Raportul Vulnerabilității WordPress: august 2021, partea 3

Pluginurile și temele vulnerabile sunt motivul # 1 pentru care site-urile WordPress sunt piratate. Raportul săptămânal despre vulnerabilitatea WordPress oferit de WPScan acoperă vulnerabilitățile recente ale plugin-ului, temei și nucleului WordPress și ce trebuie făcut dacă rulați unul dintre pluginurile sau temele vulnerabile de pe site-ul dvs. web.

Fiecare vulnerabilitate va avea un grad de severitate scăzut , mediu , ridicat sau critic . Divulgarea responsabilă și raportarea vulnerabilităților este o parte integrantă a păstrării în siguranță a comunității WordPress.

Fiind unul dintre cele mai mari rapoarte de vulnerabilitate WordPress de până acum, vă rugăm să împărtășiți această postare prietenilor dvs. pentru a vă ajuta să scoateți cuvântul și să faceți WordPress mai sigur pentru toată lumea.

Vulnerabilități de bază WordPress

1. Curățare autentificare

Plugin: Autentificare curată
Vulnerabilitate : Scripturi între site-uri reflectate
Patched în versiunea : 1.12.6.4
Scorul de severitate : mediu

2. SliceWP

Plugin: SliceWP
Vulnerabilitate : Scripturi încrucișate reflectate (XSS)
Patched în versiunea : 1.0.46
Scorul de severitate : ridicat

3. WordPress Download Manager

Plugin: WordPress Download Manager
Vulnerabilitate : Actualizare setare șablon e-mail prin CSRF
Patched în versiunea : 3.2.13
Scorul de severitate : mediu

4. SpeakOut! Petiții prin e-mail

Plugin: SpeakOut! Petiții prin e-mail
Vulnerabilitate : Scripturi între site-uri reflectate
Patched în versiunea : 2.13.3
Scorul de severitate : ridicat

5. Recenzii site

Plugin: Recenzii site
Vulnerabilitate : XSS stocat autentificat
Patched în versiunea : 5.13.1
Scorul de severitate : scăzut

6. Tutor LMS

Plugin: Tutor LMS
Vulnerabilitate : Scripturi între site-uri reflectate
Patched în versiunea : 1.9.6
Scorul de severitate : ridicat

7. Bara de notificare WPFront

Plugin: Bara de notificare WPFront
Vulnerabilitate : XSS stocat autentificat
Patched în versiunea : 2.1.08087
Scorul de severitate : scăzut

8. Form Builder

Plugin: Form Builder
Vulnerabilitate : Scripturi încrucișate reflectate (XSS)
Patched în versiunea : 1.9.8.5
Scorul de severitate : ridicat

Plugin: Form Builder
Vulnerabilitate : Scripturi cross-site stocate autentificate
Patched în versiunea : 1.9.8.4
Scorul de severitate : scăzut

9. Backup WPvivid

Plugin: Backup WPvivid
Vulnerabilitate : Scripturi între site-uri reflectate
Patched în versiunea : 0.9.56
Scorul de severitate : ridicat

10. AddToAny

Plugin: AddToAny
Vulnerabilitate : XSS stocat autentificat
Patched în versiunea : 1.7.46
Scorul de severitate : scăzut

11. Opriți securitatea spamului

Plugin: Opriți securitatea spamului
Vulnerabilitate : XSS stocat autentificat
Patched în versiunea : 2021.18
Scorul de severitate : scăzut

12. Cuvinte cheie și Meta

Plugin: Cuvinte cheie și Meta
Vulnerabilitate : CSRF la stocarea de scripturi cross-site (XSS)
Corectat în versiune : Nicio remediere cunoscută
Scorul de severitate : ridicat

13. Titan Framework

Plugin: Titan Framework
Vulnerabilitate : Scripturi încrucișate reflectate (XSS)
Corectat în versiune : Nicio remediere cunoscută
Scorul de severitate : ridicat

Afectează pluginurile:

• 4k-icon-fonts-for-visual-composer - Nicio remediere cunoscută - plugin închis
• adblock-notification-by-bweb - Nicio remediere cunoscută
• affiliate-pro - Nicio corecție cunoscută - plugin închis
• amp-extensions - Nicio remediere cunoscută
• aoi-tori - Nicio remediere cunoscută
• awesome-support - Nicio remediere cunoscută
• betteroptin - Nicio corecție cunoscută - plugin închis
• border-loading-bar - Nicio remediere cunoscută
• catchers-helpdesk - Nicio remediere cunoscută
• categorii-galerie - Nicio remediere cunoscută
• categories-gallery-woocommerce - Nicio remediere cunoscută
• cf7-customizer - Nicio remediere cunoscută
• clinicwp-core - Nicio remediere cunoscută
• cool-facebook-page-feed-timeline - Nicio remediere cunoscută - plugin închis
• custom-scroll-bar-designer - Nicio remediere cunoscută
• custom-text-selection-colors - Nicio remediere cunoscută
• disable-image-click-right - Nicio remediere cunoscută
• easy-gallery-slideshow - Nicio remediere cunoscută
• easy-google-map - Nicio remediere cunoscută
• galerie ușor justificată - Nicio remediere cunoscută
• email-my-posts - Nicio remediere cunoscută
• exit-popup-show - Nicio remediere cunoscută
• bloc-widget-căutare-zbor - Nicio remediere cunoscută
• pictograme-cu-link-widget - Nicio remediere cunoscută - plugin închis
• icustomizer - Nicio remediere cunoscută
• live-chat-facebook-fanpage - Nicio remediere cunoscută
• media-mirror - Nicio remediere cunoscută
• mobile-menu - Nicio remediere cunoscută
• popup-modal-for-youtube - Nicio remediere cunoscută
• project-app - Nicio remediere cunoscută
• seatgeek-affiliate-tickets - Nicio remediere cunoscută
• seo-dashboard-by-gutewebsites-de - Nicio remediere cunoscută
• share-woocommerce-email - Nicio remediere cunoscută
• simple-behace-portfolio - Nicio remediere cunoscută
• stele-meniu - Nicio corecție cunoscută - plugin închis
• station-pro - Nicio remediere cunoscută
• sticky-related-posts - Nicio corecție cunoscută - plugin închis
• tcs3 - Nicio remediere cunoscută
• template-events-calendar - Nicio remediere cunoscută
• total-sales-for-woocommerce - Nicio remediere cunoscută
• tr-easy-google-analytics - Nicio remediere cunoscută - plugin închis
• venture-event-manager - Nicio remediere cunoscută
• w3s-cf7-zoho - Nicio remediere cunoscută
• webhotelier - Nicio remediere cunoscută
• woo-Availability-date - Nicio remediere cunoscută
• woo-whatsapp-request-quote - Nicio remediere cunoscută - plugin închis
• woosaleskit-bar - Nicio corecție cunoscută - plugin închis
• yandex-money-button - Nicio remediere cunoscută

14. WP Fusion Lite

Plugin: WP Fusion Lite
Vulnerabilitate : CSRF la ștergerea datelor
Patched în versiunea : 3.37.30
Scorul de severitate : mediu

Plugin: WP Fusion Lite
Vulnerabilitate : Scripturi încrucișate reflectate (XSS)
Patched în versiunea : 3.37.30
Scorul de severitate : ridicat

Plugin: WP Fusion Lite
Vulnerabilitate : Scripturi încrucișate reflectate (XSS)
Patched în versiunea : 3.37.31
Scorul de severitate : ridicat

15. Blocați și opriți roboții răi

Plugin: Blocați și opriți roboții răi
Vulnerabilitate : injecții SQL autentificate
Patched în versiunea : 6.60
Scorul de severitate : mediu

16. Calendarul de rezervări WP Simple

Plugin: Calendar de rezervări WP Simple
Vulnerabilitate : injecții SQL autentificate
Patched în versiunea : 2.0.6
Scorul de severitate : mediu

17. Abonamente plătite pentru membri

Plugin: Abonamente plătite pentru membri
Vulnerabilitate : injecții SQL autentificate
Patched în versiunea : 2.4.2
Scorul de severitate : mediu

18. Favicon de RealFaviconGenerator

Plugin: Favicon de RealFaviconGenerator
Vulnerabilitate : Scripturi încrucișate reflectate (XSS)
Patched în versiunea : 1.3.22
Scorul de severitate : ridicat

19. Alipay

Plugin: Alipay
Vulnerabilitate : injecție SQL autentificată
Corectat în versiune : Nicio remediere cunoscută
Scorul de severitate : mediu

20. Cashtomer

Plugin: Cashtomer
Vulnerabilitate : injecție SQL autentificată
Corectat în versiune : Nicio remediere cunoscută
Scorul de severitate : mediu

21. Calitatea de membru WordPress SwiftCloud.io

Plugin: Calitate de membru WordPress SwiftCloud.io
Vulnerabilitate : injecție SQL autentificată
Corectat în versiune : Nicio remediere cunoscută
Scorul de severitate : mediu

22. Calitate de membru WordPress SwiftCloud.io

Plugin: Marcator de comentarii
Vulnerabilitate : injecție SQL autentificată
Corectat în versiune : Nicio remediere cunoscută
Scorul de severitate : mediu

23. Manager de mărturii ușoare

Plugin: Easy Testimonial Manager
Vulnerabilitate : injecție SQL autentificată
Corectat în versiune : Nicio remediere cunoscută
Scorul de severitate : mediu

24. Încorporați videoclipul Youtube

Plugin: Încorporați video Youtube
Vulnerabilitate : injecție SQL autentificată
Corectat în versiune : Nicio remediere cunoscută
Scorul de severitate : mediu

25. Maestru pentru chestionare și sondaje

Plugin: Quiz And Survey Master
Vulnerabilitate : Scripturi între site-uri reflectate
Patched în versiunea : 7.1.14
Scorul de severitate : ridicat

26. Rezervați programare online

Plugin: Rezervați o întâlnire online
Vulnerabilitate : Scripturi cross-site stocate autentificate (XSS)
Patched în versiunea : 1.39
Scorul de severitate : scăzut

27. Google Authenticator al miniOrange

Plugin: Google Authenticator al miniOrange
Vulnerabilitate : Scripturi între site-uri reflectate
Patched în versiunea : 5.4.40
Scorul de severitate : ridicat

28. Autentificare cu doi factori

Plugin: autentificare cu doi factori
Vulnerabilitate : Scripturi între site-uri reflectate
Patched în versiunea : 1.0.8
Scorul de severitate : ridicat

29. Ora de rugăciune zilnică

Plugin: Ora de rugăciune zilnică
Vulnerabilitate : XSS stocat autentificat
Patched în versiunea : 2021.08.10
Scorul de severitate : scăzut

30. Generator de vizualizare post personalizat

Plugin: Generator de vizualizare post personalizat
Vulnerabilitate : Scripturi între site-uri reflectate
Corectat în versiune : Nicio remediere cunoscută
Scorul de severitate : ridicat

31. Player video FV Flowplayer

Plugin: FV Flowplayer Video Player
Vulnerabilitate : Scripturi între site-uri reflectate
Patched în versiunea : 7.5.3.727
Scorul de severitate : ridicat

32. Galerie de imagini

Plugin: Galerie de imagini
Vulnerabilitate : XSS stocat autentificat
Corectat în versiune : Nicio remediere cunoscută
Scorul de severitate : scăzut

33. Manager licență software

Plugin: Software License Manager
Vulnerabilitate : Scripturi între site-uri reflectate
Patched în versiunea : 4.4.8 (Plugin închis)
Scorul de severitate : ridicat

34. Pe pagină Adăugați la cap

Plugin: pe pagină Adăugare la cap
Vulnerabilitate : XSS stocat autentificat
Corectat în versiune : Nicio remediere cunoscută
Scorul de severitate : scăzut

Plugin: pe pagină Adăugare la cap
Vulnerabilitate : CSRF la XSS stocat
Patched în versiunea : 1.4.4 (Plugin închis)
Scorul de severitate : ridicat

35. Securimage-WP-Fixed

Plugin: Securimage-WP-Fixed
Vulnerabilitate : Scripturi încrucișate reflectate (XSS)
Corectat în versiune : Nicio remediere cunoscută
Scorul de severitate : ridicat

36. Export de imagini

Plugin: Export de imagini
Vulnerabilitate : traversare director
Corectat în versiune : Nicio remediere cunoscută
Scorul de severitate : critic

37. Glisor de text pentru conținut la postare

Plugin: glisor de conținut text la postare
Vulnerabilitate : Scripturi cross-site stocate autentificate (XSS)
Patched în versiunea : 6.9
Scorul de severitate : mediu

38. Generator formular de contact

Plugin: Generator de formulare de contact
Vulnerabilitate : Falsificare de cereri între mai multe site-uri (CSRF)
Corectat în versiune : Nicio remediere cunoscută
Scorul de severitate : ridicat

39. Calendar_plugin

Plugin: Calendar_plugin
Vulnerabilitate : Scripturi între site-uri reflectate
Corectat în versiune : Nicio remediere cunoscută
Scorul de severitate : ridicat

40. Adăugați Bara laterală

Plugin: Adăugați bara laterală
Vulnerabilitate : Scripturi între site-uri reflectate
Corectat în versiune : Nicio remediere cunoscută
Scorul de severitate : ridicat

41. Etichete SEO WP

Plugin: Etichete SEO WP
Vulnerabilitate : Scripturi între site-uri reflectate
Corectat în versiune : Nicio remediere cunoscută
Scorul de severitate : ridicat

42. Moova pentru WooCommerce

Plugin: Moova pentru WooCommerce
Vulnerabilitate : Scripturi între site-uri reflectate
Corectat în versiune : Nicio remediere cunoscută
Scorul de severitate : ridicat

43. jQuery Tagline Rotator

Plugin: jQuery Tagline Rotator
Vulnerabilitate : Scripturi între site-uri reflectate
Corectat în versiune : Nicio remediere cunoscută
Scorul de severitate : ridicat

44. Plugmatter Pricing Table Lite

Plugin: Plugmatter Pricing Table Lite
Vulnerabilitate : Scripturi între site-uri reflectate
Corectat în versiune : Nicio remediere cunoscută
Scorul de severitate : ridicat

45. Buletin informativ Popup simplu

Plugin: Buletin informativ Popup simplu
Vulnerabilitate : Scripturi între site-uri reflectate
Corectat în versiune : Nicio remediere cunoscută
Scorul de severitate : ridicat

46. ​​TypoFR

Plugin: TypoFR
Vulnerabilitate : Scripturi între site-uri reflectate
Corectat în versiune : Nicio remediere cunoscută
Scorul de severitate : ridicat

47. WP Songbook

Plugin: WP Songbook
Vulnerabilitate : Scripturi între site-uri reflectate
Corectat în versiune : Nicio remediere cunoscută
Scorul de severitate : ridicat

48. Relații de tip postare personalizate

Plugin: Relații personalizate de tip postare
Vulnerabilitate : Scripturi între site-uri reflectate
Corectat în versiune : Nicio remediere cunoscută
Scorul de severitate : ridicat

49. Apeluri video 2Way și chat aleatoriu

Plugin: apeluri video 2Way și chat aleatoriu
Vulnerabilitate : Scripturi între site-uri reflectate
Corectat în versiune : Nicio remediere cunoscută
Scorul de severitate : ridicat

50. Fântâna WP

Plugin: Fântâna WP
Vulnerabilitate : Scripturi între site-uri reflectate
Corectat în versiune : Nicio remediere cunoscută
Scorul de severitate : ridicat

51. Utilizarea mass-media

Plugin: Utilizare media
Vulnerabilitate : Scripturi între site-uri reflectate
Corectat în versiune : Nicio remediere cunoscută
Scorul de severitate : ridicat

52. Scribble Maps

Plugin: Scribble Maps
Vulnerabilitate : Scripturi între site-uri reflectate
Corectat în versiune : Nicio remediere cunoscută
Scorul de severitate : ridicat

53. Jocuri multiplayer

Plugin: Jocuri multiplayer
Vulnerabilitate : Scripturi între site-uri reflectate
Corectat în versiune : Nicio remediere cunoscută
Scorul de severitate : ridicat

54. Skaut bazar

Plugin: Skaut bazar
Vulnerabilitate : Scripturi între site-uri reflectate
Corectat în versiune : Nicio remediere cunoscută
Scorul de severitate : ridicat

55. Alerte prin e-mail inteligente

Plugin: Alerte prin e-mail inteligente
Vulnerabilitate : Scripturi între site-uri reflectate
Corectat în versiune : Nicio remediere cunoscută
Scorul de severitate : ridicat

56. Portofoliu simplu Behance

Plugin: Portofoliu simplu Behance
Vulnerabilitate : Scripturi între site-uri reflectate
Corectat în versiune : Nicio remediere cunoscută
Scorul de severitate : ridicat

Vulnerabilități ale temei WordPress

O notă privind dezvăluirea responsabilă

S-ar putea să vă întrebați de ce o vulnerabilitate ar fi dezvăluită dacă le oferă hackerilor un exploit de atac. Ei bine, este foarte obișnuit ca un cercetător în securitate să găsească și să raporteze în mod privat vulnerabilitatea dezvoltatorului de software.

Cu dezvăluirea responsabilă , raportul inițial al cercetătorului este făcut în mod privat dezvoltatorilor companiei care deține software-ul, dar cu acordul că detaliile complete vor fi publicate odată ce un patch a fost pus la dispoziție. Pentru vulnerabilitățile semnificative de securitate, ar putea exista o ușoară întârziere în dezvăluirea vulnerabilității, pentru a oferi mai multor oameni timp de corecție.

Cercetătorul de securitate poate oferi un termen limită pentru ca dezvoltatorul de software să răspundă la raport sau să furnizeze un patch. Dacă acest termen nu este respectat, atunci cercetătorul poate dezvălui în mod public vulnerabilitatea de a pune presiune pe dezvoltator să emită un patch.

Dezvăluirea publică a unei vulnerabilități și introducerea aparentă a unei vulnerabilități Zero-Day - un tip de vulnerabilitate care nu are patch și care este exploatată în sălbăticie - poate părea contraproductivă. Dar, este singura pârghie pe care o are un cercetător pentru a-l presiona pe dezvoltator să remedieze vulnerabilitatea.

Dacă un hacker ar descoperi vulnerabilitatea, ar putea folosi în liniște Exploit-ul și ar putea provoca daune utilizatorului final (acesta ești tu), în timp ce dezvoltatorul de software rămâne conținut la lăsarea vulnerabilității fără corecții. Project Zero de la Google are îndrumări similare atunci când vine vorba de dezvăluirea vulnerabilităților. Ei publică detaliile complete ale vulnerabilității după 90 de zile, indiferent dacă vulnerabilitatea a fost sau nu reparată.

Cum să vă protejați site-ul WordPress de pluginuri și teme vulnerabile

După cum puteți vedea din acest raport, o mulțime de noi vulnerabilități ale plugin-ului și temei WordPress sunt dezvăluite în fiecare săptămână. Știm că poate fi dificil să rămâneți la curent cu fiecare dezvăluire a vulnerabilității raportate, astfel încât pluginul iThemes Security Pro face ușor să vă asigurați că site-ul dvs. nu rulează o temă, un plugin sau o versiune de bază WordPress cu o vulnerabilitate cunoscută.

1. Porniți iThemes Security Pro Site Scanner

Site Scanner-ul pluginului iThemes Security Pro scanează motivul # 1 pentru care site-urile WordPress sunt piratate: pluginuri și teme învechite cu vulnerabilități cunoscute. Site Scanner verifică site-ul dvs. pentru vulnerabilități cunoscute și aplică automat un patch dacă este disponibil.

Pentru a activa scanarea site-ului la noile instalări, navigați la fila Verificare site din meniul Caracteristici din plugin și faceți clic pe comutare pentru a activa scanarea site - ului .

Pentru a declanșa o scanare manuală a site-ului, faceți clic pe butonul Scanare acum de pe cardul de bord Site Security Scan.

Dacă Scanarea site-ului detectează o vulnerabilitate, faceți clic pe linkul de vulnerabilitate pentru a vizualiza pagina de detalii.

În pagina vulnerabilității Site Scan, veți vedea dacă există o remediere disponibilă pentru vulnerabilitate. Dacă există un patch disponibil, puteți face clic pe butonul Actualizare plugin pentru a aplica remedierea pe site-ul dvs. web.

2. Activați Gestionarea versiunilor

Funcția de gestionare a versiunilor din iThemes Security Pro se integrează cu scanarea site-ului pentru a vă proteja site-ul atunci când software-ul învechit nu este actualizat suficient de rapid. Chiar și cele mai puternice măsuri de securitate vor eșua dacă rulați software vulnerabil pe site-ul dvs. web. Aceste setări vă ajută să vă protejați site-ul cu opțiuni de actualizare la versiuni noi în mod automat, dacă există o vulnerabilitate cunoscută și un patch este disponibil.

Din pagina Setări din iThemes Security Pro, navigați la ecranul Caracteristici. Faceți clic pe fila Verificare site. De aici, utilizați comutatorul pentru a activa gestionarea versiunilor. Folosind setul de setări, puteți configura și mai multe setări, inclusiv modul în care doriți ca iThemes Security Pro să gestioneze actualizările la WordPress, pluginuri, teme și protecție suplimentară.

Asigurați-vă că selectați Actualizare automată dacă remediază o casetă Vulnerabilitate , astfel încât iThemes Security Pro să actualizeze automat un plugin sau o temă dacă remediază o vulnerabilitate găsită de Site Scanner.

3. Obțineți o alertă prin e-mail când iThemes Security Pro constată o vulnerabilitate cunoscută pe site-ul dvs.

După ce ați activat Programarea scanării site-ului, accesați setările Centrului de notificări ale pluginului. Pe acest ecran, derulați la secțiunea Rezultate scanare site .

Faceți clic pe casetă pentru a activa e-mailul de notificare , apoi faceți clic pe butonul Salvare setări .

Acum, în timpul oricărei scanări programate a site-ului, veți primi un e-mail dacă iThemes Security Pro descoperă orice vulnerabilități cunoscute. E-mailul va arăta cam așa.

Obțineți iThemes Security Pro și odihniți-vă puțin mai ușor în seara asta

iThemes Security Pro, pluginul nostru de securitate WordPress, oferă peste 50 de moduri de a vă securiza și proteja site-ul împotriva vulnerabilităților comune de securitate WordPress. Cu WordPress, autentificarea în doi factori, protecția forței brute, aplicarea puternică a parolei și multe altele, puteți adăuga un strat suplimentar de securitate site-ului dvs. web.

Michael Moore

În fiecare săptămână, Michael realizează Raportul de vulnerabilitate WordPress pentru a vă menține site-urile în siguranță. În calitate de manager de produs la iThemes, el ne ajută să continuăm să îmbunătățim gama de produse iThemes. Este un tocilar uriaș și iubește să învețe despre toate lucrurile tehnice, vechi și noi. Îl poți găsi pe Michael stând cu soția și fiica sa, citind sau ascultând muzică atunci când nu funcționează.