Raportul Vulnerabilității WordPress: octombrie 2021, partea 1

Publicat: 2021-10-06

Pluginurile și temele vulnerabile sunt motivul # 1 pentru care site-urile WordPress sunt piratate. Raportul săptămânal despre vulnerabilitatea WordPress oferit de WPScan acoperă vulnerabilitățile recente ale plugin-ului, temei și nucleului WordPress și ce trebuie făcut dacă rulați unul dintre pluginurile sau temele vulnerabile de pe site-ul dvs. web.

Fiecare vulnerabilitate va avea un grad de severitate scăzut , mediu , ridicat sau critic . Divulgarea responsabilă și raportarea vulnerabilităților este o parte integrantă a păstrării în siguranță a comunității WordPress.

Vă rugăm să împărtășiți această postare prietenilor dvs. pentru a vă ajuta să scoateți cuvântul și să faceți WordPress mai sigur pentru toată lumea.

Conținutul raportului din 6 octombrie 2021
    Doriți acest raport livrat în căsuța de e-mail în fiecare săptămână?
    Abonați-vă la e-mailul săptămânal

    Vulnerabilități de bază WordPress

    Cea mai recentă versiune a WordPress core 5.8.1 a fost lansată ca versiune de securitate și întreținere. Ca cea mai bună practică, asigurați-vă întotdeauna că rulați cea mai recentă versiune a nucleului WordPress!

    Vulnerabilități ale pluginului WordPress

    În această secțiune, au fost dezvăluite cele mai recente vulnerabilități ale pluginului WordPress. Fiecare listă de pluginuri include tipul de vulnerabilitate, numărul versiunii dacă este corecționat și gradul de severitate.

    1. Instrumente WP DSGVO

    Plugin: Instrumente WP DSGVO
    Vulnerabilitate : Actualizarea setărilor pluginului neautentificat la scripturi stocate pe mai multe site-uri
    Patched în versiunea : 3.1.24 - plugin închis
    Scorul de severitate : ridicat

    Această vulnerabilitate a fost reparată, dar pluginul a fost închis. Ar trebui să găsiți un înlocuitor cât mai curând posibil.

    2. Citate minunate

    Plugin: Citate minunate
    Vulnerabilitate : Administrare + Stocare între site-uri
    Corectat în versiune : Nicio corecție cunoscută - plugin închis
    Scorul de severitate : scăzut

    Această vulnerabilitate NU a fost reparată. Dezinstalați și ștergeți pluginul până când se eliberează un patch.

    3. Depanare WP

    Plugin: Depanare WP
    Vulnerabilitate : Actualizarea setărilor pluginului neautentificat
    Patched în versiunea : 2.11.0
    Scorul de severitate : mediu

    Vulnerabilitatea este reparată, deci ar trebui să actualizați la versiunea 2.11.0.

    4. Verificați și înregistrați e-mailul

    Plugin: Verificați și înregistrați e-mailul
    Vulnerabilitate : injecții Admin + SQL
    Patched în versiunea : 1.0.3
    Scorul de severitate : mediu

    Vulnerabilitatea este reparată, deci ar trebui să actualizați la versiunea 1.0.3.

    5. Permalink Manager Lite

    Plugin: Permalink Manager Lite
    Vulnerabilitate : Administrare + Injecție SQL
    Patched în versiunea : 2.2.13.1
    Scorul de severitate : mediu

    Vulnerabilitatea este reparată, deci ar trebui să actualizați la versiunea 2.2.13.1.

    6. WooCommerce Product Table Lite

    Plugin: WooCommerce Product Table Lite
    Vulnerabilitate : Scripturi între site-uri reflectate
    Patched în versiunea : 2.4.0
    Scorul de severitate : mediu

    Vulnerabilitatea este reparată, deci ar trebui să actualizați la versiunea 2.4.0.

    7. WP Table Builder

    Plugin: WP Table Builder
    Vulnerabilitate : Scripturi între site-uri reflectate
    Patched în versiunea : 1.3.10
    Scorul de severitate : ridicat

    Vulnerabilitatea este reparată, deci ar trebui să actualizați la versiunea 1.3.10.

    8. Visual Form Builder

    Plugin: Visual Form Builder
    Vulnerabilitate : Administrare + Stocare între site-uri
    Patched în versiunea : 3.0.4
    Scorul de severitate : scăzut

    Vulnerabilitatea este reparată, deci ar trebui să actualizați la versiunea 3.0.4.

    9. NinjaForms

    Plugin: NinjaForms
    Vulnerabilitate: Administrare + Stocare între site-uri
    Patched în versiunea : 3.5.8.2
    Scorul de severitate : scăzut

    Vulnerabilitatea este reparată, deci ar trebui să actualizați la versiunea 3.5.8.2.

    10. Wappointment

    Plugin: Wappointment
    Vulnerabilitate : Scripturi cross-site stocate neautentificate
    Patched în versiunea : 2.2.5
    Scorul de severitate : ridicat

    Vulnerabilitatea este reparată, deci ar trebui să actualizați la versiunea 2.2.5.

    11. Numărătoare inversă și CountUp, cronometre de vânzări WooCommerce

    Plugin: Countdown și CountUp, temporizatoare de vânzări WooCommerce
    Vulnerabilitate : CSRF către scripturi cross-site stocate
    Patched în versiunea : 1.5.8
    Scorul de severitate : ridicat

    Vulnerabilitatea este reparată, deci ar trebui să actualizați la versiunea 1.5.8.

    11. uListare

    Plugin: uListing
    Vulnerabilitate : Actualizare setări prin CSRF
    Patched în versiunea : 2.0.6
    Scorul de severitate : mediu

    Vulnerabilitatea este reparată, deci ar trebui să actualizați la versiunea 2.0.6.

    Plugin: uListing
    Vulnerabilitate : injecție SQL neautentificată
    Patched în versiunea : 2.0.4
    Scorul de severitate : ridicat

    Vulnerabilitatea este reparată, deci ar trebui să actualizați la versiunea 2.0.4.

    Plugin: uListing
    Vulnerabilitate : escalada neautentificată a privilegiilor
    Patched în versiunea : 2.0.6
    Scorul de severitate : mediu

    Vulnerabilitatea este reparată, deci ar trebui să actualizați la versiunea 2.0.6.

    Plugin: uListing
    Vulnerabilitate : Modificați rolurile utilizatorilor prin CSRF
    Patched în versiunea : 2.0.6
    Scorul de severitate : mediu

    Vulnerabilitatea este reparată, deci ar trebui să actualizați la versiunea 2.0.6.

    Plugin: uListing
    Vulnerabilitate : CSRF multiplu
    Patched în versiunea : 2.0.6
    Scorul de severitate : mediu

    Vulnerabilitatea este reparată, deci ar trebui să actualizați la versiunea 2.0.6.

    Plugin: uListing
    Vulnerabilitate : Scripturi între site-uri reflectate
    Patched în versiunea : 2.0.6
    Scorul de severitate : mediu

    Vulnerabilitatea este reparată, deci ar trebui să actualizați la versiunea 2.0.6.

    Plugin: uListing
    Vulnerabilitate : IDOR autentificat
    Patched în versiunea : 2.0.6
    Scorul de severitate : mediu

    Vulnerabilitatea este reparată, deci ar trebui să actualizați la versiunea 2.0.6.

    12. Modul de întreținere YITH

    Plugin: YITH Maintenance Mode
    Vulnerabilitate : Administrator multiplu + Scripturi între site-uri stocate
    Patched în versiunea : 1.4.0
    Scorul de severitate : scăzut

    Vulnerabilitatea este reparată, deci ar trebui să actualizați la versiunea 1.4.0.

    Plugin: YITH Maintenance Mode
    Vulnerabilitate : Administrare + Stocare între site-uri
    Patched în versiunea : 1.3.8
    Scorul de severitate : scăzut

    Vulnerabilitatea este reparată, deci ar trebui să actualizați la versiunea 1.3.8.

    13. Formulare de contact WordPress de Cimatti

    Plugin: Formulare de contact WordPress de Cimatti
    Vulnerabilitate : Administrare + Stocare între site-uri
    Patched în versiunea : 1.4.12
    Scorul de severitate : scăzut

    Vulnerabilitatea este reparată, deci ar trebui să actualizați la versiunea 1.4.12.

    14. Etichete OG

    Plugin: etichete OG
    Vulnerabilitate : Actualizarea setărilor pluginului prin CSRF
    Patched în versiunea : 2.0.2
    Scorul de severitate : mediu

    Vulnerabilitatea este reparată, deci ar trebui să actualizați la versiunea 2.0.2.

    15. Director de afaceri Conexiuni

    Plugin: Director de afaceri Conexiuni
    Vulnerabilitate : Administrare + Stocare între site-uri
    Patched în versiunea : 10.4.3
    Scorul de severitate : scăzut

    Vulnerabilitatea este reparată, deci ar trebui să actualizați la versiunea 10.4.3.

    16. Preloader plat

    Plugin: Preloader plat
    Vulnerabilitate : Administrare + Stocare între site-uri
    Patched în versiunea : 1.5.5
    Scorul de severitate : mediu

    Vulnerabilitatea este reparată, deci ar trebui să actualizați la versiunea 1.5.5.

    Plugin: Preloader plat
    Vulnerabilitate : CSRF către scripturi cross-site stocate
    Patched în versiunea : 1.54
    Scorul de severitate : ridicat

    Vulnerabilitatea este reparată, deci ar trebui să actualizați la versiunea 1.5.4.

    17. Cool Cloud Tag

    Plugin: Cloud de etichete minunat
    Vulnerabilitate : Contribuitor + Scripturi între site-uri stocate
    Patched în versiunea : 2.26
    Scorul de severitate : mediu

    Vulnerabilitatea este reparată, deci ar trebui să actualizați la versiunea 2.26.

    18. subConstrucție

    Plugin: underConstruction
    Vulnerabilitate : Scripturi între site-uri reflectate
    Patched în versiunea : 1.19
    Scorul de severitate : ridicat

    Vulnerabilitatea este reparată, deci ar trebui să actualizați la versiunea 1.19.

    19. Meniu restaurant de la MotoPress

    Plugin: Meniu restaurant de MotoPress
    Vulnerabilitate : Scripturi autentificate stocate pe site-uri încrucișate
    Corectat în versiune : Nicio corecție cunoscută - plugin închis
    Scorul de severitate : scăzut

    Această vulnerabilitate NU a fost reparată. Acest plugin a fost închis începând cu 20 septembrie 2021. Dezinstalați și ștergeți.

    20. AutomatorWP

    Plugin: AutomatorWP
    Vulnerabilitate : lipsă de autorizare și escaladare de privilegii
    Patched în versiunea : 1.7.6
    Scorul de severitate : mediu

    Vulnerabilitatea este reparată, deci ar trebui să actualizați la versiunea 1.7.6.

    21. WP Reactions Lite

    Plugin: WP Reactions Lite
    Vulnerabilitate : Scripturi autentificate stocate pe site-uri încrucișate
    Patched în versiunea : 1.3.6
    Scorul de severitate : scăzut

    Vulnerabilitatea este reparată, deci ar trebui să actualizați la versiunea 1.3.6.

    22. Listă elegantă de prețuri

    Plugin: Listă elegantă de prețuri
    Vulnerabilitate : Abonat + Încărcare de imagine arbitrară
    Patched în versiunea : 6.9.1
    Scorul de severitate : mediu

    Vulnerabilitatea este reparată, deci ar trebui să actualizați la versiunea 6.9.1.

    Plugin: Listă elegantă de prețuri
    Vulnerabilitate : Încărcare de imagini arbitrare neautentificată
    Patched în versiunea : 6.9.0
    Scorul de severitate : mediu

    Vulnerabilitatea este reparată, deci ar trebui să actualizați la versiunea 6.9.0.

    23 Icoane sociale ușoare

    Plugin: Icoane sociale ușoare
    Vulnerabilitate : Scripturi între site-uri reflectate
    Patched în versiunea : 3.0.9
    Scorul de severitate : ridicat

    Vulnerabilitatea este reparată, deci ar trebui să actualizați la versiunea 3.0.9.

    Plugin: Icoane sociale ușoare
    Vulnerabilitate : Scripturi între site-uri reflectate
    Patched în versiunea : 3.1.3
    Scorul de severitate : ridicat

    Vulnerabilitatea este reparată, deci ar trebui să actualizați la versiunea 3.1.3.

    24. WPeMatico RSS Feed Fetcher

    Plugin: WPeMatico RSS Feed Fetcher
    Vulnerabilitate : Administrare + Stocare între site-uri
    Patched în versiunea : 2.6.12
    Scorul de severitate : scăzut

    Vulnerabilitatea este reparată, deci ar trebui să actualizați la versiunea 2.6.12.

    25. WordPress Download Manager

    Plugin: WordPress Download Manager
    Vulnerabilitate : Administrare + Stocare între site-uri
    Patched în versiunea : 3.2.16
    Scorul de severitate : scăzut

    Vulnerabilitatea este reparată, deci ar trebui să actualizați la versiunea 3.2.16.

    26. Calendarul evenimentelor moderne Lite

    Plugin: Calendar de evenimente moderne Lite
    Vulnerabilitate : Scripturi autentificate stocate pe site-uri încrucișate
    Patched în versiunea : 5.22.3
    Scorul de severitate : scăzut

    Vulnerabilitatea este reparată, deci ar trebui să actualizați la versiunea 5.22.3.

    27. Credova_Financial

    Plugin: Credova_Financial
    Vulnerabilitate : dezvăluirea informațiilor sensibile
    Patched în versiunea : 1.4.9
    Scorul de severitate : mediu

    Vulnerabilitatea este reparată, deci ar trebui să actualizați la versiunea 1.4.9.

    28. JS Job Manager

    Plugin: JS Job Manager
    Vulnerabilitate : instalarea / activarea pluginului arbitrar neautentificat
    Corectat în versiune : Nicio corecție cunoscută - plugin închis
    Scorul de severitate : critic

    Această vulnerabilitate NU a fost reparată. Acest plugin a fost închis începând cu 30 septembrie 2021. Dezinstalați și ștergeți.

    29. Evenimente ușoare

    Plugin: Evenimente ușoare
    Vulnerabilitate : CSRF multiplu către scripturi cross-site stocate și ștergere de evenimente
    Patched în versiunea : 1.5.50
    Scorul de severitate : ridicat

    Vulnerabilitatea este reparată, deci ar trebui să actualizați la versiunea 1.5.50.

    30. Stripe Pentru WooCommerce

    Plugin: Stripe pentru WooCommerce
    Vulnerabilitate : lipsesc controalele de autorizare la deturnarea contului financiar
    Patched în versiunea : 3.3.10
    Scorul de severitate : mediu

    Vulnerabilitatea este reparată, deci ar trebui să actualizați la versiunea 3.3.10.

    Cum să vă protejați site-ul WordPress de pluginuri și teme vulnerabile

    După cum puteți vedea din acest raport, o mulțime de noi vulnerabilități ale plugin-ului și temei WordPress sunt dezvăluite în fiecare săptămână. Știm că poate fi dificil să rămâneți la curent cu fiecare dezvăluire a vulnerabilității raportate, astfel încât pluginul iThemes Security Pro face ușor să vă asigurați că site-ul dvs. nu rulează o temă, un plugin sau o versiune de bază WordPress cu o vulnerabilitate cunoscută.

    1. Porniți iThemes Security Pro Site Scanner

    Site Scanner-ul pluginului iThemes Security Pro scanează motivul # 1 pentru care site-urile WordPress sunt piratate: pluginuri și teme învechite cu vulnerabilități cunoscute. Site Scanner verifică site-ul dvs. pentru vulnerabilități cunoscute și aplică automat un patch dacă este disponibil.

    Pentru a activa scanarea site-ului la noile instalări, navigați la fila Verificare site din meniul Caracteristici din plugin și faceți clic pe comutare pentru a activa scanarea site - ului .

    Această imagine are un atribut alt gol; numele său de fișier este enable-site-scan-1-1024x519.png

    Pentru a declanșa o scanare manuală a site-ului, faceți clic pe butonul Scanare acum de pe cardul de bord Site Security Scan.

    Această imagine are un atribut alt gol; numele său de fișier este Site-Scans-Security-Card.png

    Dacă Scanarea site-ului detectează o vulnerabilitate, faceți clic pe linkul de vulnerabilitate pentru a vizualiza pagina de detalii.

    Această imagine are un atribut alt gol; numele său de fișier este vulnerabilități-detalii-pagină-1024x580.png

    În pagina vulnerabilității Site Scan, veți vedea dacă există o remediere disponibilă pentru vulnerabilitate. Dacă există un patch disponibil, puteți face clic pe butonul Actualizare plugin pentru a aplica remedierea pe site-ul dvs. web.

    2. Activați Gestionarea versiunilor la Actualizare automată dacă remediați vulnerabilitatea

    Funcția de gestionare a versiunilor din iThemes Security Pro se integrează cu scanarea site-ului pentru a vă proteja site-ul atunci când software-ul învechit nu este actualizat suficient de rapid. Chiar și cele mai puternice măsuri de securitate vor eșua dacă rulați software vulnerabil pe site-ul dvs. web. Aceste setări vă ajută să vă protejați site-ul cu opțiuni de actualizare la versiuni noi în mod automat, dacă există o vulnerabilitate cunoscută și un patch este disponibil.

    Din pagina Setări din iThemes Security Pro, navigați la ecranul Caracteristici. Faceți clic pe fila Verificare site. De aici, utilizați comutatorul pentru a activa gestionarea versiunilor. Folosind setul de setări, puteți configura și mai multe setări, inclusiv modul în care doriți ca iThemes Security Pro să gestioneze actualizările la WordPress, pluginuri, teme și protecție suplimentară.

    Asigurați-vă că selectați Actualizare automată dacă remediază o casetă Vulnerabilitate , astfel încât iThemes Security Pro să actualizeze automat un plugin sau o temă dacă remediază o vulnerabilitate găsită de Site Scanner.

    Gestionarea versiunii iThemes Security Pro

    3. Obțineți o alertă prin e-mail când iThemes Security Pro constată o vulnerabilitate cunoscută pe site-ul dvs.

    După ce ați activat Programarea scanării site-ului, accesați setările Centrului de notificări ale pluginului. Pe acest ecran, derulați la secțiunea Rezultate scanare site .

    Această imagine are un atribut alt gol; numele său de fișier este site-scan-results-1024x550.jpg

    Faceți clic pe casetă pentru a activa e-mailul de notificare , apoi faceți clic pe butonul Salvare setări .

    Acum, în timpul oricărei scanări programate a site-ului, veți primi un e-mail dacă iThemes Security Pro descoperă orice vulnerabilități cunoscute. E-mailul va arăta cam așa.

    rezultatele scanării site-ului

    Obțineți iThemes Security Pro și odihniți-vă puțin mai ușor în seara asta

    iThemes Security Pro, pluginul nostru de securitate WordPress, oferă peste 50 de moduri de a vă securiza și proteja site-ul împotriva vulnerabilităților comune de securitate WordPress. Cu WordPress, autentificarea în doi factori, protecția forței brute, aplicarea puternică a parolei și multe altele, puteți adăuga straturi suplimentare de securitate site-ului dvs. web.

    • Scaner de site pentru vulnerabilități de pluginuri și teme
    • Tabloul de bord de securitate al site-ului în timp real
    • Detectarea modificării fișierului
    • Jurnalele de securitate WordPress
    • Dispozitive de încredere
    • reCAPTCHA
    • Protecție împotriva forței brute
    • Autentificare cu doi factori
    • Legături de autentificare magice
    • Privilegiul escaladării
    • Verificarea și refuzul parolelor compromise

    Obțineți iThemes Security Pro