.7.2. Certifique-se de que todos os seus sites estão atualizados!
Vulnerabilidades de plug-ins do WordPress
1. Recentemente

Plugin: Recentemente
Vulnerabilidade : injeção de código autenticado
Remendado na versão : 3.0.5
Gravidade : alta
Plugin: Recentemente
Vulnerabilidade : script entre sites armazenados e autenticados
Remendado na versão : 3.0.5
Gravidade : média
2. Postagens populares do WordPress

Plugin: Postagens populares do WordPress
Vulnerabilidade : injeção de código autenticado
Remendado na versão : 5.3.3
Pontuação de gravidade : alta
Plugin: Postagens populares do WordPress
Vulnerabilidade : script entre sites armazenados e autenticados
Remendado na versão : 5.3.3
Pontuação de gravidade : média
3. Endurecimento WP

Plugin: Endurecimento WP
Vulnerabilidade : script entre sites refletido via URI
Remendado na versão : 1.2.2
Pontuação de gravidade : média
Plugin: Endurecimento WP
Vulnerabilidade : Cross-Site Scripting refletido por meio de historyvalue
Remendado na versão : 1.2.2
Pontuação de gravidade : alta
4. Comentários Gosto Não Gosto

Plugin: comentários gostam, não gostam
Vulnerabilidade : Adicionar Gostei / Não Gostei
Remendado na versão : 1.1.4
Pontuação de gravidade : média
5. Editor de arquivo de configuração WP

Plug-in: Editor de arquivo de configuração WP
Vulnerabilidade : script entre sites armazenados e autenticados
Remendado na versão : nenhuma correção conhecida
Pontuação de gravidade : média
6. Colunas de administrador gratuitas e profissionais

Plug-in: colunas de administração gratuitas
Vulnerabilidade : script entre sites armazenados e autenticados
Remendado na versão : 4.3
Pontuação de gravidade : média
Plugin: Admin Columns Pro
Vulnerabilidade : script entre sites armazenados e autenticados
Remendado na versão : 5.5.1
Pontuação de gravidade : média
7. WP Google Maps

Plugin: WP Google Maps
Vulnerabilidade : script entre sites armazenados e autenticados
Remendado na versão : 8.1.12
Pontuação de gravidade : média
8. Stripe Payment Gateway para WooCommerce

Plug-in: Stripe Payment Gateway para WooCommerce
Vulnerabilidade : script entre sites refletido
Remendado na versão : 3.6.0
Pontuação de gravidade : alta
9. Slug Qtranslate
Plugin: Qtranslate Slug
Vulnerabilidade : CSRF Bypass
Remendado na versão : nenhuma correção conhecida
Pontuação de gravidade : média
10. css-js-php personalizado
Plug-in: css-js-php personalizado
Vulnerabilidade : CSRF Bypass
Remendado na versão : nenhuma correção conhecida
Pontuação de gravidade : média
11. Funções múltiplas
Plugin: Múltiplas Funções
Vulnerabilidade : CSRF Bypass
Remendado na versão : nenhuma correção conhecida
Pontuação de gravidade : média
12. Solução de mercado de vários fornecedores para WooCommerce

Plug-in: solução de mercado de vários fornecedores para WooCommerce
Vulnerabilidade : CSRF Bypass
Remendado na versão : 3,74
Pontuação de gravidade : média

13. JoomSport

Plugin: JoomSport
Vulnerabilidade : injeção de objeto PHP não autenticado
Remendado na versão : 5.1.8
Pontuação de gravidade : média
14. Smart Slider 3

Plugin: Smart Slider 3
Vulnerabilidade : script entre sites armazenados e autenticados
Remendado na versão : 3.5.0.9
Pontuação de gravidade : média
15. Política de cookies fáceis
Plugin: Política de Cookies Fácil
Vulnerabilidade : controle de acesso quebrado para scripts entre sites armazenados
Remendado na versão : nenhuma correção conhecida
Pontuação de gravidade : alta
16. Welcart e-Commerce

Plugin: Welcart e-Commerce
Vulnerabilidade : script entre sites
Remendado na versão : 2.2.4
Pontuação de gravidade : média
17. Oração WP
Plugin: Oração WP
Vulnerabilidade : atualização arbitrária das configurações do plug-in via CSRF
Remendado na versão : 1.6.7
Pontuação de gravidade : média
Vulnerabilidades de tema do WordPress
1. Jannah

Tema: Jannah
Vulnerabilidade : script entre sites refletido
Remendado na versão : 5.4.4
Pontuação de gravidade : alta
2. Tema motor

Tema: Tema motor
Vulnerabilidade : inclusão de arquivo local não autenticado
Remendado na versão : 3.1.0
Pontuação de gravidade : alta
3. Imóveis 7

Tema: Imóveis 7
Vulnerabilidade : 3.1.1
Remendado na versão : script entre sites refletido
Pontuação de gravidade : alta
Uma nota sobre divulgação responsável
Você pode estar se perguntando por que uma vulnerabilidade seria divulgada se ela dá aos hackers uma exploração para atacar. Bem, é muito comum para um pesquisador de segurança encontrar e relatar em particular a vulnerabilidade para o desenvolvedor do software.
Com divulgação responsável , o relatório inicial do pesquisador é feito em particular para os desenvolvedores da empresa proprietária do software, mas com um acordo de que todos os detalhes serão publicados assim que um patch for disponibilizado. Para vulnerabilidades de segurança significativas, pode haver um pequeno atraso na divulgação da vulnerabilidade para dar a mais pessoas tempo para corrigir.
O pesquisador de segurança pode fornecer um prazo para que o desenvolvedor de software responda ao relatório ou forneça um patch. Se este prazo não for cumprido, o pesquisador pode divulgar publicamente a vulnerabilidade para pressionar o desenvolvedor a lançar um patch.
Divulgar publicamente uma vulnerabilidade e aparentemente introduzir uma vulnerabilidade Zero-Day - um tipo de vulnerabilidade que não tem patch e está sendo explorado em estado selvagem - pode parecer contraproducente. Mas, é a única alavanca que um pesquisador tem para pressionar o desenvolvedor a corrigir a vulnerabilidade.
Se um hacker descobrisse a vulnerabilidade, ele poderia usar silenciosamente o Exploit e causar danos ao usuário final (este é você), enquanto o desenvolvedor de software continua contente em deixar a vulnerabilidade sem correção. O Projeto Zero do Google tem diretrizes semelhantes no que diz respeito à divulgação de vulnerabilidades. Eles publicam todos os detalhes da vulnerabilidade após 90 dias, independentemente de a vulnerabilidade ter sido corrigida ou não.
Receba um alerta por e-mail quando o iThemes Security Pro encontrar uma vulnerabilidade conhecida em seu site
O Site Scanner do plug-in iThemes Security Pro é outra maneira de proteger e proteger seu site WordPress da causa número um de todos os hacks de software: plug-ins desatualizados e temas com vulnerabilidades conhecidas. O Site Scanner verifica se há vulnerabilidades conhecidas em seu site e aplica automaticamente um patch, se houver um disponível.
O plug-in iThemes Security Pro pode enviar por e-mail os resultados de uma varredura de site se encontrar plug-ins vulneráveis, temas ou versão central do WordPress em seu site. Os resultados da varredura de site serão exibidos no widget.

Se o Site Scan detectar uma vulnerabilidade, clique no link da vulnerabilidade para visualizar a página de detalhes.

Depois de habilitar o Agendamento de verificação de site, vá para as configurações da Central de Notificações do plug-in. Nesta tela, role até a seção Resultados da varredura de site .

Clique na caixa para ativar o e-mail de notificação e, em seguida, clique no botão Salvar configurações .
Agora, durante qualquer varredura de site agendada, você receberá um e-mail se o iThemes Security Pro descobrir alguma vulnerabilidade conhecida. O e-mail será parecido com isto.

Obtenha o iThemes Security Pro para proteger o seu site
O iThemes Security Pro, nosso plugin de segurança para WordPress, oferece mais de 50 maneiras de proteger e proteger seu site de vulnerabilidades comuns de segurança do WordPress. Com o WordPress, autenticação de dois fatores, proteção de força bruta, aplicação de senha forte e muito mais, você pode adicionar uma camada extra de segurança ao seu site.
Obtenha o iThemes Security Pro
Você perdeu algum dos relatórios de vulnerabilidade do WordPress de junho?
Acompanhe abaixo:
- Junho de 2021, Parte 1
- Junho de 2021, Parte 2
A cada semana, Michael elabora o Relatório de vulnerabilidade do WordPress para ajudar a manter seus sites seguros. Como Gerente de Produto da iThemes, ele nos ajuda a continuar melhorando a linha de produtos da iThemes. Ele é um nerd gigante e adora aprender sobre todas as coisas de tecnologia, antigas e novas. Você pode encontrar Michael saindo com sua esposa e filha, lendo ou ouvindo música quando não está trabalhando.
