Relatório de vulnerabilidade do WordPress: junho de 2021, parte 3

Publicados: 2021-06-16

Plug-ins e temas vulneráveis ​​são o principal motivo pelo qual os sites do WordPress são hackeados. O relatório semanal de vulnerabilidade do WordPress desenvolvido por WPScan cobre plug-ins, temas e vulnerabilidades principais do WordPress recentes e o que fazer se você executar um dos plug-ins ou temas vulneráveis ​​em seu site.

Cada vulnerabilidade terá uma classificação de gravidade Baixa , Média , Alta ou Crítica . A divulgação responsável e o relatório de vulnerabilidades são parte integrante de manter a comunidade do WordPress segura. Compartilhe esta postagem com seus amigos para ajudar a divulgar e tornar o WordPress mais seguro para todos.

Em junho, Relatório da Parte 3
    Obtenha o Relatório de Vulnerabilidade do WordPress semanal entregue diretamente na sua caixa de entrada!
    Inscreva-se agora

    Vulnerabilidades do núcleo do WordPress

    A partir de hoje, a versão atual do WordPress é 5.7.2. Certifique-se de que todos os seus sites estão atualizados!

    Nenhuma nova vulnerabilidade principal do WordPress foi divulgada este mês. Certifique-se de que está executando o WordPress 5.7.2 em todos os seus sites.

    Vulnerabilidades de plug-ins do WordPress

    1. Recentemente

    Plugin: Recentemente
    Vulnerabilidade : injeção de código autenticado
    Remendado na versão : 3.0.5
    Gravidade : alta

    Plugin: Recentemente
    Vulnerabilidade : script entre sites armazenados e autenticados
    Remendado na versão : 3.0.5
    Gravidade : média

    2. Postagens populares do WordPress

    Plugin: Postagens populares do WordPress
    Vulnerabilidade : injeção de código autenticado
    Remendado na versão : 5.3.3
    Pontuação de gravidade : alta

    Plugin: Postagens populares do WordPress
    Vulnerabilidade : script entre sites armazenados e autenticados
    Remendado na versão : 5.3.3
    Pontuação de gravidade : média

    3. Endurecimento WP

    Plugin: Endurecimento WP
    Vulnerabilidade : script entre sites refletido via URI
    Remendado na versão : 1.2.2
    Pontuação de gravidade : média

    Plugin: Endurecimento WP
    Vulnerabilidade : Cross-Site Scripting refletido por meio de historyvalue
    Remendado na versão : 1.2.2
    Pontuação de gravidade : alta

    4. Comentários Gosto Não Gosto

    Plugin: comentários gostam, não gostam
    Vulnerabilidade : Adicionar Gostei / Não Gostei
    Remendado na versão : 1.1.4
    Pontuação de gravidade : média

    5. Editor de arquivo de configuração WP

    Plug-in: Editor de arquivo de configuração WP
    Vulnerabilidade : script entre sites armazenados e autenticados
    Remendado na versão : nenhuma correção conhecida
    Pontuação de gravidade : média

    6. Colunas de administrador gratuitas e profissionais

    Plug-in: colunas de administração gratuitas
    Vulnerabilidade : script entre sites armazenados e autenticados
    Remendado na versão : 4.3
    Pontuação de gravidade : média

    Plugin: Admin Columns Pro
    Vulnerabilidade : script entre sites armazenados e autenticados
    Remendado na versão : 5.5.1
    Pontuação de gravidade : média

    7. WP Google Maps

    Plugin: WP Google Maps
    Vulnerabilidade : script entre sites armazenados e autenticados
    Remendado na versão : 8.1.12
    Pontuação de gravidade : média

    8. Stripe Payment Gateway para WooCommerce

    Plug-in: Stripe Payment Gateway para WooCommerce
    Vulnerabilidade : script entre sites refletido
    Remendado na versão : 3.6.0
    Pontuação de gravidade : alta

    9. Slug Qtranslate

    Plugin: Qtranslate Slug
    Vulnerabilidade : CSRF Bypass
    Remendado na versão : nenhuma correção conhecida
    Pontuação de gravidade : média

    10. css-js-php personalizado

    Plug-in: css-js-php personalizado
    Vulnerabilidade : CSRF Bypass
    Remendado na versão : nenhuma correção conhecida
    Pontuação de gravidade : média

    11. Funções múltiplas

    Plugin: Múltiplas Funções
    Vulnerabilidade : CSRF Bypass
    Remendado na versão : nenhuma correção conhecida
    Pontuação de gravidade : média

    12. Solução de mercado de vários fornecedores para WooCommerce

    Plug-in: solução de mercado de vários fornecedores para WooCommerce
    Vulnerabilidade : CSRF Bypass
    Remendado na versão : 3,74
    Pontuação de gravidade : média

    13. JoomSport

    JoomSport Logo

    Plugin: JoomSport
    Vulnerabilidade : injeção de objeto PHP não autenticado
    Remendado na versão : 5.1.8
    Pontuação de gravidade : média

    14. Smart Slider 3

    Plugin: Smart Slider 3
    Vulnerabilidade : script entre sites armazenados e autenticados
    Remendado na versão : 3.5.0.9
    Pontuação de gravidade : média

    15. Política de cookies fáceis

    Plugin: Política de Cookies Fácil
    Vulnerabilidade : controle de acesso quebrado para scripts entre sites armazenados
    Remendado na versão : nenhuma correção conhecida
    Pontuação de gravidade : alta

    16. Welcart e-Commerce

    Plugin: Welcart e-Commerce
    Vulnerabilidade : script entre sites
    Remendado na versão : 2.2.4
    Pontuação de gravidade : média

    17. Oração WP

    Plugin: Oração WP
    Vulnerabilidade : atualização arbitrária das configurações do plug-in via CSRF
    Remendado na versão : 1.6.7
    Pontuação de gravidade : média

    Vulnerabilidades de tema do WordPress

    1. Jannah

    Tema: Jannah
    Vulnerabilidade : script entre sites refletido
    Remendado na versão : 5.4.4
    Pontuação de gravidade : alta

    2. Tema motor

    Tema: Tema motor
    Vulnerabilidade : inclusão de arquivo local não autenticado
    Remendado na versão : 3.1.0
    Pontuação de gravidade : alta

    3. Imóveis 7

    Tema: Imóveis 7
    Vulnerabilidade : 3.1.1
    Remendado na versão : script entre sites refletido
    Pontuação de gravidade : alta

    Uma nota sobre divulgação responsável

    Você pode estar se perguntando por que uma vulnerabilidade seria divulgada se ela dá aos hackers uma exploração para atacar. Bem, é muito comum para um pesquisador de segurança encontrar e relatar em particular a vulnerabilidade para o desenvolvedor do software.

    Com divulgação responsável , o relatório inicial do pesquisador é feito em particular para os desenvolvedores da empresa proprietária do software, mas com um acordo de que todos os detalhes serão publicados assim que um patch for disponibilizado. Para vulnerabilidades de segurança significativas, pode haver um pequeno atraso na divulgação da vulnerabilidade para dar a mais pessoas tempo para corrigir.

    O pesquisador de segurança pode fornecer um prazo para que o desenvolvedor de software responda ao relatório ou forneça um patch. Se este prazo não for cumprido, o pesquisador pode divulgar publicamente a vulnerabilidade para pressionar o desenvolvedor a lançar um patch.

    Divulgar publicamente uma vulnerabilidade e aparentemente introduzir uma vulnerabilidade Zero-Day - um tipo de vulnerabilidade que não tem patch e está sendo explorado em estado selvagem - pode parecer contraproducente. Mas, é a única alavanca que um pesquisador tem para pressionar o desenvolvedor a corrigir a vulnerabilidade.

    Se um hacker descobrisse a vulnerabilidade, ele poderia usar silenciosamente o Exploit e causar danos ao usuário final (este é você), enquanto o desenvolvedor de software continua contente em deixar a vulnerabilidade sem correção. O Projeto Zero do Google tem diretrizes semelhantes no que diz respeito à divulgação de vulnerabilidades. Eles publicam todos os detalhes da vulnerabilidade após 90 dias, independentemente de a vulnerabilidade ter sido corrigida ou não.

    Receba um alerta por e-mail quando o iThemes Security Pro encontrar uma vulnerabilidade conhecida em seu site

    O Site Scanner do plug-in iThemes Security Pro é outra maneira de proteger e proteger seu site WordPress da causa número um de todos os hacks de software: plug-ins desatualizados e temas com vulnerabilidades conhecidas. O Site Scanner verifica se há vulnerabilidades conhecidas em seu site e aplica automaticamente um patch, se houver um disponível.

    O plug-in iThemes Security Pro pode enviar por e-mail os resultados de uma varredura de site se encontrar plug-ins vulneráveis, temas ou versão central do WordPress em seu site. Os resultados da varredura de site serão exibidos no widget.

    Se o Site Scan detectar uma vulnerabilidade, clique no link da vulnerabilidade para visualizar a página de detalhes.

    Depois de habilitar o Agendamento de verificação de site, vá para as configurações da Central de Notificações do plug-in. Nesta tela, role até a seção Resultados da varredura de site .

    Clique na caixa para ativar o e-mail de notificação e, em seguida, clique no botão Salvar configurações .

    Agora, durante qualquer varredura de site agendada, você receberá um e-mail se o iThemes Security Pro descobrir alguma vulnerabilidade conhecida. O e-mail será parecido com isto.

    site-scan-results

    Obtenha o iThemes Security Pro para proteger o seu site

    O iThemes Security Pro, nosso plugin de segurança para WordPress, oferece mais de 50 maneiras de proteger e proteger seu site de vulnerabilidades comuns de segurança do WordPress. Com o WordPress, autenticação de dois fatores, proteção de força bruta, aplicação de senha forte e muito mais, você pode adicionar uma camada extra de segurança ao seu site.

    Obtenha o iThemes Security Pro

    Você perdeu algum dos relatórios de vulnerabilidade do WordPress de junho?

    Acompanhe abaixo:

    • Junho de 2021, Parte 1
    • Junho de 2021, Parte 2