Resumo de vulnerabilidades do WordPress: abril de 2020, parte 1

Publicados: 2020-08-18

Novo plugin do WordPress e vulnerabilidades de tema foram divulgados durante a primeira quinzena de abril, por isso queremos mantê-lo informado. Nesta postagem, cobrimos o plug-in WordPress recente, o tema e as principais vulnerabilidades e o que fazer se você estiver executando um dos plug-ins ou temas vulneráveis ​​em seu site.

O Resumo de Vulnerabilidades do WordPress é dividido em quatro categorias diferentes:

  1. Núcleo do WordPress
  2. Plugins WordPress
  3. Temas WordPress

Vulnerabilidades do núcleo do WordPress

Não houve nenhuma vulnerabilidade do WordPress divulgada em 2020.

Vulnerabilidades de plug-ins do WordPress

Várias novas vulnerabilidades de plug-ins do WordPress foram descobertas este mês até agora. Certifique-se de seguir a ação sugerida abaixo para atualizar o plug-in ou desinstalá-lo completamente.

1. IMPressar para corretor IDX

IMPress para IDX Broker abaixo da versão 2.6.2 tem uma criação de postagem autenticada, modificação / exclusão e script entre sites armazenados autenticados (XSS) por meio de vulnerabilidades desprotegidas 'idx_update_recaptcha_key'.

As vulnerabilidades foram corrigidas e você deve atualizar para a versão 2.6.2.

2. Banners CM Pop-Up para WordPress

Banners CM Pop-Up para versões do WordPress abaixo de 1.4.11 têm uma vulnerabilidade de XSS armazenado autenticado.

A vulnerabilidade foi corrigida e você deve atualizar para a versão 1.4.11.

3. Classificação matemática

As versões do Rank Math abaixo de 1.0.4.1 têm vulnerabilidades de Redirect Creation e Privilege Escalation.

As vulnerabilidades foram corrigidas e você deve atualizar para a versão 1.4.1.

4. LifterLMS

As versões do LifterLMS abaixo de 3.37.15 têm uma vulnerabilidade de gravação de arquivo arbitrário.

A vulnerabilidade foi corrigida e você deve atualizar para a versão 3.37.15.

5. Elementor Page Builder

As versões do Elementor Page Builder abaixo de 2.9.6 têm uma vulnerabilidade de escalonamento de privilégios de modo de segurança autenticado.

A vulnerabilidade foi corrigida e você deve atualizar para a versão 2.9.6.

6. LearnDash

As versões do LearnDash abaixo de 3.1.6 têm uma vulnerabilidade de injeção SQL não autenticada.

A vulnerabilidade foi corrigida e você deve atualizar para a versão 3.1.6.

7. Login por Auth0

As versões de login do Auth0 abaixo de 4.0.0 apresentam vulnerabilidades múltiplas.

A vulnerabilidade foi corrigida e você deve atualizar para a versão 4.0.0.

8. WordPress WP-Advanced-Search

As versões do WordPress WP-Advanced-Search abaixo de 3.3.6 têm uma vulnerabilidade de injeção de SQL não autenticada.

A vulnerabilidade foi corrigida e você deve atualizar para a versão 3.3.6.

9. Contact Form 7 Datepicker

Todas as versões do Contact Form 7 Datepicker têm uma vulnerabilidade de scripts entre sites armazenados autenticados.

Remova o plug-in, ele foi fechado no repositório de plug-ins do WordPress.org com revisão pendente.

10. Art-Picture-Gallery

Todas as versões de Art-Picture-Gallery têm uma vulnerabilidade de upload de arquivo arbitrário não autenticado.

Remova o plug-in, ele foi fechado no repositório de plug-ins do WordPress.org com revisão pendente.

11. Informação da última modificação de WP

As versões das últimas informações modificadas do WP abaixo de 1.6.6 têm uma vulnerabilidade de XSS armazenado autenticado.

A vulnerabilidade foi corrigida e você deve atualizar para a versão 1.6.6.

12. WP Lead Plus X

Todas as versões do WP Lead Plus X têm uma vulnerabilidade Cross-Site Request Forgery.

Remova o plug-in até que um patch seja lançado.

13. Complementos finais para Gutenberg

Ultimate Addons para Gutenberg versões abaixo de 1.14.8 têm uma vulnerabilidade Authenticated Settings Change.

A vulnerabilidade foi corrigida e você deve atualizar para a versão 1.14.8.

14. Klarna Checkout para WooCommerce

Klarna Checkout para WooCommerce versões abaixo de 2.0.10 têm uma vulnerabilidade de desativação, ativação e instalação de plug-in arbitrário autenticado.

15. Tickera - Ingressos para eventos WordPress

Tickera - as versões do WordPress Event Ticketing abaixo de 3.4.6.9 têm uma vulnerabilidade de exposição de dados confidenciais não autenticada.

A vulnerabilidade foi corrigida e você deve atualizar para a versão 3.4.6.9.

16. Enquete responsiva

Todas as versões da sondagem responsiva têm autenticação interrompida e verificações de capacidade ausentes em chamadas AJAX.

Remova o plug-in, ele foi fechado no repositório de plug-ins do WordPress.org com revisão pendente.

17. Assistente de biblioteca de mídia

As versões do Media Library Assistant abaixo de 2.82 têm vulnerabilidades de script entre sites armazenados autenticados e inclusão de arquivo local limitado não autenticado.

A vulnerabilidade foi corrigida e você deve atualizar para a versão 2.82.

Temas WordPress

Não houve nenhuma vulnerabilidade de tema divulgada em abril de 2020.

Como ser proativo em relação às vulnerabilidades de plug-ins e temas do WordPress

Executar software desatualizado é o principal motivo pelo qual os sites do WordPress são hackeados. É crucial para a segurança do seu site WordPress que você tenha uma rotina de atualização. Você deve entrar em seus sites pelo menos uma vez por semana para realizar atualizações.

Atualizações automáticas podem ajudar

As atualizações automáticas são uma ótima opção para sites WordPress que não mudam com muita frequência. A falta de atenção geralmente deixa esses sites negligenciados e vulneráveis ​​a ataques. Mesmo com as configurações de segurança recomendadas, a execução de software vulnerável em seu site pode fornecer a um invasor um ponto de entrada em seu site.

Usando o recurso de gerenciamento de versão do plugin iThemes Security Pro, você pode habilitar atualizações automáticas do WordPress para garantir que está obtendo os patches de segurança mais recentes. Essas configurações ajudam a proteger seu site com opções para atualizar automaticamente para novas versões ou aumentar a segurança do usuário quando o software do site está desatualizado.

Opções de atualização de gerenciamento de versão
  • Atualizações do WordPress - instale automaticamente a versão mais recente do WordPress.
  • Atualizações automáticas de plug-ins - instala automaticamente as atualizações de plug-ins mais recentes. Isso deve ser habilitado, a menos que você mantenha ativamente este site diariamente e instale as atualizações manualmente logo após serem lançadas.
  • Atualizações automáticas de tema - instala automaticamente as atualizações de tema mais recentes. Isso deve ser habilitado, a menos que seu tema tenha personalizações de arquivo.
  • Controle granular sobre atualizações de plug-ins e temas - você pode ter plug-ins / temas que gostaria de atualizar manualmente ou atrasar a atualização até que o lançamento tenha tempo de se provar estável. Você pode escolher Personalizado para a oportunidade de atribuir cada plugin ou tema para atualizar imediatamente ( Ativar ), não atualizar automaticamente ( Desativar ) ou atualizar com um atraso de um determinado período de dias ( Atraso ).
Fortalecimento e alerta para questões críticas
  • Fortaleça o site ao executar software desatualizado - adicione automaticamente proteções extras ao site quando uma atualização disponível não tiver sido instalada por um mês. O plugin de segurança do iThemes ativará automaticamente uma segurança mais rígida quando uma atualização não for instalada por um mês. Primeiro, ele forçará todos os usuários que não têm dois fatores habilitados a fornecer um código de login enviado para seu endereço de e-mail antes de fazer o login novamente. Em segundo lugar, ele desabilitará o Editor de Arquivos WP (para impedir que as pessoas editem o plugin ou o código do tema) , Pingbacks XML-RPC e bloquear várias tentativas de autenticação por solicitação XML-RPC (ambos tornarão o XML-RPC mais forte contra ataques sem ter que desligá-lo completamente).
  • Scan for Other Old WordPress Sites - Isto irá verificar se há outras instalações WordPress desatualizadas em sua conta de hospedagem. Um único site WordPress desatualizado com uma vulnerabilidade pode permitir que invasores comprometam todos os outros sites na mesma conta de hospedagem.
  • Enviar notificações por email - para problemas que requerem intervenção, um email é enviado aos usuários de nível de administrador.

Gerenciando vários sites WP? Atualize Plugins, Temas e Core de uma vez a partir do Painel de Sincronização do iThemes

iThemes Sync é nosso painel central para ajudá-lo a gerenciar vários sites WordPress. No painel de sincronização, você pode visualizar as atualizações disponíveis para todos os seus sites e, em seguida, atualizar plug-ins, temas e o núcleo do WordPress com um clique . Você também pode receber notificações diárias por e-mail quando uma nova atualização de versão estiver disponível.

Experimente sincronizar GRATUITAMENTE por 30 diasSaiba mais

Um plug-in de segurança do WordPress pode ajudar a proteger seu site

O iThemes Security Pro, nosso plugin de segurança para WordPress, oferece mais de 30 maneiras de proteger e proteger seu site de vulnerabilidades comuns de segurança do WordPress. Com o WordPress, autenticação de dois fatores, proteção de força bruta, aplicação de senha forte e muito mais, você pode adicionar uma camada extra de segurança ao seu site.

Saiba mais sobre a segurança do WordPress com 10 dicas importantes. Baixe o e-book agora: um guia para segurança do WordPress
Baixe Agora