Обзор уязвимостей WordPress: май 2020 г., часть 2

Во второй половине мая были обнаружены новые уязвимости плагинов и тем WordPress, поэтому мы хотим держать вас в курсе. В этом посте мы расскажем о недавних уязвимостях плагинов, тем и основных уязвимостей WordPress, а также о том, что делать, если вы используете один из уязвимых плагинов или тем на своем веб-сайте.

Новые уязвимости плагинов и тем WordPress были обнаружены во второй половине апреля, поэтому мы хотим держать вас в курсе. В этом посте мы расскажем о недавних уязвимостях плагинов, тем и основных уязвимостей WordPress, а также о том, что делать, если вы используете один из уязвимых плагинов или тем на своем веб-сайте.

Обзор уязвимостей WordPress разделен на четыре категории:

1. Ядро WordPress
2. Плагины WordPress
3. Темы WordPress

У каждой уязвимости будет низкий , средний , высокий или критический рейтинг угрозы.

Уязвимости ядра WordPress

В мае 2020 года не было обнаружено никаких уязвимостей WordPress.

Уязвимости плагина WordPress

В этом месяце было обнаружено несколько новых уязвимостей плагина WordPress. Обязательно следуйте предлагаемым ниже действиям, чтобы обновить плагин или полностью удалить его.

1. Site Kit от Google - критический

Site Kit от Google версий ниже 1.8.0 имеет уязвимость повышения привилегий, которая позволяет злоумышленнику стать владельцем Search Console.

2. Простые отзывы - критические

Версии Easy Testimonials ниже 3.6 имеют уязвимость Authenticated Stored Cross-Site Scripting.

3. Обзор продукта WP - высокий

Версии WP Product Review ниже 3.7.6 имеют уязвимость неавторизованного хранимого межсайтового скриптинга.

4. Всплывающее окно входа / регистрации - критическое.

Версии всплывающих окон входа / регистрации ниже 1.5 имеют уязвимость Authenticated Stored Cross-Site Scripting.

5. Фотогалерея от 10Web - Critical

Фотогалерея от 10Web версий ниже 1.5.55 содержит уязвимость неаутентифицированного внедрения SQL.

6. Члены команды - критические

Версии членов группы ниже 5.0.4 имеют уязвимость Authenticated Stored Cross-Site Scripting.

7. Visual Composer Website Builder - высокий уровень

Версии Visual Composer Website Builder ниже 27.0 имеют несколько уязвимостей межсайтового скриптинга с проверкой подлинности.

8. WordPress Infinite Scroll - критическое значение.

Версии WordPress Infinite Scroll ниже 5.3.2 имеют уязвимость Authenticated SQL Injection.

9. Профиль WP Frontend - низкий

Версии профиля WP Frontend Profile ниже 1.2.2 имеют уязвимость подделки межсайтовых запросов.

10. Платное членство Pro - среднее

Платное членство в версиях Pro ниже 2.3.3 имеет уязвимость аутентифицированного внедрения SQL-кода.

11. Менеджер партнерских ссылок ThirstyAffiliates - средний

ThirstyAffiliates Affiliate Link Manager версий ниже 3.9.3 имеет уязвимость Authenticated Stored Criss-Site Scripting.

12. Официальные формы регистрации MailerLite - критично

Официальные формы регистрации MailerLite версии ниже 1.4.5 имеют несколько уязвимостей CSRF.

13. Дополнительная контактная форма SweetAlert 7 - низкая

Надстройка SweetAlert Contact Form 7 версий ниже 1.0.8 имеет уязвимость Authenticated Stored Cross-Site Scripting.

14. Form Maker от 10Web - High

В приведенных ниже версиях 10Web в Form Maker есть уязвимость 1.13.36, связанная с внедрением аутентифицированного SQL-кода.

WordPress темы

Во второй половине мая уязвимостей темы WordPress не было обнаружено.

Как быть активным в отношении уязвимостей тем и плагинов WordPress

Использование устаревшего программного обеспечения - это причина номер один взлома сайтов WordPress. Для безопасности вашего сайта WordPress крайне важно, чтобы у вас была процедура обновления. Вы должны входить на свои сайты не реже одного раза в неделю, чтобы выполнять обновления.

Автоматические обновления могут помочь

Автоматические обновления - отличный выбор для веб-сайтов WordPress, которые не меняются очень часто. Из-за недостатка внимания эти сайты часто остаются без внимания и уязвимы для атак. Даже при рекомендуемых настройках безопасности запуск уязвимого программного обеспечения на вашем сайте может дать злоумышленнику точку входа на ваш сайт.

Использование Pro плагин функции управления версиями iThemes Security, вы можете включить автоматическое обновление WordPress , чтобы убедиться , что вы получаете последние обновления безопасности. Эти настройки помогают защитить ваш сайт с помощью опций для автоматического обновления до новых версий или повышения безопасности пользователей, когда программное обеспечение сайта устарело.

Параметры обновления управления версиями

• Обновления WordPress - автоматическая установка последней версии WordPress.
• Автоматические обновления плагинов - автоматическая установка последних обновлений плагинов. Это должно быть включено, если вы активно не поддерживаете этот сайт на ежедневной основе и не устанавливаете обновления вручную вскоре после их выпуска.
• Автоматические обновления тем - автоматическая установка последних обновлений тем. Это должно быть включено, если ваша тема не имеет настроек файла.
• Детальный контроль над обновлениями плагинов и тем - у вас могут быть плагины / темы, которые вы хотите обновить вручную или отложить обновление до тех пор, пока выпуск не станет стабильным. Вы можете выбрать « Пользовательский» для возможности назначить каждому плагину или теме немедленное обновление ( Включить ), не обновлять автоматически ( Отключить ) или обновлять с задержкой в ​​указанное количество дней ( Задержка ).

Усиление и предупреждение о критических проблемах

• Усиление сайта при использовании устаревшего программного обеспечения - автоматическое добавление дополнительных средств защиты для сайта, если доступное обновление не было установлено в течение месяца. Плагин iThemes Security автоматически включит более строгую безопасность, если обновление не было установлено в течение месяца. Во-первых, он заставит всех пользователей, у которых не включен двухфакторный режим, предоставить код входа, отправленный на их адрес электронной почты, перед повторным входом в систему. Во-вторых, он отключит редактор файлов WP (чтобы заблокировать людей от редактирования кода плагина или темы) , Пингбэки XML-RPC и блокировка нескольких попыток аутентификации для каждого запроса XML-RPC (оба из которых сделают XML-RPC более устойчивым к атакам, не отключая его полностью).
• Сканировать другие старые сайты WordPress - это проверит наличие других устаревших установок WordPress в вашей учетной записи хостинга. Один устаревший сайт WordPress с уязвимостью может позволить злоумышленникам взломать все другие сайты в той же учетной записи хостинга.
• Отправлять уведомления по электронной почте - для проблем, требующих вмешательства, электронное письмо отправляется пользователям с правами администратора.

Управление несколькими сайтами WP? Обновите плагины, темы и ядро ​​сразу с панели управления iThemes Sync

iThemes Sync - это наша центральная панель управления, которая поможет вам управлять несколькими сайтами WordPress. На панели управления Sync вы можете просматривать доступные обновления для всех ваших сайтов, а затем обновлять плагины, темы и ядро ​​WordPress одним щелчком мыши . Вы также можете получать ежедневные уведомления по электронной почте, когда доступно обновление новой версии.

Попробуйте синхронизацию бесплатно в течение 30 дней

Плагин безопасности WordPress может помочь защитить ваш сайт

iThemes Security Pro, наш плагин безопасности WordPress, предлагает более 30 способов защиты и защиты вашего сайта от распространенных уязвимостей безопасности WordPress. С помощью WordPress, двухфакторной аутентификации, защиты от перебора паролей, надежного применения пароля и многого другого вы можете добавить дополнительный уровень безопасности на свой веб-сайт.

Майкл Мур

Каждую неделю Майкл составляет отчет об уязвимостях WordPress, чтобы обеспечить безопасность ваших сайтов. Как менеджер по продукту в iThemes, он помогает нам продолжать улучшать линейку продуктов iThemes. Он большой ботаник и любит узнавать обо всем, что есть в технологиях, старом и новом. Вы можете увидеть, как Майкл гуляет с женой и дочерью, читает или слушает музыку, когда не работает.