Raportul Vulnerabilității WordPress: septembrie 2021, partea 2
Publicat: 2021-09-08Pluginurile și temele vulnerabile sunt motivul # 1 pentru care site-urile WordPress sunt piratate. Raportul săptămânal despre vulnerabilitatea WordPress oferit de WPScan acoperă vulnerabilitățile recente ale plugin-ului, temei și nucleului WordPress și ce trebuie făcut dacă rulați unul dintre pluginurile sau temele vulnerabile de pe site-ul dvs. web.
Fiecare vulnerabilitate va avea un grad de severitate scăzut , mediu , ridicat sau critic . Divulgarea responsabilă și raportarea vulnerabilităților este o parte integrantă a păstrării în siguranță a comunității WordPress.
Fiind unul dintre cele mai mari rapoarte de vulnerabilitate WordPress de până acum, vă rugăm să împărtășiți această postare prietenilor dvs. pentru a vă ajuta să scoateți cuvântul și să faceți WordPress mai sigur pentru toată lumea.
Vulnerabilități de bază WordPress
Vulnerabilități ale pluginului WordPress
În această secțiune, au fost dezvăluite cele mai recente vulnerabilități ale pluginului WordPress. Fiecare listă de pluginuri include tipul de vulnerabilitate, numărul versiunii dacă este corecționat și gradul de severitate.
1. Bloc de numărătoare inversă
Plugin: Blocare inversă
Vulnerabilitate : lipsă de autorizare în acțiunea AJAX
Patched în versiunea : 1.1.2
Scorul de severitate : mediu
2. Jurnal de activitate utilizator
Plugin: Jurnal de activitate utilizator
Vulnerabilitate : Scripturi între site-uri reflectate prin șir de interogări
Patched în versiunea : 1.4.7
Scorul de severitate : mediu
Plugin: Jurnal de activitate utilizator
Vulnerabilitate : Scripturi între site-uri reflectate
Patched în versiunea : 1.4.7
Scorul de severitate : ridicat
3. Notificare și conformitate pentru cookie-uri pentru GDPR / CCPA
Plugin: Notificare și conformitate pentru cookie-uri pentru GDPR / CCPA
Vulnerabilitate : Administrare + Stocare între site-uri
Patched în versiunea : 2.1.2
Scorul de severitate : scăzut
4. TranslatePress
Plugin: TranslatePress
Vulnerabilitate : Scripturi cross-site stocate autentificate
Patched în versiunea : 2.0.9
Scorul de severitate : scăzut
5. Statistica WP
Plugin: Statistica WP
Vulnerabilitate : Scripturi încrucișate reflectate (XSS)
Patched în versiunea : 13.1
Scorul de severitate : ridicat
6. CoolClock
Plugin: CoolClock
Vulnerabilitate : Contribuitor + Scripturi între site-uri stocate
Patched în versiunea : 4.3.5
Scorul de severitate : mediu
7. Mai multe plugin-uri din miniorange
Plugin: mai multe pluginuri din miniorange
Vulnerabilitate : Scripturi reflectate între site-uri prin appId
Patched în versiunea : 6.20.3
Scorul de severitate : ridicat
8. Addonuri Premium pentru Elementor
Plugin: Addonuri Premium pentru Elementor
Vulnerabilitate : Abonat + Actualizare opțiune de blog arbitrar
Patched în versiunea : 4.5.2
Scorul de severitate : ridicat
9. Memorie cache
Plugin: Memorie cache
Vulnerabilitate : Scripturi între site-uri reflectate
Patched în versiunea : 21.08.02
Scorul de severitate : ridicat
10. WooCommerce Zoho Integration - CRM, cărți, factură, inventar
Plugin: WooCommerce Zoho Integration - CRM, cărți, factură, inventar
Vulnerabilitate : mai multe plugin-uri de la avantajele CRM - Scripturi încrucișate reflectate
Patched în versiunea : 1.2.4
Severitate : mare
11. Integrare pentru WooCommerce și QuickBooks
Plugin: Integrare pentru WooCommerce și QuickBooks
Vulnerabilitate : mai multe plugin-uri de la avantajele CRM - Scripturi încrucișate reflectate
Patched în versiunea : 1.1.9
Severitate : mare
12. Gravity Forms Salesforce
Plugin: Gravity Forms Salesforce
Vulnerabilitate : mai multe plugin-uri de la avantajele CRM - Scripturi încrucișate reflectate
Patched în versiunea : 1.2.6
Severitate : mare
13. Gravity Forms Zoho CRM Add-on
Plugin: Gravity Forms Zoho CRM Add-on
Vulnerabilitate : mai multe plugin-uri de la avantajele CRM - Scripturi încrucișate reflectate
Patched în versiunea : 1.1.6
Severitate : mare
14. Gravity Forms HubSpot
Plugin: Gravity Forms HubSpot
Vulnerabilitate : mai multe plugin-uri de la avantajele CRM - Scripturi încrucișate reflectate
Patched în versiunea : 1.0.9
Severitate : mare
15. Integrarea WooCommerce Salesforce
Plugin: integrare WooCommerce Salesforce
Vulnerabilitate : mai multe plugin-uri de la avantajele CRM - Scripturi încrucișate reflectate
Patched în versiunea : 1.5.9
Severitate : mare
16. Gravity Forms Zendesk
Plugin: Gravity Forms Zendesk
Vulnerabilitate : mai multe plugin-uri de la avantajele CRM - Scripturi încrucișate reflectate
Patched în versiunea : 1.0.8
Severitate : mare
17. Plugin WP Infusionsoft WooCommerce
Plugin: Plugin WP Infusionsoft WooCommerce
Vulnerabilitate : mai multe plugin-uri de la avantajele CRM - Scripturi încrucișate reflectate
Patched în versiunea : 1.0.9
Severitate : mare
18. Integrare pentru formularul de contact 7 și ActiveCampaign
Plugin: Integrare pentru formularul de contact 7 și ActiveCampaign
Vulnerabilitate : mai multe plugin-uri de la avantajele CRM - Scripturi încrucișate reflectate
Patched în versiunea : 1.0.4
Severitate : mare
19. Integrare pentru HubSpot și WooCommerce
Plugin: Integrare pentru HubSpot și WooCommerce
Vulnerabilitate : mai multe plugin-uri de la avantajele CRM - Scripturi încrucișate reflectate
Patched în versiunea : 1.0.5
Severitate : mare
20. Gravity Forms FreshDesk Plugin
Plugin: Gravity Forms FreshDesk Plugin - plugin WordPress | WordPress.org
Vulnerabilitate : mai multe plugin-uri de la avantajele CRM - Scripturi încrucișate reflectate
Patched în versiunea : 1.2.9
Severitate : mare
21. Gravity Forms Dynamics CRM
Plugin: Gravity Forms Dynamics CRM
Vulnerabilitate : mai multe plugin-uri de la avantajele CRM - Scripturi încrucișate reflectate
Patched în versiunea : 1.0.8
Severitate : mare
22. Gravity Forms Constant Contact Plugin
Plugin: Gravity Forms Plugin de contact constant
Vulnerabilitate : mai multe plugin-uri de la avantajele CRM - Scripturi încrucișate reflectate
Patched în versiunea : 1.0.6
Severitate : mare
23. Integrare pentru Formele de Gravitate și Pipedrive
Plugin: Integrare pentru Gravity Forms și Pipedrive
Vulnerabilitate : mai multe plugin-uri de la avantajele CRM - Scripturi încrucișate reflectate
Patched în versiunea : 1.0.7
Severitate : mare
24. Gravitatea WP se formează inteligent
Plugin: WP Gravity Forms Insightly
Vulnerabilitate : mai multe plugin-uri de la avantajele CRM - Scripturi încrucișate reflectate
Patched în versiunea : 1.0.7
Severitate : mare
25. Dezinstalare WordPress
Plugin: Dezinstalare WordPress
Vulnerabilitate : Ștergerea WordPress prin CSRF
Corectat în versiune : Nicio remediere cunoscută
Severitate : mare
26. CF Geo Plugin
Plugin: CF Geo Plugin
Vulnerabilitate : Scripturi între site-uri reflectate
Patched în versiunea : 7.13.12
Severitate : mare
27. subConstrucție
Plugin: underConstruction
Vulnerabilitate : Scripturi între site-uri reflectate
Patched în versiunea : 1.19
Severitate : mare
28. DZS Zoomsounds
Plugin: DZS Zoomsounds
Vulnerabilitate : descărcare de fișiere arbitrare neautentificată
Patched în versiunea : 6.50
Severitate : mare
29. Prețuri și reduceri dinamice WooCommerce
Plugin: Prețuri dinamice și reduceri WooCommerce
Vulnerabilitate : setări neautentificate Import în XSS stocat
Patched în versiunea : 2.4.2
Severitate : mare
Plugin: Prețuri și reduceri dinamice WooCommerce
Vulnerabilitate : export de setări neautentificate
Patched în versiunea : 2.4.2
Severitate : medie
30. Manager licență software
Plugin: Software License Manager
Vulnerabilitate : Administrare + Stocare între site-uri
Patched în versiunea : 4.5.0
Severitate : scăzută
31. Orar și program de evenimente de MotoPress
Plugin: orar și program de evenimente de MotoPress
Vulnerabilitate : Autor + Scripturi între site-uri stocate
Patched în versiunea : 2.3.19
Severitate : medie
32. Icoane sociale ușoare
Plugin: Icoane sociale ușoare
Vulnerabilitate : Scripturi între site-uri reflectate
Patched în versiunea : 3.1.0
Severitate : mare
33. Donați cu QRCode
Plugin: donați cu QRCode
Vulnerabilitate : Scripturi cross-site stocate
Patched în versiunea : 1.4.5
Severitate : medie
Plugin: donați cu QRCode
Vulnerabilitate : Actualizarea setărilor pluginului prin CSRF
Corectat în versiune : Nicio remediere cunoscută
Severitate : medie
34. Calendarul evenimentelor XO
Plugin: Calendarul evenimentelor XO
Vulnerabilitate : Scripturi între site-uri reflectate
Patched în versiunea : 2.3.7
Severitate : mare
35. Watu Quizz
Plugin: Watu Quizz
Vulnerabilitate : XSS reflectat prin question-form.html.php
Patched în versiunea : 3.1.2.6
Severitate : mare
36. Gutenberg Template Library & Redux Framework
Plugin: Biblioteca de șabloane Gutenberg și cadru Redux
Vulnerabilitate : Contribuitor + Instalare plugin arbitrar și post ștergere
Patched în versiunea : 4.2.13
Severitate : mare
37. Galeria Miau
Plugin: Galeria Meow
Vulnerabilitate : Actualizare neautorizată a opțiunilor arbitrare prin API REST
Patched în versiunea : 4.2.0
Severitate : mare
Plugin: Galeria Meow
Vulnerabilitate : Contributor + Injecție SQL
Patched în versiunea : 4.1.9
Severitate : mare
38. WP Mapa Politico Espana
Plugin: WP Mapa Politico Espana
Vulnerabilitate : Scripturi cross-site stocate autentificate
Patched în versiunea : 3.7.0
Severitate : scăzută
39. Restricție de încărcare WP
Plugin: restricție de încărcare WP
Vulnerabilitate : lipsă control acces în getSelectedMimeTypesByRole
Patched în versiunea : 2.2.5
Severitate : medie
Plugin: restricție de încărcare WP
Vulnerabilitate : Controlul accesului lipsă în deleteCustomType
Patched în versiunea : 2.2.5
Severitate : medie
Plugin: restricție de încărcare WP
Vulnerabilitate : XSS stocat autentificat
Patched în versiunea : 2.2.5
Severitate : medie
Vulnerabilități ale temei WordPress
O notă privind dezvăluirea responsabilă
S-ar putea să vă întrebați de ce o vulnerabilitate ar fi dezvăluită dacă le oferă hackerilor un exploit de atac. Ei bine, este foarte obișnuit ca un cercetător în securitate să găsească și să raporteze în mod privat vulnerabilitatea dezvoltatorului de software.
Cu dezvăluirea responsabilă , raportul inițial al cercetătorului este făcut în mod privat dezvoltatorilor companiei care deține software-ul, dar cu acordul că detaliile complete vor fi publicate odată ce un patch a fost pus la dispoziție. Pentru vulnerabilitățile semnificative de securitate, ar putea exista o ușoară întârziere în dezvăluirea vulnerabilității, pentru a oferi mai multor oameni timp de corecție.
Cercetătorul de securitate poate oferi un termen limită pentru ca dezvoltatorul de software să răspundă la raport sau să furnizeze un patch. Dacă acest termen nu este respectat, atunci cercetătorul poate dezvălui în mod public vulnerabilitatea de a pune presiune pe dezvoltator să emită un patch.
Dezvăluirea publică a unei vulnerabilități și introducerea aparentă a unei vulnerabilități Zero-Day - un tip de vulnerabilitate care nu are patch și care este exploatată în sălbăticie - poate părea contraproductivă. Dar, este singura pârghie pe care o are un cercetător pentru a-l presiona pe dezvoltator să remedieze vulnerabilitatea.
Dacă un hacker ar descoperi vulnerabilitatea, ar putea folosi în liniște Exploit-ul și ar putea provoca daune utilizatorului final (acesta ești tu), în timp ce dezvoltatorul de software rămâne conținut la lăsarea vulnerabilității fără corecții. Project Zero de la Google are îndrumări similare atunci când vine vorba de dezvăluirea vulnerabilităților. Ei publică detaliile complete ale vulnerabilității după 90 de zile, indiferent dacă vulnerabilitatea a fost sau nu reparată.
Cum să vă protejați site-ul WordPress de pluginuri și teme vulnerabile
După cum puteți vedea din acest raport, o mulțime de noi vulnerabilități ale plugin-ului și temei WordPress sunt dezvăluite în fiecare săptămână. Știm că poate fi dificil să rămâneți la curent cu fiecare dezvăluire a vulnerabilității raportate, astfel încât pluginul iThemes Security Pro face ușor să vă asigurați că site-ul dvs. nu rulează o temă, un plugin sau o versiune de bază WordPress cu o vulnerabilitate cunoscută.
1. Porniți iThemes Security Pro Site Scanner
Site Scanner-ul pluginului iThemes Security Pro scanează motivul # 1 pentru care site-urile WordPress sunt piratate: pluginuri și teme învechite cu vulnerabilități cunoscute. Site Scanner verifică site-ul dvs. pentru vulnerabilități cunoscute și aplică automat un patch dacă este disponibil.
Pentru a activa scanarea site-ului la noile instalări, navigați la fila Verificare site din meniul Caracteristici din plugin și faceți clic pe comutare pentru a activa scanarea site - ului .
Pentru a declanșa o scanare manuală a site-ului, faceți clic pe butonul Scanare acum de pe cardul de bord Site Security Scan.
Dacă Scanarea site-ului detectează o vulnerabilitate, faceți clic pe linkul de vulnerabilitate pentru a vizualiza pagina de detalii.
În pagina vulnerabilității Site Scan, veți vedea dacă există o remediere disponibilă pentru vulnerabilitate. Dacă există un patch disponibil, puteți face clic pe butonul Actualizare plugin pentru a aplica remedierea pe site-ul dvs. web.
2. Activați Gestionarea versiunilor la Actualizare automată dacă remediați vulnerabilitatea
Funcția de gestionare a versiunilor din iThemes Security Pro se integrează cu scanarea site-ului pentru a vă proteja site-ul atunci când software-ul învechit nu este actualizat suficient de rapid. Chiar și cele mai puternice măsuri de securitate vor eșua dacă rulați software vulnerabil pe site-ul dvs. web. Aceste setări vă ajută să vă protejați site-ul cu opțiuni de actualizare la versiuni noi în mod automat, dacă există o vulnerabilitate cunoscută și un patch este disponibil.
Din pagina Setări din iThemes Security Pro, navigați la ecranul Caracteristici. Faceți clic pe fila Verificare site. De aici, utilizați comutatorul pentru a activa gestionarea versiunilor. Folosind setul de setări, puteți configura și mai multe setări, inclusiv modul în care doriți ca iThemes Security Pro să gestioneze actualizările la WordPress, pluginuri, teme și protecție suplimentară.
Asigurați-vă că selectați Actualizare automată dacă remediază o casetă Vulnerabilitate , astfel încât iThemes Security Pro să actualizeze automat un plugin sau o temă dacă remediază o vulnerabilitate găsită de Site Scanner.
3. Obțineți o alertă prin e-mail când iThemes Security Pro constată o vulnerabilitate cunoscută pe site-ul dvs.
După ce ați activat Programarea scanării site-ului, accesați setările Centrului de notificări ale pluginului. Pe acest ecran, derulați la secțiunea Rezultate scanare site .
Faceți clic pe casetă pentru a activa e-mailul de notificare , apoi faceți clic pe butonul Salvare setări .
Acum, în timpul oricărei scanări programate a site-ului, veți primi un e-mail dacă iThemes Security Pro descoperă orice vulnerabilități cunoscute. E-mailul va arăta cam așa.
Obțineți iThemes Security Pro și odihniți-vă puțin mai ușor în seara asta
iThemes Security Pro, pluginul nostru de securitate WordPress, oferă peste 50 de moduri de a vă securiza și proteja site-ul împotriva vulnerabilităților comune de securitate WordPress. Cu WordPress, autentificarea în doi factori, protecția forței brute, aplicarea puternică a parolei și multe altele, puteți adăuga straturi suplimentare de securitate site-ului dvs. web.
Obțineți iThemes Security Pro
În fiecare săptămână, Michael realizează Raportul de vulnerabilitate WordPress pentru a vă menține site-urile în siguranță. În calitate de manager de produs la iThemes, el ne ajută să continuăm să îmbunătățim gama de produse iThemes. Este un tocilar uriaș și iubește să învețe despre toate lucrurile tehnice, vechi și noi. Îl poți găsi pe Michael stând cu soția și fiica sa, citind sau ascultând muzică atunci când nu funcționează.
