Relatório de vulnerabilidade do WordPress: setembro de 2021, parte 3

Plug-ins e temas vulneráveis ​​são o principal motivo pelo qual os sites do WordPress são hackeados. O relatório semanal de vulnerabilidade do WordPress desenvolvido por WPScan cobre plug-ins, temas e vulnerabilidades principais do WordPress recentes e o que fazer se você executar um dos plug-ins ou temas vulneráveis ​​em seu site.

Cada vulnerabilidade terá uma classificação de gravidade Baixa , Média , Alta ou Crítica . A divulgação responsável e o relatório de vulnerabilidades são parte integrante de manter a comunidade do WordPress segura.

Como um dos maiores Relatórios de Vulnerabilidade do WordPress até hoje, compartilhe este post com seus amigos para ajudar a divulgar e tornar o WordPress mais seguro para todos.

Vulnerabilidades do núcleo do WordPress

Vários problemas básicos de segurança do WordPress foram divulgados e corrigidos. WordPress 5.8.1 foi lançado como uma versão de segurança e manutenção. Como prática recomendada, sempre certifique-se de executar a versão mais recente do núcleo do WordPress!

1. WordPress 5.4 a 5.8

Vulnerabilidade : exposição de dados via REST API
Remendado na versão : 5.8.1
Pontuação de gravidade : média

Vulnerabilidade : XSS autenticado no Editor de bloco
Remendado na versão : 5.8.1
Pontuação de gravidade : média

Vulnerabilidade : atualização da biblioteca Lodash
Remendado na versão : 5.8.1
Pontuação de gravidade : média

Vulnerabilidades de plug-ins do WordPress

Nesta seção, as vulnerabilidades do plug-in WordPress mais recentes foram divulgadas. Cada lista de plug-ins inclui o tipo de vulnerabilidade, o número da versão, se corrigido, e a classificação de gravidade.

1. Pinterest automático

Plugin: Pinterest automático
Vulnerabilidade : atualização de opções arbitrárias não autenticadas
Remendado na versão : 4.14.4
Pontuação de gravidade : crítica

2. WordPress Automático

Plugin: WordPress Automático
Vulnerabilidade : atualização de opções arbitrárias não autenticadas
Remendado na versão : 3.53.3
Pontuação de gravidade : crítica

3. ELEX WooCommerce Google Shopping

Plugin: ELEX WooCommerce Google Shopping
Vulnerabilidade : Scripting Cross-Site Refletido (XSS)
Remendado na versão : 1.2.4
Pontuação de gravidade : alta

4. Registro do usuário

Plugin: registro do usuário
Vulnerabilidade : script entre sites armazenados de baixo privilégio
Remendado na versão : 2.0.2
Pontuação de gravidade : média

5. uListing

Plugin: uListing
Vulnerabilidade : atualização de opção arbitrária de blog via CSRF
Remendado na versão : 2.0.9
Pontuação de gravidade : alta

6. Reserva de hora marcada

Plugin: reserva de hora de compromisso
Vulnerabilidade : script entre sites armazenados e autenticados
Remendado na versão : 1.3.16
Pontuação de gravidade : baixa

Plugin: reserva de hora de compromisso
Vulnerabilidade : XSS armazenado autenticado
Remendado na versão : 1.3.17
Pontuação de gravidade : baixa

7. UsersWP

Plugin: UsersWP
Vulnerabilidade : script entre sites refletido
Remendado na versão : 1.2.2.29
Pontuação de gravidade : média

8. Calendário Editorial PublishPress

Plugin: PublishPress Editorial Calendar
Vulnerabilidade : script entre sites refletido
Remendado na versão : 3.5.1
Pontuação de gravidade : alta

9. Melhor localizar e substituir

Plug-in: melhor localizar e substituir
Vulnerabilidade : script entre sites refletido
Remendado na versão : 1.2.9
Pontuação de gravidade : alta

10. CM Tooltip Glossary

Plugin: CM Tooltip Glossary
Vulnerabilidade : Contribuidor + script entre sites armazenados
Remendado na versão : 3.9.21
Pontuação de gravidade : média

11. Bitcoin / AltCoin Payment Gateway para WooCommerce

Plugin: Bitcoin / AltCoin Payment Gateway para WooCommerce
Vulnerabilidade : script entre sites refletido
Remendado na versão : 1.6.1
Pontuação de gravidade : alta

12. Calendário de eventos moderno Lite

Plugin: Modern Events Calendar Lite
Vulnerabilidade : Admin + Stored Cross-Site Scripting
Remendado na versão : 5.22.2
Pontuação de gravidade : baixa

13. Meu Chatbot

Tema: Meu Chatbot
Vulnerabilidade : Scripting Cross-Site Refletido (XSS)
Remendado na versão : nenhuma correção conhecida
Pontuação de gravidade : alta

14. Página duplicada

Plugin: Página Duplicada
Vulnerabilidade : Admin + Stored Cross-Site Scripting
Remendado na versão : 4.4.3
Pontuação de gravidade : média

15. Efeito do clima

Plugin: Efeito do clima
Vulnerabilidade : Admin + Stored Cross-Site Scripting
Remendado na versão : 1.3.6
Pontuação de gravidade : baixa

Plugin: Efeito do clima
Vulnerabilidade : CSRF para scripts entre sites armazenados
Remendado na versão : 1.3.4
Pontuação de gravidade : alta

16. Questionário encadeado

Plugin: questionário encadeado
Vulnerabilidade : script de site cruzado armazenado e autenticado
Com patch na versão : 1.2.7.2
Pontuação de gravidade : baixa

17. WP Academic People List

Plugin : WP Academic People List
Vulnerabilidade : script entre sites refletido
Remendado na versão : nenhuma correção conhecida
Pontuação de gravidade : média

18. Konnichiwa! Filiação

Plugin : Konnichiwa! Filiação
Vulnerabilidade : script entre sites refletido
Remendado na versão : nenhuma correção conhecida
Pontuação de gravidade : média

19. Carrossel de capa 3D

Plugin : carrossel de capa 3D
Vulnerabilidade : script entre sites refletido
Remendado na versão : nenhuma correção conhecida
Pontuação de gravidade : média

20. Mais do Google

Plugin : Mais do Google
Vulnerabilidade : script entre sites refletido
Remendado na versão : nenhuma correção conhecida
Pontuação de gravidade : média

21. Autenticação simpleSAMLphp

Plugin : autenticação simpleSAMLphp
Vulnerabilidade : script entre sites refletido
Remendado na versão : nenhuma correção conhecida
Pontuação de gravidade : média

22. Plugin de menu personalizado

Plugin : Plugin de Menu Personalizado
Vulnerabilidade : script entre sites refletido
Remendado na versão : nenhuma correção conhecida
Pontuação de gravidade : média

23. Widget de amigos do Twitter

Plugin : widget de amigos do Twitter
Vulnerabilidade : script entre sites refletido
Remendado na versão : nenhuma correção conhecida
Pontuação de gravidade : média

24. RentPress

Plugin : RentPress
Vulnerabilidade : script entre sites refletido
Remendado na versão : nenhuma correção conhecida
Pontuação de gravidade : média

25. Gerente de aluguel de SP

Plugin : SP Rental Manager
Vulnerabilidade : injeção de SQL não autenticada
Remendado na versão : nenhuma correção conhecida
Pontuação de gravidade : alta

26. E-mail de ativação do usuário

Plugin : E-mail de ativação do usuário
Vulnerabilidade : script entre sites refletido
Remendado na versão : nenhuma correção conhecida
Pontuação de gravidade : média

27. WP Google Maps

Plugin: WP Google Maps
Vulnerabilidade : Multiple Admin + Stored Cross-Site Scripting
Remendado na versão : 8.1.13
Pontuação de gravidade : baixa

28. GeoDirectory

Plugin: GeoDirectory
Vulnerabilidade : Scripting Cross-Site Armazenado (XSS) autenticado (admin +)
Remendado na versão : 2.1.1.3
Pontuação de gravidade : média

29. TranslatePress

Plugin: TranslatePress
Vulnerabilidade : script entre sites armazenados e autenticados
Remendado na versão : 2.0.9
Pontuação de gravidade : baixa

30. Post Title Counter

Plugin : Contador de Título de Postagem
Vulnerabilidade : script entre sites refletido
Remendado na versão : nenhuma correção conhecida
Pontuação de gravidade : média

31. Inseridor de vídeo do YouTube

Plugin : YouTube Video Inserter
Vulnerabilidade : script entre sites refletido
Remendado na versão : nenhuma correção conhecida
Pontuação de gravidade : média

32. Avisos

Plugin : Avisos
Vulnerabilidade : script entre sites refletido
Remendado na versão : nenhuma correção conhecida
Pontuação de gravidade : média

33. DJ EmailPublish

Plugin : DJ EmailPublish
Vulnerabilidade : script entre sites refletido
Remendado na versão : nenhuma correção conhecida
Pontuação de gravidade : média

34. Mais um plug-in bol.com

Plug - in : mais um plug-in bol.com
Vulnerabilidade : script entre sites refletido
Remendado na versão : nenhuma correção conhecida
Pontuação de gravidade : média

35. WP-T-Wap

Plugin : WP-T-Wap
Vulnerabilidade : script entre sites refletido
Remendado na versão : nenhuma correção conhecida
Pontuação de gravidade : média

36. Na página SEO + Botão de bate-papo do Whatsapp

Plug - in : SEO na página + botão de bate-papo do Whatsapp
Vulnerabilidade : script entre sites refletido
Remendado na versão : nenhuma correção conhecida
Pontuação de gravidade : média

37. WP Scrippets

Plugin : Scrippets WP
Vulnerabilidade : script entre sites refletido
Remendado na versão : nenhuma correção conhecida
Pontuação de gravidade : média

38. Mapas e lugares do projeto WP

Plugin : WP Design Maps & Places
Vulnerabilidade : script entre sites refletido
Remendado na versão : nenhuma correção conhecida
Pontuação de gravidade : média

39. Formulários de captura de agente sábio

Plugin : Formulários de captura de agente inteligente
Vulnerabilidade : script entre sites refletido
Remendado na versão : nenhuma correção conhecida
Pontuação de gravidade : média

40. Editar comentários XT

Plugin : Editar Comentários XT
Vulnerabilidade : script entre sites refletido
Remendado na versão : nenhuma correção conhecida
Pontuação de gravidade : média

41. RSVPMaker Excel

Plugin : RSVPMaker Excel
Vulnerabilidade : script entre sites refletido
Remendado na versão : nenhuma correção conhecida
Pontuação de gravidade : média

42. Barra de carregamento de borda

Plugin : barra de carregamento de borda
Vulnerabilidade : script entre sites refletido
Remendado na versão : nenhuma correção conhecida
Pontuação de gravidade : média

43. Miniaturas emaranhadas simples

Plug - in : miniaturas emaranhadas simples
Vulnerabilidade : script entre sites refletido
Remendado na versão : nenhuma correção conhecida
Pontuação de gravidade : média

44. WordPress Simple Shop

Plugin : WordPress Simple Shop
Vulnerabilidade : script entre sites refletido
Remendado na versão : nenhuma correção conhecida
Pontuação de gravidade : média

45. Gateway de pagamento WooCommerce por categoria

Plug - in : gateway de pagamento WooCommerce por categoria
Vulnerabilidade : script entre sites refletido
Remendado na versão : nenhuma correção conhecida
Pontuação de gravidade : média

46. ​​Dados do site personalizado

Plugin : dados de sites personalizados
Vulnerabilidade : script entre sites refletido
Remendado na versão : nenhuma correção conhecida
Pontuação de gravidade : média

47. Pesquisa Avançada

Plugin : Pesquisa Avançada
Vulnerabilidade : script entre sites refletido
Remendado na versão : nenhuma correção conhecida
Pontuação de gravidade : média

48. Integração do Moneybird para WooCommerce

Plugin : Integração do Moneybird para WooCommerce
Vulnerabilidade : script entre sites refletido
Remendado na versão : nenhuma correção conhecida
Pontuação de gravidade : média

49. Análise de aranha

Plugin : Spideranalyse
Vulnerabilidade : script entre sites refletido
Remendado na versão : nenhuma correção conhecida
Pontuação de gravidade : média

50. OSD Assine

Plugin : OSD Assine
Vulnerabilidade : script entre sites refletido
Remendado na versão : nenhuma correção conhecida
Pontuação de gravidade : média

51. Feedify Web Push Notifications

Plug - in : Feedify Web Push Notifications
Vulnerabilidade : script entre sites refletido
Remendado na versão : nenhuma correção conhecida
Pontuação de gravidade : média

52. Texto suspenso e rolável

Plug - in : lista suspensa e texto rolável
Vulnerabilidade : script entre sites refletido
Remendado na versão : nenhuma correção conhecida
Pontuação de gravidade : média

53. Integração GNU-Mailman

Plugin : Integração GNU-Mailman
Vulnerabilidade : script entre sites refletido
Remendado na versão : nenhuma correção conhecida
Pontuação de gravidade : média

54. Biblioteca de Bug

Plugin : Biblioteca de Bug
Vulnerabilidade : script entre sites refletido
Remendado na versão : nenhuma correção conhecida
Pontuação de gravidade : média

55. SMS OVH

Plugin : SMS OVH
Vulnerabilidade : script entre sites refletido
Remendado na versão : nenhuma correção conhecida
Pontuação de gravidade : média

56. MoolaMojo

Plugin : MoolaMojo
Vulnerabilidade : script entre sites refletido
Remendado na versão : nenhuma correção conhecida
Pontuação de gravidade : média

57. Plug-in do WordPress InviteBox

Plug - in : Plug - in do WordPress InviteBox
Vulnerabilidade : script entre sites refletido
Remendado na versão : nenhuma correção conhecida
Pontuação de gravidade : média

58. publicações wp

Plugin : publicações wp
Vulnerabilidade : Inclusão de arquivo local
Remendado na versão : nenhuma correção conhecida
Pontuação de gravidade : alta

59. Horário e programação de eventos por MotoPress

Plugin: Horário e programação de eventos por MotoPress
Vulnerabilidade : autor + script entre sites armazenados
Remendado na versão : 2.3.19
Pontuação de gravidade : média

60. Remover Link de Comentário e Outras Ferramentas de Comentário

Plugin: Remover Link de Comentário e Outras Ferramentas de Comentário
Vulnerabilidade : exclusão de comentário arbitrário via CSRF
Remendado na versão : 2.1.6
Pontuação de gravidade : média

61. Calendário de reservas simples WP

Plugin: WP Simple Booking Calendar
Vulnerabilidade : injeção de SQL autenticada
Remendado na versão : 2.0.6
Pontuação de gravidade : média

62. Bloquear e parar bots ruins

Plugin: bloquear e parar bots ruins
Vulnerabilidade : injeções de SQL autenticadas
Remendado na versão : 6.60
Pontuação de gravidade : média

63. Assinaturas de membros pagas

Plugin: assinaturas pagas de membros
Vulnerabilidade : injeção de SQL autenticada
Remendado na versão : 2.4.2
Pontuação de gravidade : média

64. Acordeão Fácil

Plugin: Easy Accordion
Vulnerabilidade : Admin + Stored Cross-Site Scripting
Remendado na versão : 2.0.22
Pontuação de gravidade : baixa

Vulnerabilidades de tema do WordPress

1. Envolva

Tema: Enfold
Vulnerabilidade : Scripting Cross-Site Refletido (XSS)
Remendado na versão : 4.8.4
Pontuação de gravidade : média

Uma nota sobre divulgação responsável

Você pode estar se perguntando por que uma vulnerabilidade seria divulgada se ela dá aos hackers uma exploração para atacar. Bem, é muito comum para um pesquisador de segurança encontrar e relatar em particular a vulnerabilidade para o desenvolvedor do software.

Com divulgação responsável , o relatório inicial do pesquisador é feito em particular para os desenvolvedores da empresa proprietária do software, mas com um acordo de que todos os detalhes serão publicados assim que um patch for disponibilizado. Para vulnerabilidades de segurança significativas, pode haver um pequeno atraso na divulgação da vulnerabilidade para dar a mais pessoas tempo para corrigir.

O pesquisador de segurança pode fornecer um prazo para que o desenvolvedor de software responda ao relatório ou forneça um patch. Se este prazo não for cumprido, o pesquisador pode divulgar publicamente a vulnerabilidade para pressionar o desenvolvedor a lançar um patch.

Divulgar publicamente uma vulnerabilidade e aparentemente introduzir uma vulnerabilidade Zero-Day - um tipo de vulnerabilidade que não tem patch e está sendo explorado em estado selvagem - pode parecer contraproducente. Mas, é a única alavanca que um pesquisador tem para pressionar o desenvolvedor a corrigir a vulnerabilidade.

Se um hacker descobrisse a vulnerabilidade, ele poderia usar silenciosamente o Exploit e causar danos ao usuário final (este é você), enquanto o desenvolvedor de software continua contente em deixar a vulnerabilidade sem correção. O Projeto Zero do Google tem diretrizes semelhantes no que diz respeito à divulgação de vulnerabilidades. Eles publicam todos os detalhes da vulnerabilidade após 90 dias, independentemente de a vulnerabilidade ter sido corrigida ou não.

Como proteger seu site WordPress contra plug-ins e temas vulneráveis

Como você pode ver neste relatório, muitos novos plug-ins do WordPress e vulnerabilidades de tema são divulgados a cada semana. Sabemos que pode ser difícil ficar por dentro de cada divulgação de vulnerabilidade relatada, então o plug-in iThemes Security Pro torna mais fácil garantir que seu site não esteja executando um tema, plug-in ou versão central do WordPress com uma vulnerabilidade conhecida.

1. Ligue o iThemes Security Pro Site Scanner

O Site Scanner do plug-in iThemes Security Pro verifica o principal motivo pelo qual os sites do WordPress são hackeados: plug-ins desatualizados e temas com vulnerabilidades conhecidas. O Site Scanner verifica se há vulnerabilidades conhecidas em seu site e aplica automaticamente um patch, se houver um disponível.

Para habilitar a Verificação do Site em novas instalações, navegue até a guia Verificação do Site no menu Recursos dentro do plug-in e clique no botão para habilitar a Verificação do Site .

Para acionar uma verificação manual do site, clique no botão Verificar agora no cartão do painel de segurança de verificação do site.

Se o Site Scan detectar uma vulnerabilidade, clique no link da vulnerabilidade para visualizar a página de detalhes.

Na página de vulnerabilidade do Site Scan, você verá se há uma correção disponível para a vulnerabilidade. Se houver um patch disponível, você pode clicar no botão Atualizar plug-in para aplicar a correção em seu site.

2. Ative o gerenciamento de versão para atualizar automaticamente se corrigir a vulnerabilidade

O recurso de gerenciamento de versão no iThemes Security Pro se integra ao Site Scan para proteger o seu site quando o software desatualizado não for atualizado com a rapidez necessária. Mesmo as medidas de segurança mais fortes falharão se você estiver executando um software vulnerável em seu site. Essas configurações ajudam a proteger seu site com opções de atualização para novas versões automaticamente se houver uma vulnerabilidade conhecida e um patch estiver disponível.

Na página Configurações do iThemes Security Pro, navegue até a tela Recursos. Clique na guia Site Check. A partir daqui, use o botão de alternância para habilitar o gerenciamento de versão. Usando a engrenagem de configurações, você pode definir ainda mais configurações, incluindo como deseja que o iThemes Security Pro lide com atualizações para WordPress, plug-ins, temas e proteção adicional.

Certifique-se de selecionar Atualização automática se corrige uma caixa de vulnerabilidade para que o iThemes Security Pro atualize automaticamente um plug-in ou tema se ele corrigir uma vulnerabilidade que foi encontrada pelo Scanner de site.

3. Receba um alerta por e-mail quando o iThemes Security Pro encontrar uma vulnerabilidade conhecida em seu site

Depois de habilitar o Agendamento de verificação de site, vá para as configurações da Central de Notificações do plug-in. Nesta tela, role até a seção Resultados da varredura de site .

Clique na caixa para ativar o e-mail de notificação e, em seguida, clique no botão Salvar configurações .

Agora, durante qualquer varredura de site agendada, você receberá um e-mail se o iThemes Security Pro descobrir alguma vulnerabilidade conhecida. O e-mail será parecido com isto.

Obtenha o iThemes Security Pro e descanse um pouco mais fácil esta noite

O iThemes Security Pro, nosso plugin de segurança para WordPress, oferece mais de 50 maneiras de proteger e proteger seu site de vulnerabilidades comuns de segurança do WordPress. Com o WordPress, autenticação de dois fatores, proteção de força bruta, aplicação de senha forte e muito mais, você pode adicionar camadas extras de segurança ao seu site.

Obtenha o iThemes Security Pro

Michael Moore

A cada semana, Michael elabora o Relatório de vulnerabilidade do WordPress para ajudar a manter seus sites seguros. Como Gerente de Produto da iThemes, ele nos ajuda a continuar melhorando a linha de produtos da iThemes. Ele é um nerd gigante e adora aprender sobre todas as coisas de tecnologia, antigas e novas. Você pode encontrar Michael saindo com sua esposa e filha, lendo ou ouvindo música quando não está trabalhando.