Raportul Vulnerabilității WordPress: august 2021, partea 2
Publicat: 2021-08-11Pluginurile și temele vulnerabile sunt motivul # 1 pentru care site-urile WordPress sunt piratate. Raportul săptămânal despre vulnerabilitatea WordPress oferit de WPScan acoperă vulnerabilitățile recente ale plugin-ului, temei și nucleului WordPress și ce trebuie făcut dacă rulați unul dintre pluginurile sau temele vulnerabile de pe site-ul dvs. web.
Fiecare vulnerabilitate va avea un grad de severitate scăzut , mediu , ridicat sau critic . Divulgarea responsabilă și raportarea vulnerabilităților este o parte integrantă a păstrării în siguranță a comunității WordPress.
Fiind unul dintre cele mai mari rapoarte de vulnerabilitate WordPress de până acum, vă rugăm să împărtășiți această postare prietenilor dvs. pentru a vă ajuta să scoateți cuvântul și să faceți WordPress mai sigur pentru toată lumea.
Vulnerabilități de bază WordPress
1. Notificare la nivel de site WP
Plugin: Notificare la nivel de site WP
Vulnerabilitate : XSS stocat autentificat
Patched în versiunea : 2.3
Scorul de severitate : scăzut
2. Indicatorul orelor de lucru
Plugin: Indicator de oră de lucru
Vulnerabilitate : XSS stocat autentificat
Patched în versiunea : 2.3.5
Scorul de severitate : scăzut
3. Generator de pagini îndrăznețe
Plugin: Generator de pagini îndrăznețe
Vulnerabilitate : injectare obiect PHP
Patched în versiunea : 3.1.6
Scorul de severitate : mediu
4. Partajați acest tablou de bord pentru Google Analytics
Plugin: ShareThis Dashboard pentru Google Analytics
Vulnerabilitate : Scripturi încrucișate reflectate (XSS)
Patched în versiunea : 2.5.2
Scorul de severitate : ridicat
5. StoryChief
Plugin: StoryChief
Vulnerabilitate : Scripturi încrucișate reflectate (XSS)
Patched în versiunea : 1.0.31
Scorul de severitate : ridicat
Plugin: StoryChief
Vulnerabilitate : Scripturi cross-site stocate autentificate (XSS)
Patched în versiunea : 1.0.31
Scorul de severitate : scăzut
6. WP LMS
Plugin: WP LMS
Vulnerabilitate : ediție / creație de teren arbitrar arbitrar neautentificat
Patched în versiunea : 1.1.5
Scorul de severitate : mediu
7. VDZ Google Analytics sau Google Tag Manager / GTM
Plugin: VDZ Google Analytics sau Google Tag Manager / GTM
Vulnerabilitate : XSS stocat autentificat
Patched în versiunea : 1.6.0
Scorul de severitate : scăzut
Plugin: VDZ Google Analytics sau Google Tag Manager / GTM
Vulnerabilitate : XSS stocat autentificat
Patched în versiunea : 1.4.9
Scorul de severitate : scăzut
8. Gătit
Plugin: gătit
Vulnerabilitate : Scripturi încrucișate reflectate neautentificate (XSS)
Patched în versiunea : 1.7.9.1
Scorul de severitate : mediu
9. Codificator de e-mail - Protejați adresele de e-mail
Plugin: Codificator de e-mail - Protejați adresele de e-mail
Vulnerabilitate : Scripturi reflectate pe site
Patched în versiunea : 2.1.2
Scorul de severitate : mediu
10. Notificări de comandă de alertă prin SMS - WooCommerce
Plugin: notificări de comandă de alertă SMS - WooCommerce
Vulnerabilitate : Scripturi cross site autentificate
Patched în versiunea : 3.4.7
Scorul de severitate : scăzut
11. Roluri multiple HM
Plugin: Roluri multiple HM
Vulnerabilitate : schimbarea arbitrară a rolului
Patched în versiunea : 1.3
Scorul de severitate : critic
12. WP Customize Login
Plugin: Conectare personalizată WP
Vulnerabilitate : Scripturi cross-site stocate autentificate (XSS)
Corectat în versiune : Nicio remediere cunoscută
Scorul de severitate : scăzut
13. Manager de acces la drepturile utilizatorului
Plugin: User Rights Access Manager
Vulnerabilitate : ocolirea restricției de acces
Corectat în versiune : Nicio remediere cunoscută
Scorul de severitate : mediu
14. Mini Programul site-ului oficial JiangQie
Plugin: Mini-program pentru site-ul oficial JiangQie
Vulnerabilitate : injecție SQL autentificată
Patched în versiunea : 1.1.1
Scorul de severitate : critic
15. Welcart e-Commerce
Plugin: Welcart e-Commerce
Vulnerabilitate : divulgarea informațiilor neautentificate
Patched în versiunea : 2.2.8
Scorul de severitate : ridicat
Plugin: Welcart e-Commerce
Vulnerabilitate : divulgarea informațiilor autentificate de sistem
Patched în versiunea : 2.2.8
Scorul de severitate : mediu
16. Evidențiați
Plugin: Evidențiați
Vulnerabilitate : Scripturi cross-site stocate autentificate
Patched în versiunea : 0.9.3
Scorul de severitate : scăzut
17. Banner de notificare și consimțământ pentru cookie-uri pentru respectarea GDPR și CCPA
Plugin: Banner de notificare și consimțământ pentru cookie-uri pentru respectarea GDPR și CCPA
Vulnerabilitate : XSS stocat autentificat
Patched în versiunea : 1.7.2
Scorul de severitate : scăzut
18. Păstăi
Plugin: Pods
Vulnerabilitate : Scripturi cross-site stocate multiple autentificate (XSS)
Patched în versiunea : 2.7.29
Scorul de severitate : scăzut
Vulnerabilități ale temei WordPress
O notă privind dezvăluirea responsabilă
S-ar putea să vă întrebați de ce o vulnerabilitate ar fi dezvăluită dacă le oferă hackerilor un exploit de atac. Ei bine, este foarte obișnuit ca un cercetător în securitate să găsească și să raporteze în mod privat vulnerabilitatea dezvoltatorului de software.
Cu dezvăluirea responsabilă , raportul inițial al cercetătorului este făcut în mod privat dezvoltatorilor companiei care deține software-ul, dar cu acordul că detaliile complete vor fi publicate odată ce un patch a fost pus la dispoziție. Pentru vulnerabilitățile semnificative de securitate, ar putea exista o ușoară întârziere în dezvăluirea vulnerabilității, pentru a oferi mai multor oameni timp de corecție.
Cercetătorul de securitate poate oferi un termen limită pentru ca dezvoltatorul de software să răspundă la raport sau să furnizeze un patch. Dacă acest termen nu este respectat, atunci cercetătorul poate dezvălui în mod public vulnerabilitatea de a pune presiune pe dezvoltator să emită un patch.
Dezvăluirea publică a unei vulnerabilități și introducerea aparentă a unei vulnerabilități Zero-Day - un tip de vulnerabilitate care nu are patch și care este exploatată în sălbăticie - poate părea contraproductivă. Dar, este singura pârghie pe care o are un cercetător pentru a-l presiona pe dezvoltator să remedieze vulnerabilitatea.
Dacă un hacker ar descoperi vulnerabilitatea, ar putea folosi în liniște Exploit-ul și ar putea provoca daune utilizatorului final (acesta ești tu), în timp ce dezvoltatorul de software rămâne conținut la lăsarea vulnerabilității fără corecții. Project Zero de la Google are îndrumări similare atunci când vine vorba de dezvăluirea vulnerabilităților. Ei publică detaliile complete ale vulnerabilității după 90 de zile, indiferent dacă vulnerabilitatea a fost sau nu reparată.
Cum să vă protejați site-ul WordPress de pluginuri și teme vulnerabile
După cum puteți vedea din acest raport, o mulțime de noi vulnerabilități ale plugin-ului și temei WordPress sunt dezvăluite în fiecare săptămână. Știm că poate fi dificil să rămâneți la curent cu fiecare dezvăluire a vulnerabilității raportate, astfel încât pluginul iThemes Security Pro face ușor să vă asigurați că site-ul dvs. nu rulează o temă, un plugin sau o versiune de bază WordPress cu o vulnerabilitate cunoscută.
1. Porniți iThemes Security Pro Site Scanner
Site Scanner-ul pluginului iThemes Security Pro scanează motivul # 1 pentru care site-urile WordPress sunt piratate: pluginuri și teme învechite cu vulnerabilități cunoscute. Site Scanner verifică site-ul dvs. pentru vulnerabilități cunoscute și aplică automat un patch dacă este disponibil.
Pentru a activa scanarea site-ului la noile instalări, navigați la fila Verificare site din meniul Caracteristici din plugin și faceți clic pe comutare pentru a activa scanarea site - ului .
Pentru a declanșa o scanare manuală a site-ului, faceți clic pe butonul Scanare acum de pe cardul de bord Site Security Scan.
Dacă Scanarea site-ului detectează o vulnerabilitate, faceți clic pe linkul de vulnerabilitate pentru a vizualiza pagina de detalii.
În pagina vulnerabilității Site Scan, veți vedea dacă există o remediere disponibilă pentru vulnerabilitate. Dacă există un patch disponibil, puteți face clic pe butonul Actualizare plugin pentru a aplica remedierea pe site-ul dvs. web.
2. Activați Gestionarea versiunilor
Funcția de gestionare a versiunilor din iThemes Security Pro se integrează cu scanarea site-ului pentru a vă proteja site-ul atunci când software-ul învechit nu este actualizat suficient de rapid. Chiar și cele mai puternice măsuri de securitate vor eșua dacă rulați software vulnerabil pe site-ul dvs. web. Aceste setări vă ajută să vă protejați site-ul cu opțiuni de actualizare la versiuni noi în mod automat, dacă există o vulnerabilitate cunoscută și un patch este disponibil.
Din pagina Setări din iThemes Security Pro, navigați la ecranul Caracteristici. Faceți clic pe fila Verificare site. De aici, utilizați comutatorul pentru a activa gestionarea versiunilor. Folosind setul de setări, puteți configura și mai multe setări, inclusiv modul în care doriți ca iThemes Security Pro să gestioneze actualizările la WordPress, pluginuri, teme și protecție suplimentară.
Asigurați-vă că selectați Actualizare automată dacă remediază o casetă Vulnerabilitate , astfel încât iThemes Security Pro să actualizeze automat un plugin sau o temă dacă remediază o vulnerabilitate găsită de Site Scanner.
3. Obțineți o alertă prin e-mail când iThemes Security Pro constată o vulnerabilitate cunoscută pe site-ul dvs.
După ce ați activat Programarea scanării site-ului, accesați setările Centrului de notificări ale pluginului. Pe acest ecran, derulați la secțiunea Rezultate scanare site .
Faceți clic pe casetă pentru a activa e-mailul de notificare , apoi faceți clic pe butonul Salvare setări .
Acum, în timpul oricărei scanări programate a site-ului, veți primi un e-mail dacă iThemes Security Pro descoperă orice vulnerabilități cunoscute. E-mailul va arăta cam așa.
Obțineți iThemes Security Pro și odihniți-vă puțin mai ușor în seara asta
iThemes Security Pro, pluginul nostru de securitate WordPress, oferă peste 50 de moduri de a vă securiza și proteja site-ul împotriva vulnerabilităților comune de securitate WordPress. Cu WordPress, autentificarea în doi factori, protecția forței brute, aplicarea puternică a parolei și multe altele, puteți adăuga un strat suplimentar de securitate site-ului dvs. web.
Obțineți iThemes Security Pro
În fiecare săptămână, Michael realizează Raportul de vulnerabilitate WordPress pentru a vă menține site-urile în siguranță. În calitate de manager de produs la iThemes, el ne ajută să continuăm să îmbunătățim gama de produse iThemes. Este un tocilar uriaș și iubește să învețe despre toate lucrurile tehnice, vechi și noi. Îl poți găsi pe Michael stând cu soția și fiica sa, citind sau ascultând muzică atunci când nu funcționează.
