WordPress Vulnerability Roundup: noiembrie 2020, partea 1

Publicat: 2021-03-10

În prima jumătate a lunii noiembrie au fost dezvăluite câteva vulnerabilități noi pentru plugin-ul și tema WordPress. Această postare acoperă vulnerabilitățile recente ale pluginului WordPress, temei și nucleului și ce trebuie să faceți dacă rulați unul dintre pluginurile sau temele vulnerabile de pe site-ul dvs. web.

WordPress Vulnerability Roundup este împărțit în trei categorii diferite: nucleul WordPress, pluginurile WordPress și temele WordPress.

În noiembrie, partea 1 Raport

    Vulnerabilități de bază WordPress

    WordPress 5.5.2 a fost lansat pe 29 octombrie și a inclus 10 remedieri de securitate de bază WordPress.

    Iată lista remedierilor de securitate menționate în postul de lansare WordPress 5.5.2.

    • Cereri de deserializare întărite.
    • Remediați pentru a dezactiva încorporările spam de pe site-urile dezactivate dintr-o rețea multisite .
    • S-a rezolvat o problemă de securitate care putea duce la un XSS din variabilele globale.
    • S-a remediat o problemă de escaladare a privilegiilor în XML-RPC.
    • S-a rezolvat o problemă legată de escaladarea privilegiilor în legătură cu postarea comentariilor prin XML-RPC.
    • S-a rezolvat o problemă de securitate în care un atac DoS putea duce la RCE.
    • A fost eliminată o metodă de stocare XSS în post slugs.
    • S-a eliminat metoda de a ocoli meta protejat care ar putea duce la ștergerea arbitrară a fișierelor.
    • A fost eliminată o metodă care ar putea duce la CSRF.
    Vulnerabilitățile au fost reparate, așa că actualizați WordPress la versiunea 5.5.2.

    Vulnerabilități ale pluginului WordPress

    1. Căutare SW Ajax WooCommerce

    Versiunile SW Ajax WooCommerce Search de mai jos 1.2.8 au vulnerabilități XSS și XFS reflectate neautentificate.

    Vulnerabilitatea este reparată și ar trebui să actualizați la versiunea 1.2.8.

    2. Accesați Apăsați pictogramele sociale

    Versiunile AccessPress Social Icons de mai jos 1.8.1 au o vulnerabilitate autentică SQL Injection.

    Vulnerabilitatea este reparată și ar trebui să actualizați la versiunea 1.8.1.

    3. Suport de conformitate GDPR CCPA

    Versiunile de asistență pentru conformitatea GDPR CCPA de mai jos 2.4 prezintă o vulnerabilitate neautentificată pentru injecția obiectelor PHP.

    Vulnerabilitatea este reparată și ar trebui să actualizați la versiunea 2.4.

    4. Realitatea Augmentată

    Toate versiunile Augmented Reality au o încărcare de fișiere PHP neautentificată care duce la vulnerabilitatea RCE.

    Eliminați pluginul până când se lansează o soluție de securitate.

    5. Welcart e-Commerce

    Versiunile Welcart e-Commerce de mai jos 1.9.36 au vulnerabilitate autentificată prin injectarea obiectelor PHP.

    Vulnerabilitatea este reparată și ar trebui să actualizați la versiunea 1.9.36.

    6. WooCommerce

    Versiunile WooCommerce de mai jos 4.6.2 prezintă o vulnerabilitate la crearea contului de oaspeți.

    Vulnerabilitatea este reparată și ar trebui să actualizați la versiunea 4.6.2.

    7. Blocuri WooCommerce

    Versiunile WooCommerce Blocks de mai jos 3.7.1 prezintă o vulnerabilitate la crearea contului de oaspeți.

    Vulnerabilitatea este reparată și ar trebui să actualizați la versiunea 3.7.1.

    8. Cart Lite abandonat pentru WooCommerce

    Abandonat Cart Lite pentru versiunile WooCommerce de mai jos 5.8.3 prezintă o vulnerabilitate neautentificată SQL Injection.

    Vulnerabilitatea este reparată și ar trebui să actualizați la versiunea 5.8.3.

    9. Jurnal de activitate WP

    Versiunile WP Activity Log de mai jos 4.1.5 au o injecție SQL în vulnerabilitatea modulului de bază de date extern.

    Vulnerabilitatea este reparată și ar trebui să actualizați la versiunea 4.1.5.

    10. Membru final

    Versiunile Ultimate Member de mai jos 2.1.12 au o escaladă neautentificată a privilegiilor prin roluri utilizator, actualizare profil și vulnerabilități Meta utilizator.

    Vulnerabilitatea este reparată și ar trebui să actualizați la versiunea 2.1.12.

    11. Recenzii finale

    Versiunile Ultimate Reviews de mai jos 2.1.33 prezintă o vulnerabilitate neautentificată pentru injectarea obiectelor PHP.

    Vulnerabilitatea este reparată și ar trebui să actualizați la versiunea 2.1.33.

    Vulnerabilități ale temei WordPress

    1. GreenMart

    Versiunile GreenMart de mai jos 2.4.3 prezintă o vulnerabilitate Reflected Cross-Site Scripting.

    Vulnerabilitatea este reparată și ar trebui să actualizați la versiunea 2.4.3.

    Sfat de securitate din noiembrie: De ce aveți nevoie de un jurnal de securitate WordPress

    Logarea este o parte esențială a strategiei dvs. de securitate WordPress. Înregistrarea și monitorizarea insuficiente pot duce la o întârziere în detectarea unei încălcări de securitate. Majoritatea studiilor privind încălcările arată că timpul pentru detectarea unei încălcări este de peste 200 de zile! Această perioadă de timp permite unui atacator să încalce alte sisteme, să modifice, să fure sau să distrugă mai multe date. Din aceste motive, Logarea insuficientă a aterizat pe primele 10 riscuri de securitate ale aplicațiilor web OWASP.

    Majoritatea studiilor privind încălcările arată că timpul pentru detectarea unei încălcări este de peste 200 de zile!

    Jurnalele de securitate WordPress au mai multe avantaje în strategia dvs. de securitate generală.

    1. Identificați și opriți comportamentul rău intenționat.
    2. Activitate la fața locului care vă poate avertiza cu privire la o încălcare.
    3. Evaluează cât de multă pagubă a fost făcută.
    4. Ajutor la repararea unui site piratat.

    Dacă site-ul dvs. este piratat, veți dori să aveți cele mai bune informații pentru a vă ajuta într-o investigație și recuperare rapidă.

    Ce sunt jurnalele de securitate WordPress?

    Jurnalele de securitate WordPress în iThemes Security Pro ține evidența evenimentelor importante de securitate care apar pe site-ul dvs. web. Aceste evenimente sunt importante de monitorizat pentru a indica dacă sau când are loc o încălcare a securității.

    Jurnalele de securitate ale site-ului dvs. web sunt o parte vitală a oricărei strategii de securitate. Informațiile găsite în aceste înregistrări pot fi folosite pentru a bloca actorii răi, pentru a evidenția o schimbare nedorită pe site și pentru a ajuta la identificarea și corecția punctului de intrare al unui atac reușit.

    Cum să adăugați jurnale de securitate WordPress pe site-ul dvs. web

    Cel mai simplu mod de a adăuga înregistrări de securitate pe site-ul dvs. web este cu un plugin precum iThemes Security Pro. De îndată ce iThemes Security Pro este instalat și activat, acesta va începe să monitorizeze și să înregistreze activități importante de securitate așa cum se întâmplă pe site-ul dvs. web.

    plugin pentru jurnalele de securitate wordpress

    iThemes Security Pro transformă apoi datele din jurnalele dvs. într-un tablou de bord de securitate WordPress în timp real, astfel încât să puteți vedea mai bine toată activitatea de securitate care se întâmplă pe site-ul dvs.

    Consultați postarea noastră despre jurnalele de securitate WordPress, pentru a afla ce evenimente de securitate ar trebui să monitorizați și cum să le înregistrați.

    Vezi cum funcționează

    Un plugin de securitate WordPress vă poate ajuta să vă protejați site-ul web

    iThemes Security Pro, pluginul nostru de securitate WordPress, oferă peste 50 de moduri de a vă securiza și proteja site-ul împotriva vulnerabilităților comune de securitate WordPress. Cu WordPress, autentificarea în doi factori, protecția forței brute, aplicarea puternică a parolei și multe altele, puteți adăuga un strat suplimentar de securitate site-ului dvs. web.

    Obțineți iThemes Security Pro

    adunarea vulnerabilității