Știri despre vulnerabilități WordPress, noiembrie 2021

Publicat: 2020-11-06

Noiembrie WordPress Vulnerability News
Vulnerabilitatea WordPress înseamnă slăbiciunea WordPress. În această postare de știri despre vulnerabilitatea WordPress din noiembrie, ne vom concentra asupra pluginurilor vulnerabile WordPress și problemelor de securitate WordPress descoperite în octombrie 2020 și noiembrie 2020.

Cea mai importantă și crucială parte a securității este să fii la curent cu vulnerabilitățile de securitate în CMS, cum ar fi WordPress și printre altele.

Acesta este motivul pentru care am analizat pluginurile susceptibile și cel mai recent punct slab dezvăluit pentru a ne asigura că site-ul dvs. funcționează fără probleme, fără a utiliza astfel de pluginuri și actualizări neprotejate pentru WordPress.

Site-ul dvs. web va fi protejat de toate problemele de securitate și vulnerabilități dacă utilizați firewall-ul aplicației web WebARX. Dar cea mai bună metodă alternativă de a vă face site-ul în siguranță este să eliminați sau să actualizați pluginurile neprotejate de pe site-urile dvs.

Știri despre vulnerabilități WordPress, octombrie 2020

WordPress + Microsoft Office 365

WordPress + Microsoft Office 365

Pentru a accesa site-ul dvs. WordPress, utilizatorii se pot conecta cu contul lor de școală sau de companie cu WPO365|LOGIN. Parolă și nu sunt necesare nume de utilizator. În plus, veți putea trimite e-mailuri cu ajutorul Microsoft Graph, în loc să utilizați SMTP de pe site-ul dvs. web.

Vulnerabilitate: ocolire a verificării semnăturii JWT
Rezolvat în versiunea: 11.7
Total site-uri web afectate: peste 1000

Acest plugin nu verifică semnăturile JWT, nu permite verificări de autorizare, ocolește autentificările și permite atacatorilor să formeze jetoane.

Glisor de la 10Web

Glisor de la 10Web

Slider by 10Web este o metodă alternativă de a adăuga glisoare receptive, de încărcare rapidă și prietenoase cu SEO pe antetul temei, postările și paginile site-ului sau în orice altă locație.

Acest plugin este compatibil cu videoclipuri și imagini și permite adăugarea ambelor conținuturi în diapozitive. Puteți adăuga foarte ușor diferite efecte de tranziție.

Vulnerabilitate: injecție SQL autentificată multiplă
Rezolvat în versiunea: 1.2.36
Total site-uri web afectate: peste 50 000

Cele două funcționalități vulnerabile ale acestui plugin sunt save_slider_db și bulk_action, export_full. Aceste două funcționalități permit utilizatorilor autorizați sau admin sau mediu precum contributor+ „opțiune de rol” presupune că celălalt utilizator este activat să execute un atac cunoscut sub numele de injecții SQL.

Data declarației PoC a fost pe 13 octombrie 2020, care oferă actualizări utilizatorilor din când în când.

Cursuri WP

Cursuri WP LMS

WP Courses este un plugin gratuit WordPress care poate fi utilizat pentru LMS pentru a gestiona și a crea cursuri pe site-ul dvs. cu instrumente de glisare și plasare, o interfață intuitivă, tutoriale video și multe altele. Acest plugin are peste 900 de instalări active.

Acest plugin poate fi adăugat cu orice alt șablon, deoarece va funcționa fără probleme. De asemenea, vine cu atât de multe opțiuni care vă vor ajuta să vă potriviți viziunea și designul site-ului dvs. web. Acest plugin este ușor de navigat, deoarece nu necesită nicio codificare sau cunoștințe tehnice.

Vulnerabilitate: duce la dezvăluirea conținutului cursurilor din cauza controalelor de acces întrerupte
Rezolvat în versiunea: 2.0.29
Total site-uri web afectate: peste 20.000

Prin API-ul REST WordPress, problema din cursurile WP ar putea face cursurile dvs. disponibile pentru toți.

Simplu: Apăsați

Apăsare simplă

Pentru site-ul dvs. WordPress, Simple: Press este un software de forum. Cu câteva funcții suplimentare, puteți începe forumul cu ușurință. Este integrat în modelul de securitate și modelul de utilizator WordPress și poate fi ridicat la mii de utilizatori.

În ciuda altor plugin-uri de forum, caracteristicile acestui plugin sunt create și susținute de organizații. Opțiunea este disponibilă pentru eliminare sau dezinstalare, integrată cu autentificarea și înregistrările WordPress, integrarea cu pluginuri pentru abonamentele membrilor și multe altele.

Vulnerabilitate: duce la RCE din cauza controlului accesului întrerupt
Rezolvat în versiunea: 6.6.1
Total site-uri web afectate: peste 600

Problema de control al accesului întreruptă în pluginul Simple: Press a fost remediată, ceea ce afecta versiunea 6.6.0 și mai jos.

Pluginul XCloner

Pluginul XCloner

Acest plugin vă va ajuta să restaurați și să faceți backup pentru site-ul dvs. WordPress.

Vulnerabilitate: falsificarea cererii pe mai multe site-uri
Rezolvat în versiunea: 4.2.13
Total site-uri web afectate: peste 30.000

Copiile de rezervă ale site-ului web pot fi trimise la Google Drive, SFTP, Amazon, Dropbox, Backblaze și în alte locații. În mod automat sau manual, puteți crea copii de rezervă cu un planificator care este încorporat în XCloner.

Diferite funcții de siguranță sunt furnizate de XCloner, cum ar fi XCloner, care va crea teme, core, pluginuri, fișiere de rezervă de limbi chiar înainte de actualizările automate de bază ale WordPress, teme, pluginuri sau fișiere de limbă. Persoanele care caută un site web sigur și confidențialitate ar trebui să aleagă XCloner.

Trageți și plasați încărcare de fișiere multiple – formular de contact 7

Trageți și plasați încărcare de fișiere multiple

Acest plugin este ușor de utilizat și o extensie simplă, în special pentru formularul de contact 7. Acest plugin va permite utilizatorilor să adauge diferite fișiere cu ajutorul funcțiilor drag and drop. Se poate adăuga, de asemenea, un fișier de navigare comun al formularului web.

Caracteristicile acestui plugin sunt limitate la numărul de fișiere încărcate, restricționează dimensiunea fișierului pentru fiecare câmp, receptiv mobil, acceptă orice browser, acceptă mai multe limbi, bară de progres cool, caracteristică de glisare și plasare, validare dimensiune fișier, validare tip fișier, și așa mai departe.

Vulnerabilitate: Execuție de cod de la distanță neverificată
Rezolvat în versiunea: 1.3.5.5
Total site-uri web afectate: peste 20.000

Acest instrument folosește lista neagră a extensiilor de fișiere periculoase care nu vă permite să încărcați. Cu toate acestea, extensiile .phpt și .phar nu se aflau pe lista neagră, care nu pot fi utilizate pentru a adăuga cod PHP arbitrar.

Au fost descoperite alte 25 de plugin-uri WordPress cu vulnerabilități la atacurile CSRF, unele dintre ele sunt

  • Abonament plătit Pro
  • Creator de cupon
  • Funner Builders
  • Butoane radio pentru taxonomii
  • Cronologie cool
  • Mărturii ușoare
  • Dokan
  • Agregator RSS de la Feedly
  • Rezervare hotel WP
  • Manager de proiect WP și multe altele.

Postare conexă: Cele mai bune teme WordPress fără erori pentru proiecte din care să alegi pentru următorul tău site web

Știri despre vulnerabilități WordPress, noiembrie 2020

Suport pentru conformitate GDPR CCPA

Suport pentru conformitate GDPR CCPA

Este, de asemenea, cunoscut sub numele de plugin de conformitate Ninja GDPR pentru utilizatorii WordPress.

Vulnerabilitate: injectare neoficială pe obiect PHP
Rezolvat în versiunea: 2.4
Total site-uri web afectate: peste 1000

Pluginul de asistență pentru conformitate GDPR CCPA are peste 1000 de instalări active. A rezolvat o vulnerabilitate nesigură de deserializare care afectează versiunea 2.1 și mai jos, care ar putea ajunge la injectarea neoficială a obiectelor PHP. Pe 17 noiembrie 2020. PoC va fi afișat pentru a actualiza utilizatorii cu toate informațiile.

Welcart e-Commerce

Welcart e-Commerce

WelCart este gratuit de utilizat. Are peste 20.000 de instalări active și este disponibil în 3 limbi diferite, adică engleză (SUA), japoneză și vietnameză. Pe 9 octombrie 2020, vulnerabilitatea a fost descoperită în acest plugin.

Vulnerabilitate: injectare neoficială pe obiect PHP
Rezolvat în versiunea: 1.9.36
Total site-uri web afectate: peste 20.000

Utilizatorii WordPress pot folosi pluginul Welcart pentru a construi un site web de cumpărături cu o zonă diferită de cont de client. Nu folosește același cookie care este folosit de WordPress. Își folosește propriile sale.

Acest lucru vă ajută să urmăriți sesiunile utilizatorilor. Folosind acest plugin, veți putea vinde orice tip de produse, inclusiv produse pe bază de abonament, produse digitale, precum și produse fizice. Nu există o limită specificată pentru numărul de fotografii ale articolelor, produse și categorii.

AccessPress Social Icons

Pluginul de partajare socială AccessPress

Veți putea să creați diferite pictograme sociale și să adăugați un link către conturile dvs. de social media valide direct de pe site. Are peste 40.000 de instalări active și acceptă WordPress versiunea 4.5 și o versiune ulterioară.

Vulnerabilitate: injecție SQL autentificată
Rezolvat în versiunea: 1.8.1
Total site-uri web afectate: peste 40 000

Atributul său widget nu a fost dezinfectat de acest plugin, acesta permite conturilor cu permisiune post, de exemplu autor, să execute injecții SQL.

Foarte ușor, o persoană netehnică se poate conecta și la profilurile sociale de pe site. Puteți crea și personaliza frumos pictogramele pe cont propriu. Sunt furnizate 12 seturi diferite care pot fi folosite pentru a selecta pictogramele.

Principalele caracteristici ale acestui plugin sunt integrarea ușoară, sfaturi pentru instrumente, mai multe stiluri, previzualizare live în timp real, responsive, interactive, machete proprii și multe altele.

WordPress

Versiunea WordPress 5.5.2 a fost lansată pe 29 octombrie 2020. Această versiune a fost introdusă pentru a remedia problemele afectate de versiunea WordPress 5.5, inclusiv vulnerabilitatea XSS reflectată. De asemenea, a rezolvat unele probleme ale regresiilor care au fost descoperite în versiunea 5.5

Vulnerabilitate: XSS reflectat
Rezolvat în versiunea: 5.5.2
Total site-uri web afectate: N/A

Pe fiecare cont de utilizator WordPress și site-ul web al utilizatorului, această problemă este susceptibilă. Agresorul ar putea păcăli un utilizator care nu știe să facă clic pe un link infectat sau să viziteze site-ul web care este prins în capcană. Nivelul de victimizare pentru această problemă este mediu, deoarece are nevoie de un fel de inginerie socială.

SW Ajax WooCommerce Search

Căutare Ajax pentru WooCommerce

SW Ajax WooCommerce Search este un plugin WordPress pentru WooCommerce care are o funcție de căutare Ajax.

Vulnerabilitate: XFS și XSS reflectate neoficial
Rezolvat în versiunea: 1.2.8
Total site-uri web afectate: N/A

Concluzie:
Știri despre vulnerabilitatea WordPress din noiembrie – Numărul de site-uri web WordPress sunt infectate și piratate în fiecare zi. Unele cifre arată că peste 30.000 de site-uri web sunt afectate zilnic de mai multe tipuri de malware.

Fiecare site web deschis de pe internet este o resursă disponibilă pentru toată lumea și acesta este motivul principal pentru care majoritatea site-urilor web sunt vizate.

Este esențial să știi că de îndată ce îți trăiești afacerea online, aceasta devine disponibilă ca public. Astfel, devine ușor vizat.

Pentru a evita adăugarea de pluginuri vulnerabile pe site-ul dvs. web, este important să vă mențineți pluginurile și site-urile web la zi. Puteți activa actualizările automate dacă este posibil.

Dacă utilizați pluginurile menționate mai sus, atunci este timpul să le actualizați cu noua versiune, altfel site-ul dvs. web va fi afectat grav.