WordPress Vulnerability Roundup: aprilie 2020, partea 1

Publicat: 2020-08-18

Noi vulnerabilități ale pluginului și temei WordPress au fost dezvăluite în prima jumătate a lunii aprilie, așa că dorim să vă informăm. În această postare, acoperim vulnerabilitățile recente ale pluginului WordPress, temei și nucleului și ce trebuie să faceți dacă rulați unul dintre pluginurile sau temele vulnerabile de pe site-ul dvs. web.

Roundup-ul Vulnerabilității WordPress este împărțit în patru categorii diferite:

  1. Nucleul WordPress
  2. Plugin-uri WordPress
  3. Teme WordPress

Vulnerabilități de bază WordPress

Nu au fost dezvăluite vulnerabilități WordPress în 2020.

Vulnerabilități ale pluginului WordPress

Până acum au fost descoperite câteva vulnerabilități noi pentru pluginurile WordPress. Asigurați-vă că urmați acțiunea sugerată de mai jos pentru a actualiza pluginul sau pentru a-l dezinstala complet.

1. Apăsați pentru IDX Broker

IMPress pentru IDX Broker de mai jos versiunea 2.6.2 are o autentificare post creație, modificare / ștergere și autentificare stocate Cross-Site Scripting (XSS) prin vulnerabilități neprotejate „idx_update_recaptcha_key”.

Vulnerabilitățile au fost reparate și ar trebui să actualizați la versiunea 2.6.2.

2. bannere CM Pop-Up pentru WordPress

Bannerele pop-up CM pentru versiunile WordPress de mai jos 1.4.11 au o vulnerabilitate XSS stocată autentificat.

Vulnerabilitatea a fost reparată și ar trebui să actualizați la versiunea 1.4.11.

3. Rang Matematică

Versiunile Rank Math de mai jos 1.0.4.1 prezintă vulnerabilități la Redirect Creation și Privilege Escalation.

Vulnerabilitățile au fost reparate și ar trebui să actualizați la versiunea 1.4.1.

4. LifterLMS

Versiunile LifterLMS de mai jos 3.37.15 prezintă o vulnerabilitate de scriere a fișierelor arbitrare.

Vulnerabilitatea a fost reparată și ar trebui să actualizați la versiunea 3.37.15.

5. Elementor Page Builder

Versiunile Elementor Page Builder de mai jos 2.9.6 prezintă o vulnerabilitate autentificată în modul sigur Safe Escalation.

Vulnerabilitatea a fost reparată și ar trebui să actualizați la versiunea 2.9.6.

6. LearnDash

Versiunile LearnDash de mai jos 3.1.6 prezintă o vulnerabilitate neautentificată SQL Injection.

Vulnerabilitatea a fost reparată și ar trebui să actualizați la versiunea 3.1.6.

7. Autentificare prin Auth0

Autentificarea prin versiunile Auth0 sub 4.0.0 are vulnerabilități multiple.

Vulnerabilitatea a fost reparată și ar trebui să actualizați la versiunea 4.0.0.

8. WordPress WP-Advanced-Search

Versiunile WordPress WP-Advanced-Search de mai jos 3.3.6 prezintă o vulnerabilitate neautentificată SQL Injection.

Vulnerabilitatea a fost reparată și ar trebui să actualizați la versiunea 3.3.6.

9. Formular de contact 7 Datepicker

Toate versiunile de Contact Form 7 Datepicker au o vulnerabilitate autentificată stocată pe site-uri de cross-site.

Eliminați pluginul, acesta a fost închis în depozitul de pluginuri WordPress.org în așteptarea revizuirii.

10. Art-Picture-Gallery

Toate versiunile Art-Picture-Gallery prezintă o vulnerabilitate de încărcare a fișierelor arbitrare neautentificată.

Eliminați pluginul, acesta a fost închis în depozitul de pluginuri WordPress.org în așteptarea revizuirii.

11. Ultima informație modificată WP

Versiunile WP Last Modified Info de mai jos 1.6.6 au o vulnerabilitate XSS stocată autentificată.

Vulnerabilitatea a fost reparată și ar trebui să actualizați la versiunea 1.6.6.

12. WP Lead Plus X

Toate versiunile WP Lead Plus X prezintă o vulnerabilitate de falsificare a cererilor între site-uri.

Eliminați pluginul până când se eliberează un patch.

13. Completele finale pentru Gutenberg

Completele finale pentru versiunile Gutenberg de mai jos 1.14.8 au o vulnerabilitate de modificare a setărilor autentificate.

Vulnerabilitatea a fost reparată și ar trebui să actualizați la versiunea 1.14.8.

14. Klarna Checkout pentru WooCommerce

Klarna Checkout pentru versiunile WooCommerce sub 2.0.10 prezintă o vulnerabilitate autentificată pentru dezactivarea, activarea și instalarea pluginului arbitrar.

15. Tickera - Biletarea evenimentelor WordPress

Versiunile Tickera - WordPress Event Ticketing de mai jos 3.4.6.9 prezintă o vulnerabilitate neautentificată la expunerea la date sensibile.

Vulnerabilitatea a fost reparată și ar trebui să actualizați la versiunea 3.4.6.9.

16. Sondaj receptiv

Toate versiunile de sondaj responsiv au autentificare întreruptă și verificări de capacitate lipsă la apelurile AJAX.

Eliminați pluginul, acesta a fost închis în depozitul de pluginuri WordPress.org în așteptarea revizuirii.

17. Asistent bibliotecă media

Versiunile Asistentului de bibliotecă media de mai jos 2.82 au vulnerabilități de includere de scripturi cross-site stocate autentificate și vulnerabilități limitate de includere a fișierelor locale neautentificate.

Vulnerabilitatea a fost reparată și ar trebui să actualizați la versiunea 2.82.

Teme WordPress

Nu au fost dezvăluite vulnerabilități ale temei în aprilie 2020.

Cum să fii proactiv în legătură cu vulnerabilitățile temei și pluginurilor WordPress

Rularea software-ului învechit este motivul pentru care site-urile WordPress sunt piratate. Este crucial pentru securitatea site-ului dvs. WordPress să aveți o rutină de actualizare. Ar trebui să vă conectați la site-urile dvs. cel puțin o dată pe săptămână pentru a efectua actualizări.

Actualizările automate vă pot ajuta

Actualizările automate sunt o alegere excelentă pentru site-urile web WordPress care nu se schimbă foarte des. Lipsa de atenție lasă adesea aceste site-uri neglijate și vulnerabile la atacuri. Chiar și cu setările de securitate recomandate, rularea unui software vulnerabil pe site-ul dvs. poate oferi atacatorului un punct de intrare pe site-ul dvs.

Folosind funcția de gestionare a versiunilor pluginului iThemes Security Pro, puteți activa actualizările automate WordPress pentru a vă asigura că primiți cele mai recente patch-uri de securitate. Aceste setări vă ajută să vă protejați site-ul cu opțiuni de actualizare automată la versiuni noi sau pentru a spori securitatea utilizatorului atunci când software-ul site-ului este depășit.

Opțiuni de actualizare a gestionării versiunilor
  • Actualizări WordPress - Instalați automat cea mai recentă versiune WordPress.
  • Actualizări automate pentru pluginuri - Instalați automat cele mai recente actualizări pentru pluginuri. Acest lucru ar trebui să fie activat, cu excepția cazului în care întrețineți activ acest site zilnic și instalați manual actualizările la scurt timp după lansare.
  • Actualizări automate ale temei - Instalați automat cele mai recente actualizări ale temei. Acest lucru ar trebui să fie activat cu excepția cazului în care tema dvs. are personalizări de fișiere.
  • Control granular asupra actualizărilor de pluginuri și teme - Este posibil să aveți pluginuri / teme pe care doriți să le actualizați manual sau să întârziați actualizarea până când versiunea a avut timp să se dovedească stabilă. Puteți alege Personalizat pentru posibilitatea de a atribui fiecărui plugin sau temă fie actualizarea imediată ( Activare ), nu actualizarea automată deloc ( Dezactivare ), fie actualizarea cu o întârziere de o anumită cantitate de zile ( Întârziere ).
Consolidarea și alertarea asupra problemelor critice
  • Consolidați site-ul atunci când rulați software depășit - Adăugați automat protecții suplimentare site-ului atunci când nu a fost instalată o actualizare disponibilă de o lună. Pluginul iThemes Security va activa automat o securitate mai strictă atunci când nu a fost instalată o actualizare de o lună. În primul rând, va forța toți utilizatorii care nu au doi factori activi să furnizeze un cod de autentificare trimis la adresa lor de e-mail înainte de a vă conecta din nou. , Pingback-uri XML-RPC și blochează mai multe încercări de autentificare pentru fiecare solicitare XML-RPC (ambele vor face XML-RPC mai puternic împotriva atacurilor fără a fi nevoie să îl oprești complet).
  • Căutați alte site-uri WordPress vechi - Aceasta va verifica dacă există alte instalări WordPress învechite pe contul dvs. de găzduire. Un singur site WordPress învechit cu o vulnerabilitate ar putea permite atacatorilor să compromită toate celelalte site-uri de pe același cont de găzduire.
  • Trimiteți notificări prin e-mail - Pentru problemele care necesită intervenție, un e-mail este trimis utilizatorilor la nivel de administrator.

Gestionarea mai multor site-uri WP? Actualizați pluginurile, temele și nucleul dintr-o dată din tabloul de bord iThemes Sync

iThemes Sync este tabloul nostru de bord central pentru a vă ajuta să gestionați mai multe site-uri WordPress. Din tabloul de bord Sync, puteți vizualiza actualizările disponibile pentru toate site-urile dvs. și apoi puteți actualiza pluginurile, temele și nucleul WordPress cu un singur clic . De asemenea, puteți primi notificări zilnice prin e-mail atunci când este disponibilă o nouă versiune de actualizare.

Încercați sincronizarea GRATUITĂ timp de 30 de zile Aflați mai multe

Un plugin de securitate WordPress vă poate ajuta să vă protejați site-ul web

iThemes Security Pro, pluginul nostru de securitate WordPress, oferă peste 30 de moduri de a vă proteja și proteja site-ul împotriva vulnerabilităților comune de securitate WordPress. Cu WordPress, autentificarea în doi factori, protecția forței brute, aplicarea puternică a parolei și multe altele, puteți adăuga un strat suplimentar de securitate site-ului dvs. web.

Aflați mai multe despre securitatea WordPress cu 10 sfaturi cheie. Descărcați acum cartea electronică: un ghid pentru securitatea WordPress
Descarcă acum