Resumo de vulnerabilidades do WordPress: junho de 2020, parte 1
Publicados: 2020-08-18Novo plugin do WordPress e vulnerabilidades de tema foram divulgados durante a primeira quinzena de junho, por isso queremos mantê-lo informado. Nesta postagem, cobrimos o plug-in WordPress recente, o tema e as principais vulnerabilidades e o que fazer se você estiver executando um dos plug-ins ou temas vulneráveis em seu site.
O resumo de vulnerabilidades do WordPress é dividido em três categorias diferentes:
- Núcleo do WordPress
- Plugins WordPress
- Temas WordPress
Cada vulnerabilidade terá uma classificação de ameaça Baixa , Média , Alta ou Crítica .
Vulnerabilidades do núcleo do WordPress
1. Atualização para WordPress 5.4.2 - Crítico
A versão 5.4.2 do WordPress já está disponível. Esta é uma importante versão de segurança e manutenção. As versões anteriores são afetadas por vários bugs de segurança, que foram corrigidos na versão 5.4.2. Se você ainda não atualizou para 5.4, também existem versões atualizadas de 5.3 e anteriores que corrigem os problemas de segurança.
Você pode baixar o WordPress 5.4.2 em WordPress.org ou visitar o Painel de controle do WP Admin> Atualizações e clicar em Atualizar agora . Se você tiver sites que suportam atualizações automáticas em segundo plano, eles já devem ter sido atualizados.
Vulnerabilidades de plug-ins do WordPress
Várias novas vulnerabilidades de plug-ins do WordPress foram descobertas este mês até agora. Certifique-se de seguir a ação sugerida abaixo para atualizar o plug-in ou desinstalá-lo completamente.
1. Arraste e solte o upload de vários arquivos para o formulário de contato 7 - Crítico
Arrastar e soltar upload de vários arquivos para o Formulário de contato 7 versões anteriores a 1.3.3.3 têm uma vulnerabilidade de desvio de upload de arquivo não autenticado.
2. Construtor de páginas: PageLayer - Construtor de sites de arrastar e soltar - Alto
Construtor de páginas: PageLayer - as versões do construtor de sites de arrastar e soltar abaixo de 1.1.2 têm um AJAX desprotegido que leva a XSS e um CSRF que leva a vulnerabilidades de XSS.
3. MapPress Maps - Crítico
As versões do MapPress Maps abaixo de 2.54.6 têm uma vulnerabilidade de Verificações de capacidade impróprias em chamadas AJAX.
4. Grade final de blocos da galeria de fotos de imagens - crítica
Image Photo Gallery Final Tiles Grid versões abaixo de 3.4.19 têm uma vulnerabilidade de script entre sites armazenados autenticados.
5. bbPress - Crítico
As versões do bbPress abaixo de 2.6.5 têm uma vulnerabilidade de escalonamento de privilégio não autenticado quando o registro de novo usuário está ativado.
6. Multi Scheduler - Alto
Todas as versões do Multi Scheduler têm uma vulnerabilidade de exclusão arbitrária de registro via CSRF.
7. Pesquisa de empregos - alta
As versões do JobSearch abaixo de 1.5.1 têm uma vulnerabilidade de script entre sites refletido não autenticado.
8. AdRotate - Médio
As versões do AdRotate abaixo de 5.8.4 têm uma vulnerabilidade de injeção SQL autenticada.
9. Elementor Page Builder - Alto
As versões do Elementor Page Builder abaixo de 2.9.10 têm uma vulnerabilidade de XSS armazenado autenticado.
10. SportsPress - Alta
As versões do SportsPress abaixo de 2.7.2 têm uma vulnerabilidade de script entre sites armazenados autenticados.
Temas WordPress
1. Carreira - Alta
As versões do Careerfy abaixo de 3.9.0 têm uma vulnerabilidade de script entre sites refletido não autenticado.
2. Jornal - Alta
As versões de jornais abaixo de 10.3.4 têm uma vulnerabilidade de scripts entre sites refletidos autenticados.
Novo! Proteja seu site WordPress com o iThemes Security Site Scan.
Você sabia que 60% das violações de sites envolvem vulnerabilidades para as quais um patch estava disponível, mas não foi aplicado? Isso significa que ter software com vulnerabilidades conhecidas instalado em seu site dá aos hackers os planos de que eles precisam para assumir o controle de seu site.
A cada dia, fica cada vez mais difícil acompanhar todas as vulnerabilidades divulgadas do WordPress . Você tem que comparar essa lista com as versões de plug-ins e temas que você instalou em seu site ... e certificar-se de estar sempre atualizando.
Para resolver esse problema, hoje temos o prazer de anunciar que o plugin iThemes Security Pro está lançando uma maneira melhor de proteger seus sites contra vulnerabilidades de software , o principal culpado de sites WordPress hackeados e comprometidos.
O novo e aprimorado WordPress Security Site Scan desenvolvido por iThemes executa verificações automáticas de vulnerabilidades conhecidas de sites e, se um patch estiver disponível, o iThemes Security Pro aplicará automaticamente a correção para você ... para que você não precise fazer isso. Uau. isso é um pouco de paz de espírito.
Um plug-in de segurança do WordPress pode ajudar a proteger seu site
O iThemes Security Pro, nosso plugin de segurança para WordPress, oferece mais de 30 maneiras de proteger e proteger seu site de vulnerabilidades comuns de segurança do WordPress. Com o WordPress, autenticação de dois fatores, proteção de força bruta, aplicação de senha forte e muito mais, você pode adicionar uma camada extra de segurança ao seu site.
A cada semana, Michael elabora o Relatório de vulnerabilidade do WordPress para ajudar a manter seus sites seguros. Como Gerente de Produto da iThemes, ele nos ajuda a continuar melhorando a linha de produtos da iThemes. Ele é um nerd gigante e adora aprender sobre todas as coisas de tecnologia, antigas e novas. Você pode encontrar Michael saindo com sua esposa e filha, lendo ou ouvindo música quando não está trabalhando.
