Отчет об уязвимостях WordPress: январь 2022 г., часть 1
Опубликовано: 2022-01-06Уязвимые плагины и темы — причина №1 взлома сайтов WordPress. Еженедельный отчет об уязвимостях WordPress, подготовленный WPScan, охватывает последние уязвимости плагинов, тем и ядер WordPress, а также информацию о том, что делать, если вы запускаете один из уязвимых плагинов или тем на своем веб-сайте.
Каждая уязвимость будет иметь уровень серьезности Низкий , Средний , Высокий или Критический . Ответственное раскрытие уязвимостей и сообщение об уязвимостях — неотъемлемая часть обеспечения безопасности сообщества WordPress. Новое в этом отчете: уязвимости теперь перечислены по количеству активных установок, а не по дате раскрытия.
Пожалуйста, поделитесь этой записью со своими друзьями, чтобы помочь распространить информацию и сделать WordPress более безопасным для всех !
Резюме отчета об уязвимостях WordPress за 2021 год: раскрыто 1263 уязвимости; 98% Плагины
- В 2021 году было обнаружено 1263 уязвимости в плагинах и темах. Уязвимости плагинов WordPress составляют 98% всех уязвимостей, о которых сообщалось.
- В сентябре 2021 года было зарегистрировано больше всего уязвимостей: только за этот месяц было обнаружено 323 уязвимости.
- Наиболее распространенными типами уязвимостей плагинов, обнаруженных в 2021 году, были межсайтовые сценарии (XSS) и SQL-инъекции. Большинство авторов плагинов выпустили патчи, а некоторые плагины до сих пор остаются закрытыми.
- В связи с увеличением количества сообщений об уязвимостях мы изменили частоту отчетов об уязвимостях до одного раза в неделю, а не два раза в месяц.
- Благодаря вашим отзывам мы также начали перечислять раскрытие информации о плагинах по порядку или по активным установкам. Мы также начали группировать плагины по бесплатным и профессиональным, с отдельным разделом для закрытых плагинов и плагинов для неизвестных исправлений.
Уязвимости ядра WordPress
Последняя версия ядра WordPress — 5.8.2. Рекомендуется всегда использовать последнюю версию ядра WordPress!
Уязвимости плагинов WordPress
В этом разделе были раскрыты последние уязвимости плагинов WordPress. Список каждого подключаемого модуля включает тип уязвимости, активные установки, номер версии, если она исправлена, и рейтинг серьезности.
1. Восходящий потокПлюс
Плагин: Updraft Plus
Уязвимость : отраженный межсайтовый скриптинг
Активная установка : 3+ миллиона
Исправлено в версии : 1.16.569
Оценка серьезности : высокая
Плагин: Updraft Plus
Уязвимость : межсайтовый скриптинг, хранимый администратором+
Активная установка : 3+ миллиона
Исправлено в версии : 1.6.59
Оценка серьезности : низкая
Плагин: Updraft Plus
Уязвимость : Admin+ включение локальных файлов
Активная установка : 3+ миллиона
Исправлено в версии : 1.16.59
Оценка серьезности : средняя
2. Конвертер WebP для мультимедиа
Плагин: Конвертер WebP для мультимедиа
Уязвимость : перенаправление Open без проверки подлинности
Активная установка : 100 000+
Исправлено в версии : 4.0.3
Оценка серьезности : средняя
3. WOOF — Фильтр товаров для WooCommerce
Плагин: WOOF — Фильтр товаров для WooCommerce
Уязвимость : отраженный межсайтовый скриптинг
Активная установка : 100 000+
Исправлено в версии : 1.2.6.3
Оценка серьезности : высокая
4. Изучите прессу
Плагин: LearnPress
Уязвимость : межсайтовый скриптинг, хранимый администратором+
Активная установка : 100 000+
Исправлено в версии : 4.1.3.2
Оценка серьезности : средняя
5. Клон страницы поста WP
Плагин: WP Post Page Clone
Уязвимость : неавторизованный доступ к сообщениям
Активная установка : 80 000+
Исправлено в версии : 1.2
Оценка серьезности : средняя
6. Дополнительные типы файлов WP
Плагин: Дополнительные типы файлов WP
Уязвимость : CSRF для сохраненных межсайтовых сценариев
Активная установка : 50 000+
Исправлено в версии : 0.5.1
Оценка серьезности : высокая
7. Репетитор LMS
Плагин: Репетитор LMS
Уязвимость : подписчик + хранимый межсайтовый скриптинг
Активная установка : 40 000+
Исправлено в версии : 1.9.12
Оценка серьезности : высокая
Плагин: Репетитор LMS
Уязвимость : отраженный межсайтовый скриптинг
Активная установка : 40 000+
Исправлено в версии : 1.9.12
Оценка серьезности : высокая
8. Пользовательская панель инструментов и страница входа
Плагин: Пользовательская панель инструментов и страница входа
Уязвимость : межсайтовый скриптинг, хранимый администратором+
Активная установка : 40 000+
Исправлено в версии : 7.0
Оценка серьезности : средняя
9. Окончательный FAQ
Плагин: Ultimate FAQ
Уязвимость : подписчик + создание произвольного FAQ
Активная установка : 30 000+
Исправлено в версии : 2.1.2
Оценка серьезности : средняя
10. Пользовательский интерфейс WP
Плагин: Пользовательский интерфейс WP
Уязвимость : SQL-инъекция в отраженный межсайтовый скриптинг
Активная установка : 30 000+
Исправлено в версии : 3.5.26
Оценка серьезности : высокая
11. мойКредит
Плагин: myCred
Уязвимость : отраженный межсайтовый скриптинг
Активная установка : 20 000+
Исправлено в версии : 2.4
Оценка серьезности : высокая
12. Эффекты при наведении изображения Ultimate
Плагин: Image Hover Effects Ultimate
Уязвимость : отраженный межсайтовый скриптинг
Активная установка : 20 000+
Исправлено в версии : 9.7.1
Оценка серьезности : высокая
13. Кубели
Плагин: Qubely
Уязвимость : подписчик + создание произвольного FAQ
Активная установка : 10 000+
Исправлено в версии : 1.7.8
Оценка серьезности : средняя
14. Магия регистрации
Плагин: Магия регистрации
Уязвимость : отраженный межсайтовый скриптинг
Активная установка : 10 000+
Исправлено в версии : 5.0.1.9
Оценка серьезности : высокая
15. Отслеживание заказов для WooCommerce
Плагин: Отслеживание заказов для WooCommerce
Уязвимость : отраженный межсайтовый скриптинг
Активная установка : 10 000+
Исправлено в версии : 1.1.10
Оценка серьезности : высокая
16. Библиотека ссылок
Плагин: Библиотека ссылок
Уязвимость : отраженный межсайтовый скриптинг
Активная установка : 10 000+
Исправлено в версии : 7.2.8
Оценка серьезности : средняя
Плагин: Библиотека ссылок
Уязвимость : сброс настроек библиотеки через CSRF
Активная установка : 10 000+
Исправлено в версии : 7.2.8
Оценка серьезности : средняя
Плагин: Библиотека ссылок
Уязвимость : удаление произвольных ссылок без проверки подлинности
Активная установка : 10 000+
Исправлено в версии : 7.2.8
Оценка серьезности : средняя
17. Компаньон автофокуса
Плагин: AF Companion
Уязвимость : произвольная установка и активация плагина через CSRF
Активная установка : 9000+
Исправлено в версии : 1.2.0
Оценка серьезности : высокая
18. Виджет списка авторов KNR
Плагин: Виджет списка авторов KNR
Уязвимость : SQL-инъекция без проверки подлинности
Активная установка : 200+
Исправлено в версии : 3.0.0
Оценка серьезности : критическая
19. Информация о пользователе файлов cookie WP
Плагин: Информация о пользователе WP Cookie
Уязвимость : Admin+ SQL Injection
Активная установка : 200+
Исправлено в версии : 1.0.9
Оценка серьезности : средняя
Уязвимости плагинов WordPress: плагин закрыт
В этом разделе были раскрыты последние уязвимости плагинов WordPress в закрытых плагинах. Каждый список подключаемых модулей включает тип уязвимости, рейтинг серьезности и дату закрытия.
20. Лабораторные инструменты
Плагин: LabTools
Уязвимость : подписчик + произвольное удаление публикации
Версия исправлена : неизвестное исправление — плагин закрыт
Оценка серьезности : средняя
21. Проверка домена
Плагин: Проверка домена
Уязвимость : отраженный межсайтовый скриптинг
Версия исправлена : неизвестное исправление — плагин закрыт
Оценка серьезности : высокая
22. Просмотр журнала ошибок
Плагин: Просмотр журнала ошибок
Уязвимость : удаление произвольного текстового файла через CSRF
Версия исправлена : неизвестное исправление — плагин закрыт
Оценка серьезности : низкая
23. Перезагрузка WP посещенных стран
Плагин: Перезагрузка посещенных стран WP
Уязвимость : отраженный межсайтовый скриптинг
Исправлено в версии : 3.1.1 - плагин закрыт
Оценка серьезности : высокая
24. Учебные курсы
Плагин: Учебные курсы
Уязвимость : межсайтовый скриптинг, хранимый администратором+
Исправлено в версии : 5.0 — плагин закрыт
Оценка серьезности : низкая
25. Идеальный обзор
Плагин: Perfect Survey
Уязвимость : неавторизованный вызов AJAX для сохраненного XSS/обновления настроек опроса
Исправлено в версии : 1.5.2 — плагин закрыт
Оценка серьезности : высокая
Плагин: Perfect Survey
Уязвимость : неавторизованный вызов AJAX для сохраненного XSS/обновления настроек опроса
Исправлено в версии : 1.5.2 — плагин закрыт
Оценка серьезности : высокая
Плагин: Perfect Survey
Уязвимость : SQL-инъекция без проверки подлинности
Исправлено в версии : 1.5.2 — плагин закрыт
Оценка серьезности : высокая
Плагин: Perfect Survey
Уязвимость : отраженный межсайтовый скриптинг
Исправлено в версии : 1.5.2 — плагин закрыт
Оценка серьезности : высокая
Плагин: Perfect Survey
Уязвимость : неаутентифицированный сохраненный межсайтовый скриптинг
Версия исправлена : неизвестное исправление — плагин закрыт
Оценка серьезности : высокая
Уязвимости плагинов WordPress: неизвестное исправление
В этом разделе были раскрыты последние уязвимости плагинов WordPress в закрытых плагинах. Каждый список подключаемых модулей включает тип уязвимости, рейтинг серьезности и дату закрытия.
26. Медиаматичный
Плагин: Mediamatic
Уязвимость : подписчик + SQL-инъекция
Активная установка : 3000+
Исправлено в версии : неизвестное исправление
Оценка серьезности : высокая
Как защитить свой сайт WordPress от уязвимых плагинов и тем
Как видно из этого отчета, каждую неделю раскрывается множество новых уязвимостей плагинов и тем WordPress. Мы знаем, что может быть сложно оставаться в курсе всех обнаруженных уязвимостей, поэтому плагин iThemes Security Pro позволяет легко убедиться, что на вашем сайте не используется тема, плагин или основная версия WordPress с известной уязвимостью.
1. Установите плагин iThemes Security Pro.
Плагин iThemes Security Pro защищает ваш сайт WordPress от наиболее распространенных способов взлома веб-сайтов. Более 30 способов защитить ваш сайт в одном простом в использовании плагине.
2. Включите сканирование сайта для проверки на наличие известных уязвимостей.
Функция управления версиями в iThemes Security Pro интегрируется со сканированием сайта для защиты вашего сайта. Уязвимые темы, плагины и основные версии WordPress будут автоматически обновлены для вас.
3. Активируйте обнаружение изменения файла
Ключом к быстрому обнаружению нарушения безопасности является отслеживание изменений файлов на вашем веб-сайте. Функция обнаружения изменений файлов в iThemes Security Pro будет сканировать файлы вашего веб-сайта и предупреждать вас, когда на вашем веб-сайте происходят изменения.
Получите iThemes Security Pro с круглосуточным мониторингом безопасности сайта
iThemes Security Pro, наш плагин безопасности WordPress, предлагает более 50 способов защитить ваш сайт от распространенных уязвимостей безопасности WordPress. Благодаря WordPress, двухфакторной аутентификации, защите от грубой силы, надежному принудительному использованию паролей и многим другим вы можете добавить дополнительные уровни безопасности на свой веб-сайт.
