Обзор уязвимостей WordPress: август 2020 г., часть 2
Опубликовано: 2020-10-29Во второй половине августа были обнаружены новые уязвимости плагинов и тем WordPress, поэтому мы хотим держать вас в курсе. В этом посте мы расскажем о недавних уязвимостях плагинов, тем и основных уязвимостей WordPress, а также о том, что делать, если вы используете один из уязвимых плагинов или тем на своем веб-сайте.
Обзор уязвимостей WordPress разделен на три разные категории: ядро WordPress, плагины WordPress и темы WordPress.
Уязвимости ядра WordPress
В августе основных уязвимостей WordPress обнаружено не было. Однако в августе появилась новая мажорная версия WordPress. Просто обратите внимание, что мы получили множество сообщений о веб-сайтах, нарушающих обновление 5.5, поэтому вот руководство по веб-сайтам, нарушающим работу WordPress 5.5: как исправить.
Узнайте, что нового в WordPress 5.5
Вышел WordPress 5.5 «Eckstine»! Этот выпуск основной версии WordPress ориентирован на «скорость, поиск и безопасность», включая 1500+ изменений в интерфейсе редактора блоков, 150+ улучшений и запросов функций, более 300 исправлений ошибок и многое другое. Узнайте, что нового в WordPress 5.5.
Уязвимости плагина WordPress
1. Абсолютный член
Версии Ultimate Member ниже 2.1.7 имеют уязвимость Unauthenticated Open Redirect.
2. Мастер викторины и опроса
Версии Quiz и Survey Master ниже 7.0.1 имеют уязвимости, связанные с удалением произвольных файлов без аутентификации и загрузкой произвольных файлов.
3. Продавать медиа
Версии Sell Media ниже 2.4.2 имеют уязвимость Unauthenticated Reflected Cross-Site Scripting.
4. Лайтбоксы WordPress fancyBox
Версии WordPress fancyBox Lightbox ниже 1.0.2 имеют уязвимость Authenticated Stored Cross-Site Scripting.
5. Лайтбоксы WordPress Colorbox
Версии WordPress Colorbox Lightbox ниже 1.1.3 имеют уязвимость Authenticated Stored Cross-Site Scripting.
6. Продать фото
Все версии уязвимости Sell Photo Authenticated Stored Cross-Site Scripting.
7. Адаптивный лайтбокс2
Адаптивные версии Lightbox2 ниже 1.0.3 имеют уязвимость Authenticated Stored Cross-Site Scripting.
8. Галерея NextGEN Продать фото
Все версии NextGEN Gallery Sell Photo имеют уязвимость Authenticated Stored Cross-Site Scripting.
9. Легкая загрузка мультимедиа
Версии Easy Media Download ниже 1.1.5 имеют уязвимость Authenticated Stored Cross-Site Scripting.
10. Менеджер внутренних ссылок
Во всех версиях диспетчера внутренних ссылок есть уязвимости, связанные с несколькими сохраненными межсайтовыми сценариями с проверкой подлинности.
11. Элегантный отзыв
Все версии Elegant Testimonial содержат уязвимости, связанные с несколькими сохраненными межсайтовыми сценариями с проверкой подлинности.
12. Нажмите вверх
В версиях ниже 1.2.7 есть уязвимость Authenticated Stored Cross-Site Scripting.
13. Отзывы клиентов WP
Версии WP Customer Reviews ниже 3.4.3 содержат несколько уязвимостей XSS с аутентификацией и аутентификацией с низким уровнем привилегий.
14. Правила скидок для WooCommerce
Правила скидок для версий WooCommerce ниже 2.1.0 имеют множественные уязвимости.
15. Расширенный менеджер доступа
В версиях Advanced Access Manager ниже 6.6.2 есть уязвимости, связанные с обходом аутентифицированной авторизации и повышением привилегий.
16. WooCommerce - NAB Transact
WooCommerce - версии NAB Transact ниже 2.1.2 имеют уязвимость обхода платежей.
17. Кали Формы
В версиях Kali Forms ниже 2.1.2 есть несколько уязвимостей.
18. RSVPMaker
Версии RSVPMaker ниже 7.8.2 имеют уязвимость неаутентифицированного внедрения SQL.
19. Автоматическая оптимизация
Версии Autoptimize ниже 2.7.7 имеют уязвимость для аутентифицированной загрузки произвольных файлов.
Уязвимости темы WordPress
1. Еда, выпечка
FoodBakery версии 1.9 и ниже имеют уязвимость XSS, не прошедшая проверку подлинности.
2. Конзепт
Konzept версии ниже 2.5 имеют уязвимость неавторизованного отраженного XSS.
3. Nova Lite
Версии Nova Lite ниже 1.3.9 имеют уязвимость неавторизованного отраженного межсайтового скриптинга.
4. Домашние виллы
Все версии Home Villas имеют множественные уязвимости межсайтового скриптинга.
5. Журнал Geo
Все версии Geo Magazine содержат уязвимость XSS, не прошедшая проверку подлинности.
Защитите WordPress с помощью сканирования сайта безопасности iThemes
Знаете ли вы, что 60% взломов веб-сайтов связаны с уязвимостями, для которых был доступен патч, но не применен? Это означает, что наличие на вашем сайте программного обеспечения с известными уязвимостями дает хакерам необходимые им схемы для захвата вашего сайта.
С каждым днем становится все труднее и труднее отслеживать каждую обнаруженную уязвимость WordPress . Вы должны сравнить этот список с версиями плагинов и тем, которые вы установили на своем сайте… и убедиться, что вы постоянно обновляете.
Чтобы решить эту проблему, сегодня мы рады сообщить, что плагин iThemes Security Pro представляет лучший способ защиты ваших сайтов от уязвимостей программного обеспечения , главного виновника взлома и взлома сайтов WordPress.
Новое, улучшенное сканирование сайтов безопасности WordPress на базе iThemes выполняет автоматические проверки на наличие известных уязвимостей веб-сайтов, и, если доступно исправление, iThemes Security Pro теперь автоматически применит исправление для вас… так что вам не нужно. Уф. это какое-то спокойствие.
Плагин безопасности WordPress может помочь защитить ваш сайт
iThemes Security Pro, наш плагин безопасности WordPress, предлагает более 50 способов защиты и защиты вашего сайта от распространенных уязвимостей безопасности WordPress. С помощью WordPress, двухфакторной аутентификации, защиты от перебора паролей, надежного применения пароля и многого другого вы можете добавить дополнительный уровень безопасности на свой веб-сайт.
Каждую неделю Майкл составляет отчет об уязвимостях WordPress, чтобы обеспечить безопасность ваших сайтов. Как менеджер по продукту в iThemes, он помогает нам продолжать улучшать линейку продуктов iThemes. Он большой ботаник и любит узнавать обо всем, что есть в технологиях, старом и новом. Вы можете увидеть, как Майкл гуляет с женой и дочерью, читает или слушает музыку, когда не работает.
