Raportul Vulnerabilității WordPress: septembrie 2021, partea 3
Publicat: 2021-09-15Pluginurile și temele vulnerabile sunt motivul # 1 pentru care site-urile WordPress sunt piratate. Raportul săptămânal despre vulnerabilitatea WordPress oferit de WPScan acoperă vulnerabilitățile recente ale plugin-ului, temei și nucleului WordPress și ce trebuie făcut dacă rulați unul dintre pluginurile sau temele vulnerabile de pe site-ul dvs. web.
Fiecare vulnerabilitate va avea un grad de severitate scăzut , mediu , ridicat sau critic . Divulgarea responsabilă și raportarea vulnerabilităților este o parte integrantă a păstrării în siguranță a comunității WordPress.
Fiind unul dintre cele mai mari rapoarte de vulnerabilitate WordPress de până acum, vă rugăm să împărtășiți această postare prietenilor dvs. pentru a vă ajuta să scoateți cuvântul și să faceți WordPress mai sigur pentru toată lumea.
Vulnerabilități de bază WordPress
Mai multe probleme de securitate de bază WordPress au fost dezvăluite și remediate. WordPress 5.8.1 a fost lansat ca versiune de securitate și întreținere. Ca cea mai bună practică, asigurați-vă întotdeauna că rulați cea mai recentă versiune a nucleului WordPress!
1. WordPress 5.4 - 5.8
Vulnerabilitate : expunerea datelor prin API REST
Patched în versiunea : 5.8.1
Scorul de severitate : mediu
Vulnerabilitate : XSS autentificat în Block Editor
Patched în versiunea : 5.8.1
Scorul de severitate : mediu
Vulnerabilitate : Actualizare bibliotecă Lodash
Patched în versiunea : 5.8.1
Scorul de severitate : mediu
Vulnerabilități ale pluginului WordPress
În această secțiune, au fost dezvăluite cele mai recente vulnerabilități ale pluginului WordPress. Fiecare listă de pluginuri include tipul de vulnerabilitate, numărul versiunii dacă este corecționat și gradul de severitate.
1. Pinterest Automatic
Plugin: Pinterest Automat
Vulnerabilitate : Actualizare opțiuni arbitrare neautentificate
Patched în versiunea : 4.14.4
Scorul de severitate : critic
2. WordPress Automatic
Plugin: WordPress automat
Vulnerabilitate : Actualizare opțiuni arbitrare neautentificate
Patched în versiunea : 3.53.3
Scorul de severitate : critic
3. ELEX WooCommerce Google Shopping
Plugin: Cumpărături Google ELEX WooCommerce
Vulnerabilitate : Scripturi încrucișate reflectate (XSS)
Patched în versiunea : 1.2.4
Scorul de severitate : ridicat
4. Înregistrarea utilizatorului
Plugin: Înregistrare utilizator
Vulnerabilitate : Scripturi cross-site stocate cu privilegii reduse
Patched în versiunea : 2.0.2
Scorul de severitate : mediu
5. uListare
Plugin: uListing
Vulnerabilitate : Actualizare arbitrară a opțiunii de blog prin CSRF
Patched în versiunea : 2.0.9
Scorul de severitate : ridicat
6. Rezervare la ora programării
Plugin: Rezervare la programare
Vulnerabilitate : Scripturi cross-site stocate autentificate
Patched în versiunea : 1.3.16
Scorul de severitate : scăzut
Plugin: Rezervare la programare
Vulnerabilitate : XSS stocat autentificat
Patched în versiunea : 1.3.17
Scorul de severitate : scăzut
7. UsersWP
Plugin: UsersWP
Vulnerabilitate : Scripturi între site-uri reflectate
Patched în versiunea : 1.2.2.29
Scorul de severitate : mediu
8. PublishPress Calendar editorial
Plugin: Calendarul editorial PublishPress
Vulnerabilitate : Scripturi între site-uri reflectate
Patched în versiunea : 3.5.1
Scorul de severitate : ridicat
9. Găsiți și înlocuiți mai bine
Plugin: Găsiți și înlocuiți mai bine
Vulnerabilitate : Scripturi între site-uri reflectate
Patched în versiunea : 1.2.9
Scorul de severitate : ridicat
10. Glosar CM Tooltip
Plugin: Glosar CM Tooltip
Vulnerabilitate : Contribuitor + Scripturi între site-uri stocate
Patched în versiunea : 3.9.21
Scorul de severitate : mediu
11. Gateway de plăți Bitcoin / AltCoin pentru WooCommerce
Plugin: Bitcoin / AltCoin Payment Gateway pentru WooCommerce
Vulnerabilitate : Scripturi între site-uri reflectate
Patched în versiunea : 1.6.1
Scorul de severitate : ridicat
12. Calendarul evenimentelor moderne Lite
Plugin: Calendar de evenimente moderne Lite
Vulnerabilitate : Administrare + Stocare între site-uri
Patched în versiunea : 5.22.2
Scorul de severitate : scăzut
13. Chatbot-ul meu
Tema: Chatbot-ul meu
Vulnerabilitate : Scripturi încrucișate reflectate (XSS)
Corectat în versiune : Nicio remediere cunoscută
Scorul de severitate : ridicat
14. Pagină duplicat
Plugin: pagină duplicat
Vulnerabilitate : Administrare + Stocare între site-uri
Patched în versiunea : 4.4.3
Scorul de severitate : mediu
15. Efect meteo
Plugin: Efect meteo
Vulnerabilitate : Administrare + Stocare între site-uri
Patched în versiunea : 1.3.6
Scorul de severitate : scăzut
Plugin: Efect meteo
Vulnerabilitate : CSRF către scripturi cross-site stocate
Patched în versiunea : 1.3.4
Scorul de severitate : ridicat
16. Test înlănțuit
Plugin: Test cu lanțuri
Vulnerabilitate : Scripturi autentificate stocate pe site-uri încrucișate
Patched în versiunea : 1.2.7.2
Scorul de severitate : scăzut
17. Lista persoanelor academice WP
Plugin : WP Academic People List
Vulnerabilitate : Scripturi între site-uri reflectate
Corectat în versiune : Nicio remediere cunoscută
Scorul de severitate : mediu
18. Konnichiwa! Calitatea de membru
Plugin : Konnichiwa! Calitatea de membru
Vulnerabilitate : Scripturi între site-uri reflectate
Corectat în versiune : Nicio remediere cunoscută
Scorul de severitate : mediu
19. Carusel de acoperire 3D
Plugin : Carusel 3D Cover
Vulnerabilitate : Scripturi între site-uri reflectate
Corectat în versiune : Nicio remediere cunoscută
Scorul de severitate : mediu
20. Mai multe de la Google
Plugin : mai multe de la Google
Vulnerabilitate : Scripturi între site-uri reflectate
Corectat în versiune : Nicio remediere cunoscută
Scorul de severitate : mediu
21. Autentificare simpleSAMLphp
Plugin : autentificare simpleSAMLphp
Vulnerabilitate : Scripturi între site-uri reflectate
Corectat în versiune : Nicio remediere cunoscută
Scorul de severitate : mediu
22. Plugin de meniu personalizat
Plugin : Plugin de meniu personalizat
Vulnerabilitate : Scripturi între site-uri reflectate
Corectat în versiune : Nicio remediere cunoscută
Scorul de severitate : mediu
23. Widget Prieteni Twitter
Plugin : Widget Prietenii Twitter
Vulnerabilitate : Scripturi între site-uri reflectate
Corectat în versiune : Nicio remediere cunoscută
Scorul de severitate : mediu
24. RentPress
Plugin : RentPress
Vulnerabilitate : Scripturi între site-uri reflectate
Corectat în versiune : Nicio remediere cunoscută
Scorul de severitate : mediu
25. Manager de închiriere SP
Plugin : SP Rental Manager
Vulnerabilitate : injecție SQL neautentificată
Corectat în versiune : Nicio remediere cunoscută
Scorul de severitate : ridicat
26. E-mail de activare a utilizatorului
Plugin : E-mail de activare a utilizatorului
Vulnerabilitate : Scripturi între site-uri reflectate
Corectat în versiune : Nicio remediere cunoscută
Scorul de severitate : mediu
27. WP Google Maps
Plugin: WP Google Maps
Vulnerabilitate : Administrator multiplu + Scripturi între site-uri stocate
Patched în versiunea : 8.1.13
Scorul de severitate : scăzut
28. GeoDirectory
Plugin: GeoDirectory
Vulnerabilitate : autentificat (administrator +) Scripturi cross-site stocate (XSS)
Patched în versiunea : 2.1.1.3
Scorul de severitate : mediu
29. TranslatePress
Plugin: TranslatePress
Vulnerabilitate : Scripturi cross-site stocate autentificate
Patched în versiunea : 2.0.9
Scorul de severitate : scăzut
30. Contor titlu post
Plugin : Contor titlu post
Vulnerabilitate : Scripturi între site-uri reflectate
Corectat în versiune : Nicio remediere cunoscută
Scorul de severitate : mediu
31. YouTube Video Inserter
Plugin : YouTube Video Inserter
Vulnerabilitate : Scripturi între site-uri reflectate
Corectat în versiune : Nicio remediere cunoscută
Scorul de severitate : mediu
32. Notificări
Plugin : Notificări
Vulnerabilitate : Scripturi între site-uri reflectate
Corectat în versiune : Nicio remediere cunoscută
Scorul de severitate : mediu
33. DJ EmailPublish
Plugin : DJ EmailPublish
Vulnerabilitate : Scripturi între site-uri reflectate
Corectat în versiune : Nicio remediere cunoscută
Scorul de severitate : mediu
34. Încă un alt plugin bol.com
Plugin : încă un alt plugin bol.com
Vulnerabilitate : Scripturi între site-uri reflectate
Corectat în versiune : Nicio remediere cunoscută
Scorul de severitate : mediu
35. WP-T-Wap
Plugin : WP-T-Wap
Vulnerabilitate : Scripturi între site-uri reflectate
Corectat în versiune : Nicio remediere cunoscută
Scorul de severitate : mediu
36. Pe pagina SEO + Butonul de chat Whatsapp
Plugin : pe pagina SEO + butonul de chat Whatsapp
Vulnerabilitate : Scripturi între site-uri reflectate
Corectat în versiune : Nicio remediere cunoscută
Scorul de severitate : mediu
37. WP Scrippets
Plugin : WP Scrippets
Vulnerabilitate : Scripturi între site-uri reflectate
Corectat în versiune : Nicio remediere cunoscută
Scorul de severitate : mediu
38. WP Design Maps & Places
Plugin : WP Design Maps & Places
Vulnerabilitate : Scripturi între site-uri reflectate
Corectat în versiune : Nicio remediere cunoscută
Scorul de severitate : mediu
39. Formulare de captare a agentului înțelept
Plugin : Forme de captare a agentului înțelept
Vulnerabilitate : Scripturi între site-uri reflectate
Corectat în versiune : Nicio remediere cunoscută
Scorul de severitate : mediu
40. Editați comentariile XT
Plugin : Editați comentariile XT
Vulnerabilitate : Scripturi între site-uri reflectate
Corectat în versiune : Nicio remediere cunoscută
Scorul de severitate : mediu
41. RSVPMaker Excel
Plugin : RSVPMaker Excel
Vulnerabilitate : Scripturi între site-uri reflectate
Corectat în versiune : Nicio remediere cunoscută
Scorul de severitate : mediu
42. Bara de încărcare a chenarului
Plugin : Bara de încărcare a chenarului
Vulnerabilitate : Scripturi între site-uri reflectate
Corectat în versiune : Nicio remediere cunoscută
Scorul de severitate : mediu
43. Miniaturi simple matizate
Plugin : Miniaturi simple matizate
Vulnerabilitate : Scripturi între site-uri reflectate
Corectat în versiune : Nicio remediere cunoscută
Scorul de severitate : mediu
44. Magazin simplu WordPress
Plugin : Magazin simplu WordPress
Vulnerabilitate : Scripturi între site-uri reflectate
Corectat în versiune : Nicio remediere cunoscută
Scorul de severitate : mediu
45. Gateway de plată WooCommerce pe categorie
Plugin : WooCommerce Payment Gateway pe categorie
Vulnerabilitate : Scripturi între site-uri reflectate
Corectat în versiune : Nicio remediere cunoscută
Scorul de severitate : mediu
46. Date personalizate ale site-ului web
Plugin : date personalizate ale site-ului web
Vulnerabilitate : Scripturi între site-uri reflectate
Corectat în versiune : Nicio remediere cunoscută
Scorul de severitate : mediu
47. Căutare avansată
Plugin : Căutare avansată
Vulnerabilitate : Scripturi între site-uri reflectate
Corectat în versiune : Nicio remediere cunoscută
Scorul de severitate : mediu
48. Integrarea Moneybird pentru WooCommerce
Plugin : Integrarea Moneybird pentru WooCommerce
Vulnerabilitate : Scripturi între site-uri reflectate
Corectat în versiune : Nicio remediere cunoscută
Scorul de severitate : mediu
49. Spideranalyse
Plugin : Spideranalyse
Vulnerabilitate : Scripturi între site-uri reflectate
Corectat în versiune : Nicio remediere cunoscută
Scorul de severitate : mediu
50. Abonare OSD
Plugin : Abonare OSD
Vulnerabilitate : Scripturi între site-uri reflectate
Corectat în versiune : Nicio remediere cunoscută
Scorul de severitate : mediu
51. Feedify Web Push Notifications
Plugin : Feedify Web Push Notifications
Vulnerabilitate : Scripturi între site-uri reflectate
Corectat în versiune : Nicio remediere cunoscută
Scorul de severitate : mediu
52. Meniu derulant și text derulabil
Plugin : Meniu drop-down și text derulabil
Vulnerabilitate : Scripturi între site-uri reflectate
Corectat în versiune : Nicio remediere cunoscută
Scorul de severitate : mediu
53. Integrare GNU-Mailman
Plugin : Integrare GNU-Mailman
Vulnerabilitate : Scripturi între site-uri reflectate
Corectat în versiune : Nicio remediere cunoscută
Scorul de severitate : mediu
54. Biblioteca de erori
Plugin : Biblioteca de erori
Vulnerabilitate : Scripturi între site-uri reflectate
Corectat în versiune : Nicio remediere cunoscută
Scorul de severitate : mediu
55. SMS OVH
Plugin : SMS OVH
Vulnerabilitate : Scripturi între site-uri reflectate
Corectat în versiune : Nicio remediere cunoscută
Scorul de severitate : mediu
56. MoolaMojo
Plugin : MoolaMojo
Vulnerabilitate : Scripturi între site-uri reflectate
Corectat în versiune : Nicio remediere cunoscută
Scorul de severitate : mediu
57. Plugin-ul WordPress InviteBox
Plugin : Plugin WordPress InviteBox
Vulnerabilitate : Scripturi între site-uri reflectate
Corectat în versiune : Nicio remediere cunoscută
Scorul de severitate : mediu
58. wp-publicații
Plugin : wp-publications
Vulnerabilitate : includerea fișierelor locale
Corectat în versiune : Nicio remediere cunoscută
Scorul de severitate : ridicat
59. Orar și program de evenimente de MotoPress
Plugin: orar și program de evenimente de MotoPress
Vulnerabilitate : Autor + Scripturi între site-uri stocate
Patched în versiunea : 2.3.19
Scorul de severitate : mediu
60. Eliminare link comentarii și alte instrumente de comentarii
Plugin: Eliminare link de comentarii și alte instrumente de comentarii
Vulnerabilitate : Ștergerea comentariilor arbitrare prin CSRF
Patched în versiunea : 2.1.6
Scorul de severitate : mediu
61. Calendarul de rezervări WP Simple
Plugin: Calendar de rezervări WP Simple
Vulnerabilitate : injecție SQL autentificată
Patched în versiunea : 2.0.6
Scorul de severitate : mediu
62. Blocați și opriți roboții răi
Plugin: Blocați și opriți roboții răi
Vulnerabilitate : injecții SQL autentificate
Patched în versiunea : 6.60
Scorul de severitate : mediu
63. Abonamente plătite pentru membri
Plugin: Abonamente plătite pentru membri
Vulnerabilitate : injecție SQL autentificată
Patched în versiunea : 2.4.2
Scorul de severitate : mediu
64. Acordeon ușor
Plugin: Acordeon ușor
Vulnerabilitate : Administrare + Stocare între site-uri
Patched în versiunea : 2.0.22
Scorul de severitate : scăzut
Vulnerabilități ale temei WordPress
1. Enfold
Tema: Enfold
Vulnerabilitate : Scripturi încrucișate reflectate (XSS)
Patched în versiunea : 4.8.4
Scorul de severitate : mediu
O notă privind dezvăluirea responsabilă
S-ar putea să vă întrebați de ce o vulnerabilitate ar fi dezvăluită dacă le oferă hackerilor un exploit de atac. Ei bine, este foarte obișnuit ca un cercetător în securitate să găsească și să raporteze în mod privat vulnerabilitatea dezvoltatorului de software.
Cu dezvăluirea responsabilă , raportul inițial al cercetătorului este făcut în mod privat dezvoltatorilor companiei care deține software-ul, dar cu acordul că detaliile complete vor fi publicate odată ce un patch a fost pus la dispoziție. Pentru vulnerabilitățile semnificative de securitate, ar putea exista o ușoară întârziere în dezvăluirea vulnerabilității, pentru a oferi mai multor oameni timp de corecție.
Cercetătorul de securitate poate oferi un termen limită pentru ca dezvoltatorul de software să răspundă la raport sau să furnizeze un patch. Dacă acest termen nu este respectat, atunci cercetătorul poate dezvălui în mod public vulnerabilitatea de a pune presiune pe dezvoltator să emită un patch.
Dezvăluirea publică a unei vulnerabilități și introducerea aparentă a unei vulnerabilități Zero-Day - un tip de vulnerabilitate care nu are patch și care este exploatată în sălbăticie - poate părea contraproductivă. Dar, este singura pârghie pe care o are un cercetător pentru a-l presiona pe dezvoltator să remedieze vulnerabilitatea.
Dacă un hacker ar descoperi vulnerabilitatea, ar putea folosi în liniște Exploit-ul și ar putea provoca daune utilizatorului final (acesta ești tu), în timp ce dezvoltatorul de software rămâne conținut la lăsarea vulnerabilității fără corecții. Project Zero de la Google are îndrumări similare atunci când vine vorba de dezvăluirea vulnerabilităților. Ei publică detaliile complete ale vulnerabilității după 90 de zile, indiferent dacă vulnerabilitatea a fost sau nu reparată.
Cum să vă protejați site-ul WordPress de pluginuri și teme vulnerabile
După cum puteți vedea din acest raport, o mulțime de noi vulnerabilități ale plugin-ului și temei WordPress sunt dezvăluite în fiecare săptămână. Știm că poate fi dificil să rămâneți la curent cu fiecare dezvăluire a vulnerabilității raportate, astfel încât pluginul iThemes Security Pro face ușor să vă asigurați că site-ul dvs. nu rulează o temă, un plugin sau o versiune de bază WordPress cu o vulnerabilitate cunoscută.
1. Porniți iThemes Security Pro Site Scanner
Site Scanner-ul pluginului iThemes Security Pro scanează motivul # 1 pentru care site-urile WordPress sunt piratate: pluginuri și teme învechite cu vulnerabilități cunoscute. Site Scanner verifică site-ul dvs. pentru vulnerabilități cunoscute și aplică automat un patch dacă este disponibil.
Pentru a activa scanarea site-ului la noile instalări, navigați la fila Verificare site din meniul Caracteristici din plugin și faceți clic pe comutare pentru a activa scanarea site - ului .
Pentru a declanșa o scanare manuală a site-ului, faceți clic pe butonul Scanare acum de pe cardul de bord Site Security Scan.
Dacă Scanarea site-ului detectează o vulnerabilitate, faceți clic pe linkul de vulnerabilitate pentru a vizualiza pagina de detalii.
În pagina vulnerabilității Site Scan, veți vedea dacă există o remediere disponibilă pentru vulnerabilitate. Dacă există un patch disponibil, puteți face clic pe butonul Actualizare plugin pentru a aplica remedierea pe site-ul dvs. web.
2. Activați Gestionarea versiunilor la Actualizare automată dacă remediați vulnerabilitatea
Funcția de gestionare a versiunilor din iThemes Security Pro se integrează cu scanarea site-ului pentru a vă proteja site-ul atunci când software-ul învechit nu este actualizat suficient de rapid. Chiar și cele mai puternice măsuri de securitate vor eșua dacă rulați software vulnerabil pe site-ul dvs. web. Aceste setări vă ajută să vă protejați site-ul cu opțiuni de actualizare la versiuni noi în mod automat, dacă există o vulnerabilitate cunoscută și un patch este disponibil.
Din pagina Setări din iThemes Security Pro, navigați la ecranul Caracteristici. Faceți clic pe fila Verificare site. De aici, utilizați comutatorul pentru a activa gestionarea versiunilor. Folosind setul de setări, puteți configura și mai multe setări, inclusiv modul în care doriți ca iThemes Security Pro să gestioneze actualizările la WordPress, pluginuri, teme și protecție suplimentară.
Asigurați-vă că selectați Actualizare automată dacă remediază o casetă Vulnerabilitate , astfel încât iThemes Security Pro să actualizeze automat un plugin sau o temă dacă remediază o vulnerabilitate găsită de Site Scanner.
3. Obțineți o alertă prin e-mail când iThemes Security Pro constată o vulnerabilitate cunoscută pe site-ul dvs.
După ce ați activat Programarea scanării site-ului, accesați setările Centrului de notificări ale pluginului. Pe acest ecran, derulați la secțiunea Rezultate scanare site .
Faceți clic pe casetă pentru a activa e-mailul de notificare , apoi faceți clic pe butonul Salvare setări .
Acum, în timpul oricărei scanări programate a site-ului, veți primi un e-mail dacă iThemes Security Pro descoperă orice vulnerabilități cunoscute. E-mailul va arăta cam așa.
Obțineți iThemes Security Pro și odihniți-vă puțin mai ușor în seara asta
iThemes Security Pro, pluginul nostru de securitate WordPress, oferă peste 50 de moduri de a vă securiza și proteja site-ul împotriva vulnerabilităților comune de securitate WordPress. Cu WordPress, autentificarea în doi factori, protecția forței brute, aplicarea puternică a parolei și multe altele, puteți adăuga straturi suplimentare de securitate site-ului dvs. web.
Obțineți iThemes Security Pro
În fiecare săptămână, Michael realizează Raportul de vulnerabilitate WordPress pentru a vă menține site-urile în siguranță. În calitate de manager de produs la iThemes, el ne ajută să continuăm să îmbunătățim gama de produse iThemes. Este un tocilar uriaș și iubește să învețe despre toate lucrurile tehnice, vechi și noi. Îl poți găsi pe Michael stând cu soția și fiica sa, citind sau ascultând muzică atunci când nu funcționează.
