Обзор уязвимостей WordPress: июнь 2020 г., часть 1

Опубликовано: 2020-08-18

Новые уязвимости плагинов и тем WordPress были обнаружены в первой половине июня, поэтому мы хотим держать вас в курсе. В этом посте мы расскажем о недавних уязвимостях плагинов, тем и основных уязвимостей WordPress, а также о том, что делать, если вы используете один из уязвимых плагинов или тем на своем веб-сайте.

Обзор уязвимостей WordPress разделен на три категории:

  1. Ядро WordPress
  2. Плагины WordPress
  3. Темы WordPress

У каждой уязвимости будет низкий , средний , высокий или критический рейтинг угрозы.

Уязвимости ядра WordPress

1. Обновление до WordPress 5.4.2 - критическое

Доступна версия WordPress 5.4.2. Это важный релиз для безопасности и обслуживания. Более ранние версии подвержены множеству ошибок безопасности, которые исправлены в версии 5.4.2. Если вы еще не обновились до 5.4, есть также обновленные версии 5.3 и более ранние, в которых устранены проблемы с безопасностью.

Вы можете загрузить WordPress 5.4.2 с WordPress.org или посетить панель администратора WP> Обновления и нажать « Обновить сейчас» . Если у вас есть сайты, поддерживающие автоматические фоновые обновления, они должны быть уже обновлены.

Уязвимости исправлены, и вам следует выполнить обновление до WordPress 5.4.2.

Уязвимости плагина WordPress

В этом месяце было обнаружено несколько новых уязвимостей плагина WordPress. Обязательно следуйте предлагаемым ниже действиям, чтобы обновить плагин или полностью удалить его.

1. Перетащите и оставьте загрузку нескольких файлов для контактной формы 7 - критически важно

Перетаскивание нескольких файлов для загрузки для Contact Form 7 версий ниже 1.3.3.3 содержит уязвимость, позволяющую обходить загрузку файлов без проверки подлинности.

Уязвимость исправлена, и вам необходимо выполнить обновление до версии 1.3.3.3.

2. Конструктор страниц: PageLayer - Конструктор веб-сайтов с перетаскиванием - Высокая

Page Builder: PageLayer - версии конструктора веб-сайтов с перетаскиванием ниже 1.1.2 имеют незащищенный AJAX, ведущий к XSS, и CSRF, ведущий к XSS-уязвимостям.

Уязвимость исправлена, и вам следует выполнить обновление до версии 1.1.2.

3. Карты MapPress - критические

Версии MapPress Maps ниже 2.54.6 имеют уязвимость «Неправильная проверка возможностей» в вызовах AJAX.

Уязвимость исправлена, и вам следует выполнить обновление до версии 2.54.6.

4. Финальная сетка плиток в фотогалерее - критическое значение

Image Photo Gallery Final Tiles Grid версии ниже 3.4.19 имеют уязвимость Authenticated Stored Cross-Site Scripting.

Уязвимость исправлена, и вам необходимо выполнить обновление до версии 3.4.19.

5. bbPress - критический

Версии bbPress ниже 2.6.5 имеют уязвимость повышения привилегий без аутентификации при включенной регистрации нового пользователя.

Уязвимость исправлена, и вам следует выполнить обновление до версии 2.6.5.

6. Мульти-планировщик - высокий

Все версии Multi Scheduler имеют уязвимость для произвольного удаления записи через CSRF-уязвимость.

Удалите плагин, пока не будет выпущено исправление безопасности.

7. JobSearch - высокий

В версиях JobSearch ниже 1.5.1 есть уязвимость неавторизованного отраженного межсайтового скриптинга.

Уязвимость исправлена, и вам необходимо выполнить обновление до версии 1.5.1.

8. AdRotate - средний

В версиях AdRotate ниже 5.8.4 есть уязвимость Authenticated SQL Injection.

Уязвимость исправлена, и вам необходимо выполнить обновление до версии 5.8.4.

9. Elementor Page Builder - высокий

Версии Elementor Page Builder ниже 2.9.10 имеют уязвимость Authenticated Stored XSS.

Уязвимость исправлена, и вам следует выполнить обновление до версии 2.9.10.

10. SportsPress - высокий

Версии SportsPress ниже 2.7.2 имеют уязвимость Authenticated Stored Cross-Site Scripting.

Уязвимость исправлена, и вам следует выполнить обновление до версии 2.7.2.

WordPress темы

1. Careerfy - High

Версии Careerfy ниже 3.9.0 имеют уязвимость неавторизованного отраженного межсайтового скриптинга.

Уязвимость исправлена, и вам следует выполнить обновление до версии 3.9.0.

2. Газета - High

Версии газет ниже 10.3.4 имеют уязвимость Authenticated Reflected Cross-Site Scripting.

Уязвимость исправлена, и вам следует выполнить обновление до версии 10.3.4.

Новый! Защитите свой сайт WordPress с помощью сканирования сайта безопасности iThemes.

Знаете ли вы, что 60% взломов веб-сайтов связаны с уязвимостями, для которых был доступен патч, но не применен? Это означает, что наличие на вашем сайте программного обеспечения с известными уязвимостями дает хакерам необходимые им схемы для захвата вашего сайта.

С каждым днем ​​становится все труднее и труднее отслеживать каждую обнаруженную уязвимость WordPress . Вы должны сравнить этот список с версиями плагинов и тем, которые вы установили на своем сайте… и убедиться, что вы постоянно обновляете.

Чтобы решить эту проблему, сегодня мы рады сообщить, что плагин iThemes Security Pro представляет лучший способ защиты ваших сайтов от уязвимостей программного обеспечения , главного виновника взлома и взлома сайтов WordPress.

Новое, улучшенное сканирование сайтов безопасности WordPress на базе iThemes выполняет автоматические проверки на наличие известных уязвимостей веб-сайтов, и, если доступно исправление, iThemes Security Pro теперь автоматически применит исправление для вас… так что вам не нужно. Уф. это какое-то спокойствие.

Подробная информация об уязвимости сканирования сайта

Плагин безопасности WordPress может помочь защитить ваш сайт

iThemes Security Pro, наш плагин безопасности WordPress, предлагает более 30 способов защиты и защиты вашего сайта от распространенных уязвимостей безопасности WordPress. С помощью WordPress, двухфакторной аутентификации, защиты от перебора паролей, надежного применения пароля и многого другого вы можете добавить дополнительный уровень безопасности на свой веб-сайт.

Узнайте больше о безопасности WordPress с 10 ключевыми советами. Загрузите электронную книгу сейчас: Руководство по безопасности WordPress
Скачать сейчас