Relatório de vulnerabilidade do WordPress: setembro de 2021, parte 2
Publicados: 2021-09-08Plug-ins e temas vulneráveis são o principal motivo pelo qual os sites do WordPress são hackeados. O relatório semanal de vulnerabilidade do WordPress desenvolvido por WPScan cobre plug-ins, temas e vulnerabilidades principais do WordPress recentes e o que fazer se você executar um dos plug-ins ou temas vulneráveis em seu site.
Cada vulnerabilidade terá uma classificação de gravidade Baixa , Média , Alta ou Crítica . A divulgação responsável e o relatório de vulnerabilidades são parte integrante de manter a comunidade do WordPress segura.
Como um dos maiores Relatórios de Vulnerabilidade do WordPress até hoje, compartilhe este post com seus amigos para ajudar a divulgar e tornar o WordPress mais seguro para todos.
Vulnerabilidades do núcleo do WordPress
Vulnerabilidades de plug-ins do WordPress
Nesta seção, as vulnerabilidades do plug-in WordPress mais recentes foram divulgadas. Cada lista de plug-ins inclui o tipo de vulnerabilidade, o número da versão, se corrigido, e a classificação de gravidade.
1. Bloco de contagem regressiva
Plugin: Bloco de contagem regressiva
Vulnerabilidade : autorização ausente na ação AJAX
Remendado na versão : 1.1.2
Pontuação de gravidade : média
2. Log de atividades do usuário
Plugin: registro de atividades do usuário
Vulnerabilidade : script entre sites refletido por meio de string de consulta
Remendado na versão : 1.4.7
Pontuação de gravidade : média
Plugin: registro de atividades do usuário
Vulnerabilidade : script entre sites refletido
Remendado na versão : 1.4.7
Pontuação de gravidade : alta
3. Notificação e conformidade de cookies para GDPR / CCPA
Plug-in: Notificação e conformidade de cookies para GDPR / CCPA
Vulnerabilidade : Admin + Stored Cross-Site Scripting
Remendado na versão : 2.1.2
Pontuação de gravidade : baixa
4. TranslatePress
Plugin: TranslatePress
Vulnerabilidade : script entre sites armazenados e autenticados
Remendado na versão : 2.0.9
Pontuação de gravidade : baixa
5. Estatística WP
Plugin: WP Statistic
Vulnerabilidade : Scripting Cross-Site Refletido (XSS)
Remendado na versão : 13.1
Pontuação de gravidade : alta
6. CoolClock
Plugin: CoolClock
Vulnerabilidade : Contribuidor + script entre sites armazenados
Remendado na versão : 4.3.5
Pontuação de gravidade : média
7. Vários plug-ins de miniorange
Plug-in: vários plug-ins de miniorange
Vulnerabilidade : Cross-Site Scripting refletido via appId
Remendado na versão : 6.20.3
Pontuação de gravidade : alta
8. Complementos Premium para Elementor
Plugin: Complementos Premium para Elementor
Vulnerabilidade : atualização de opção de blog para assinante + arbitragem
Remendado na versão : 4.5.2
Pontuação de gravidade : alta
9. Docket Cache
Plugin: Docket Cache
Vulnerabilidade : script entre sites refletido
Remendado na versão : 21.08.02
Pontuação de gravidade : alta
10. Integração WooCommerce Zoho - CRM, Livros, Fatura, Estoque
Plug-in: WooCommerce Zoho Integration - CRM, Livros, Fatura, Inventário
Vulnerabilidade : vários plug-ins de vantagens de CRM - script entre sites refletido
Remendado na versão : 1.2.4
Gravidade : alta
11. Integração para WooCommerce e QuickBooks
Plugin: Integração para WooCommerce e QuickBooks
Vulnerabilidade : vários plug-ins de vantagens de CRM - script entre sites refletido
Remendado na versão : 1.1.9
Gravidade : alta
12. Gravity Forms Salesforce
Plugin: Gravity Forms Salesforce
Vulnerabilidade : vários plug-ins de vantagens de CRM - script entre sites refletido
Remendado na versão : 1.2.6
Gravidade : alta
13. Complemento do Gravity Forms Zoho CRM
Plugin: Complemento do Gravity Forms Zoho CRM
Vulnerabilidade : vários plug-ins de vantagens de CRM - script entre sites refletido
Remendado na versão : 1.1.6
Gravidade : alta
14. Gravity Forms HubSpot
Plugin: Gravity Forms HubSpot
Vulnerabilidade : vários plug-ins de vantagens de CRM - script entre sites refletido
Remendado na versão : 1.0.9
Gravidade : alta
15. Integração do WooCommerce Salesforce
Plug-in: WooCommerce Salesforce Integration
Vulnerabilidade : vários plug-ins de vantagens de CRM - script entre sites refletido
Remendado na versão : 1.5.9
Gravidade : alta
16. Gravity Forms Zendesk
Plugin: Gravity Forms Zendesk
Vulnerabilidade : vários plug-ins de vantagens de CRM - script entre sites refletido
Remendado na versão : 1.0.8
Gravidade : alta
17. WP Infusionsoft WooCommerce Plugin
Plugin: WP Infusionsoft WooCommerce Plugin
Vulnerabilidade : vários plug-ins de vantagens de CRM - script entre sites refletido
Remendado na versão : 1.0.9
Gravidade : alta
18. Integração para Formulário de Contato 7 e ActiveCampaign
Plug-in: integração para o formulário de contato 7 e ActiveCampaign
Vulnerabilidade : vários plug-ins de vantagens de CRM - script entre sites refletido
Remendado na versão : 1.0.4
Gravidade : alta
19. Integração para HubSpot e WooCommerce
Plugin: Integração para HubSpot e WooCommerce
Vulnerabilidade : vários plug-ins de vantagens de CRM - script entre sites refletido
Remendado na versão : 1.0.5
Gravidade : alta
20. Plugin Gravity Forms FreshDesk
Plugin: Plugin Gravity Forms FreshDesk - plugin WordPress | WordPress.org
Vulnerabilidade : vários plug-ins de vantagens de CRM - script entre sites refletido
Remendado na versão : 1.2.9
Gravidade : alta
21. Gravity Forms Dynamics CRM
Plugin: Gravity Forms Dynamics CRM
Vulnerabilidade : vários plug-ins de vantagens de CRM - script entre sites refletido
Remendado na versão : 1.0.8
Gravidade : alta
22. Plugin de contato constante de formas de gravidade
Plugin: Plugin de contato constante do Gravity Forms
Vulnerabilidade : vários plug-ins de vantagens de CRM - script entre sites refletido
Remendado na versão : 1.0.6
Gravidade : alta
23. Integração para Gravity Forms e Pipedrive
Plugin: Integração para Gravity Forms e Pipedrive
Vulnerabilidade : vários plug-ins de vantagens de CRM - script entre sites refletido
Remendado na versão : 1.0.7
Gravidade : alta
24. WP Gravity Forms Insightly
Plugin: WP Gravity Forms Insightly
Vulnerabilidade : vários plug-ins de vantagens de CRM - script entre sites refletido
Remendado na versão : 1.0.7
Gravidade : alta
25. Desinstalação do WordPress
Plugin: desinstalação do WordPress
Vulnerabilidade : exclusão do WordPress via CSRF
Remendado na versão : nenhuma correção conhecida
Gravidade : alta
26. Plugin CF Geo
Plugin: CF Geo Plugin
Vulnerabilidade : script entre sites refletido
Remendado na versão : 7.13.12
Gravidade : alta
27. em construção
Plugin: underConstruction
Vulnerabilidade : script entre sites refletido
Remendado na versão : 1.19
Gravidade : alta
28. Zoomsound DZS
Plugin: DZS Zoomsounds
Vulnerabilidade : download de arquivo arbitrário não autenticado
Remendado na versão : 6.50
Gravidade : alta
29. Preços e descontos dinâmicos do WooCommerce
Plug-in: Preços e descontos dinâmicos WooCommerce
Vulnerabilidade : importação de configurações não autenticadas para XSS armazenado
Remendado na versão : 2.4.2
Gravidade : alta
Plug-in: Preços e descontos dinâmicos WooCommerce
Vulnerabilidade : exportação de configurações não autenticadas
Remendado na versão : 2.4.2
Gravidade : média
30. Gerenciador de Licença de Software
Plugin: Gerenciador de Licença de Software
Vulnerabilidade : Admin + Stored Cross-Site Scripting
Remendado na versão : 4.5.0
Gravidade : baixa
31. Cronograma e programação de eventos por MotoPress
Plugin: Horário e programação de eventos por MotoPress
Vulnerabilidade : autor + script entre sites armazenados
Remendado na versão : 2.3.19
Gravidade : média
32. Ícones sociais fáceis
Plug-in: ícones sociais fáceis
Vulnerabilidade : script entre sites refletido
Remendado na versão : 3.1.0
Gravidade : alta
33. Doe com QRCode
Plugin: Doe com QRCode
Vulnerabilidade : script entre sites armazenados
Remendado na versão : 1.4.5
Gravidade : média
Plugin: Doe com QRCode
Vulnerabilidade : atualização de configuração do plug-in via CSRF
Remendado na versão : nenhuma correção conhecida
Gravidade : média
34. Calendário de eventos XO
Plugin: Calendário de Eventos XO
Vulnerabilidade : script entre sites refletido
Remendado na versão : 2.3.7
Gravidade : alta
35. Watu Quizz
Plugin: Watu Quizz
Vulnerabilidade : XSS refletido via question-form.html.php
Remendado na versão : 3.1.2.6
Gravidade : alta
36. Gutenberg Template Library & Redux Framework
Plugin: Gutenberg Template Library e Redux Framework
Vulnerabilidade : Contribuidor + Instalação arbitrária de plug-in e pós-exclusão
Remendado na versão : 4.2.13
Gravidade : alta
37. Galeria Meow
Plugin: Galeria Meow
Vulnerabilidade : atualização de opções arbitrárias não autorizadas via API REST
Remendado na versão : 4.2.0
Gravidade : alta
Plugin: Galeria Meow
Vulnerabilidade : Colaborador + injeção de SQL
Remendado na versão : 4.1.9
Gravidade : alta
38. WP Mapa Politico Espana
Plugin: WP Mapa Politico Espana
Vulnerabilidade : script entre sites armazenados e autenticados
Remendado na versão : 3.7.0
Gravidade : baixa
39. Restrição de upload de WP
Plugin: Restrição de Upload WP
Vulnerabilidade : falta de controle de acesso em getSelectedMimeTypesByRole
Remendado na versão : 2.2.5
Gravidade : média
Plugin: Restrição de Upload WP
Vulnerabilidade : falta de controle de acesso em deleteCustomType
Remendado na versão : 2.2.5
Gravidade : média
Plugin: Restrição de Upload WP
Vulnerabilidade : XSS armazenado autenticado
Remendado na versão : 2.2.5
Gravidade : média
Vulnerabilidades de tema do WordPress
Uma nota sobre divulgação responsável
Você pode estar se perguntando por que uma vulnerabilidade seria divulgada se ela dá aos hackers uma exploração para atacar. Bem, é muito comum para um pesquisador de segurança encontrar e relatar em particular a vulnerabilidade para o desenvolvedor do software.
Com divulgação responsável , o relatório inicial do pesquisador é feito em particular para os desenvolvedores da empresa proprietária do software, mas com um acordo de que todos os detalhes serão publicados assim que um patch for disponibilizado. Para vulnerabilidades de segurança significativas, pode haver um pequeno atraso na divulgação da vulnerabilidade para dar a mais pessoas tempo para corrigir.
O pesquisador de segurança pode fornecer um prazo para que o desenvolvedor de software responda ao relatório ou forneça um patch. Se este prazo não for cumprido, o pesquisador pode divulgar publicamente a vulnerabilidade para pressionar o desenvolvedor a lançar um patch.
Divulgar publicamente uma vulnerabilidade e aparentemente introduzir uma vulnerabilidade Zero-Day - um tipo de vulnerabilidade que não tem patch e está sendo explorado em estado selvagem - pode parecer contraproducente. Mas, é a única alavanca que um pesquisador tem para pressionar o desenvolvedor a corrigir a vulnerabilidade.
Se um hacker descobrisse a vulnerabilidade, ele poderia usar silenciosamente o Exploit e causar danos ao usuário final (este é você), enquanto o desenvolvedor de software continua contente em deixar a vulnerabilidade sem correção. O Projeto Zero do Google tem diretrizes semelhantes no que diz respeito à divulgação de vulnerabilidades. Eles publicam todos os detalhes da vulnerabilidade após 90 dias, independentemente de a vulnerabilidade ter sido corrigida ou não.
Como proteger seu site WordPress contra plug-ins e temas vulneráveis
Como você pode ver neste relatório, muitos novos plug-ins do WordPress e vulnerabilidades de tema são divulgados a cada semana. Sabemos que pode ser difícil ficar por dentro de cada divulgação de vulnerabilidade relatada, então o plug-in iThemes Security Pro torna mais fácil garantir que seu site não esteja executando um tema, plug-in ou versão central do WordPress com uma vulnerabilidade conhecida.
1. Ligue o iThemes Security Pro Site Scanner
O Site Scanner do plug-in iThemes Security Pro verifica o principal motivo pelo qual os sites do WordPress são hackeados: plug-ins desatualizados e temas com vulnerabilidades conhecidas. O Site Scanner verifica se há vulnerabilidades conhecidas em seu site e aplica automaticamente um patch, se houver um disponível.
Para habilitar a Verificação do Site em novas instalações, navegue até a guia Verificação do Site no menu Recursos dentro do plug-in e clique no botão para habilitar a Verificação do Site .
Para acionar uma verificação manual do site, clique no botão Verificar agora no cartão do painel de segurança de verificação do site.
Se o Site Scan detectar uma vulnerabilidade, clique no link da vulnerabilidade para visualizar a página de detalhes.
Na página de vulnerabilidade do Site Scan, você verá se há uma correção disponível para a vulnerabilidade. Se houver um patch disponível, você pode clicar no botão Atualizar plug-in para aplicar a correção em seu site.
2. Ative o gerenciamento de versão para atualizar automaticamente se corrigir a vulnerabilidade
O recurso de gerenciamento de versão no iThemes Security Pro se integra ao Site Scan para proteger o seu site quando o software desatualizado não for atualizado com a rapidez necessária. Mesmo as medidas de segurança mais fortes falharão se você estiver executando um software vulnerável em seu site. Essas configurações ajudam a proteger seu site com opções de atualização para novas versões automaticamente se houver uma vulnerabilidade conhecida e um patch estiver disponível.
Na página Configurações do iThemes Security Pro, navegue até a tela Recursos. Clique na guia Site Check. A partir daqui, use o botão de alternância para habilitar o gerenciamento de versão. Usando a engrenagem de configurações, você pode definir ainda mais configurações, incluindo como deseja que o iThemes Security Pro lide com atualizações para WordPress, plug-ins, temas e proteção adicional.
Certifique-se de selecionar Atualização automática se corrige uma caixa de vulnerabilidade para que o iThemes Security Pro atualize automaticamente um plug-in ou tema se ele corrigir uma vulnerabilidade que foi encontrada pelo Scanner de site.
3. Receba um alerta por e-mail quando o iThemes Security Pro encontrar uma vulnerabilidade conhecida em seu site
Depois de habilitar o Agendamento de verificação de site, vá para as configurações da Central de Notificações do plug-in. Nesta tela, role até a seção Resultados da varredura de site .
Clique na caixa para ativar o e-mail de notificação e, em seguida, clique no botão Salvar configurações .
Agora, durante qualquer varredura de site agendada, você receberá um e-mail se o iThemes Security Pro descobrir alguma vulnerabilidade conhecida. O e-mail será parecido com isto.
Obtenha o iThemes Security Pro e descanse um pouco mais fácil esta noite
O iThemes Security Pro, nosso plugin de segurança para WordPress, oferece mais de 50 maneiras de proteger e proteger seu site de vulnerabilidades comuns de segurança do WordPress. Com o WordPress, autenticação de dois fatores, proteção de força bruta, aplicação de senha forte e muito mais, você pode adicionar camadas extras de segurança ao seu site.
Obtenha o iThemes Security Pro
A cada semana, Michael elabora o Relatório de vulnerabilidade do WordPress para ajudar a manter seus sites seguros. Como Gerente de Produto da iThemes, ele nos ajuda a continuar melhorando a linha de produtos da iThemes. Ele é um nerd gigante e adora aprender sobre todas as coisas de tecnologia, antigas e novas. Você pode encontrar Michael saindo com sua esposa e filha, lendo ou ouvindo música quando não está trabalhando.
