รายงานช่องโหว่ของ WordPress: สิงหาคม 2021 ตอนที่ 3

เผยแพร่แล้ว: 2021-08-18

ปลั๊กอินและธีมที่มีช่องโหว่เป็นสาเหตุอันดับ 1 ที่เว็บไซต์ WordPress ถูกแฮ็ก รายงานช่องโหว่ของ WordPress รายสัปดาห์ที่ขับเคลื่อนโดย WPScan ครอบคลุมถึงปลั๊กอิน ธีม และช่องโหว่หลักของ WordPress และสิ่งที่ควรทำหากคุณเรียกใช้ปลั๊กอินหรือธีมที่มีช่องโหว่บนเว็บไซต์ของคุณ

ช่องโหว่แต่ละจุดจะมีระดับความรุนแรง ต่ำ ปานกลาง สูง หรือ วิกฤต การเปิดเผยและการรายงานช่องโหว่อย่างมีความรับผิดชอบเป็นส่วนสำคัญในการทำให้ชุมชน WordPress ปลอดภัย

ในฐานะหนึ่งในรายงานช่องโหว่ WordPress ที่ใหญ่ที่สุดในปัจจุบัน โปรดแชร์โพสต์นี้กับเพื่อนของคุณเพื่อช่วยเผยแพร่และทำให้ WordPress ปลอดภัยยิ่งขึ้นสำหรับทุกคน

เนื้อหาในรายงาน 18 สิงหาคม 2564

ต้องการส่งรายงานนี้ไปยังกล่องจดหมายของคุณทุกสัปดาห์หรือไม่

ลงทะเบียนฉันขึ้น!

ช่องโหว่หลักของ WordPress

ไม่มีการเปิดเผยช่องโหว่หลักของ WordPress ในเดือนนี้

1. ล้างการเข้าสู่ระบบ

ปลั๊กอิน: ล้างการเข้าสู่ระบบ
ช่องโหว่ : Reflected Cross-Site Scripting
แพตช์ ในเวอร์ชัน : 1.12.6.4
คะแนน ความรุนแรง : ปานกลาง

ช่องโหว่ได้รับการแก้ไขแล้ว ดังนั้นคุณควรอัปเดตเป็นเวอร์ชัน 1.12.6.4

2. SliceWP

ปลั๊กอิน: SliceWP
ช่องโหว่ : Reflected Cross-Site Scripting (XSS)
แพตช์ ในเวอร์ชัน : 1.0.46
คะแนน ความรุนแรง : สูง

ช่องโหว่ได้รับการแก้ไขแล้ว ดังนั้นคุณควรอัปเดตเป็นเวอร์ชัน 1.0.46

3. WordPress Download Manager

ปลั๊กอิน: WordPress Download Manager
ช่องโหว่ : อัปเดตการตั้งค่าเทมเพลตอีเมลผ่าน CSRF
แพตช์ ในเวอร์ชัน : 3.2.13
คะแนน ความรุนแรง : ปานกลาง

ช่องโหว่ได้รับการแก้ไขแล้ว ดังนั้นคุณควรอัปเดตเป็นเวอร์ชัน 3.2.13

4. พูดออกไป! อีเมลคำร้อง

ปลั๊กอิน: SpeakOut! อีเมลคำร้อง
ช่องโหว่ : Reflected Cross-Site Scripting
แพตช์ในเวอร์ชัน : 2.13.3
คะแนน ความรุนแรง : สูง

ช่องโหว่ได้รับการแก้ไขแล้ว ดังนั้นคุณควรอัปเดตเป็นเวอร์ชัน 2.13.3

5. บทวิจารณ์เว็บไซต์

ปลั๊กอิน: บทวิจารณ์เว็บไซต์
ช่องโหว่ : Authenticated Stored XSS
แพตช์ ในเวอร์ชัน : 5.13.1
คะแนน ความรุนแรง : ต่ำ

ช่องโหว่ได้รับการแก้ไขแล้ว ดังนั้นคุณควรอัปเดตเป็นเวอร์ชัน 5.13.1

6. ติวเตอร์ LMS

ปลั๊กอิน: ติวเตอร์ LMS
ช่องโหว่ : Reflected Cross-Site Scripting
แพตช์ในเวอร์ชัน : 1.9.6
คะแนน ความรุนแรง : สูง

ช่องโหว่ได้รับการแก้ไขแล้ว ดังนั้นคุณควรอัปเดตเป็นเวอร์ชัน 1.9.6

7. แถบการแจ้งเตือน WPFront

ปลั๊กอิน: แถบการแจ้งเตือน WPFront
ช่องโหว่ : Authenticated Stored XSS
แพตช์ ในเวอร์ชัน : 2.1.08087
คะแนน ความรุนแรง : ต่ำ

ช่องโหว่ได้รับการแก้ไขแล้ว ดังนั้นคุณควรอัปเดตเป็นเวอร์ชัน 2.1.08087

8. ตัวสร้างแบบฟอร์ม

ปลั๊กอิน: ตัว สร้างแบบฟอร์ม
ช่องโหว่ : Reflected Cross-Site Scripting (XSS)
แพตช์ ในเวอร์ชัน : 1.9.8.5
คะแนน ความรุนแรง : สูง

ช่องโหว่ได้รับการแก้ไขแล้ว ดังนั้นคุณควรอัปเดตเป็นเวอร์ชัน 1.9.8.5

ปลั๊กอิน: ตัว สร้างแบบฟอร์ม
ช่องโหว่ : Authenticated Stored Cross-Site Scripting
แพตช์ ในเวอร์ชัน : 1.9.8.4
คะแนน ความรุนแรง : ต่ำ

ช่องโหว่ได้รับการแก้ไขแล้ว ดังนั้นคุณควรอัปเดตเป็นเวอร์ชัน 1.9.8.4

9. การสำรองข้อมูล WPvivid

ปลั๊กอิน: การสำรองข้อมูล WPvivid
ช่องโหว่ : Reflected Cross-Site Scripting
แพตช์ ในเวอร์ชัน : 0.9.56
คะแนน ความรุนแรง : สูง

ช่องโหว่ได้รับการแก้ไขแล้ว ดังนั้นคุณควรอัปเดตเป็นเวอร์ชัน 0.9.56

10. AddToAny

ปลั๊กอิน: AddToAny
ช่องโหว่ : Authenticated Stored XSS
แพตช์ ในเวอร์ชัน : 1.7.46
คะแนน ความรุนแรง : ต่ำ

ช่องโหว่ได้รับการแก้ไขแล้ว ดังนั้นคุณควรอัปเดตเป็นเวอร์ชัน 1.7.46

11. หยุดการรักษาความปลอดภัยของผู้ส่งอีเมลขยะ

ปลั๊กอิน: Stop Spammers Security
ช่องโหว่ : Authenticated Stored XSS
แพตช์ ในเวอร์ชัน : 2021.18
คะแนน ความรุนแรง : ต่ำ

ช่องโหว่ได้รับการแก้ไขแล้ว ดังนั้นคุณควรอัปเดตเป็นเวอร์ชัน 2021.18

12. คีย์เวิร์ด & Meta

ปลั๊กอิน: คีย์เวิร์ด & Meta
ช่องโหว่ : CSRF ไปยัง Stored Cross-Site Scripting (XSS)
แพทช์ในเวอร์ชัน : ไม่มีโปรแกรมแก้ไขที่รู้จัก
คะแนน ความรุนแรง : สูง

ช่องโหว่นี้ยังไม่ได้รับการแก้ไข ถอนการติดตั้งและลบปลั๊กอินจนกว่าจะมีการเปิดตัวแพตช์

13. กรอบไททัน

ปลั๊กอิน: Titan Framework
ช่องโหว่ : Reflected Cross-Site Scripting (XSS)
แพทช์ในเวอร์ชัน : ไม่มีโปรแกรมแก้ไขที่รู้จัก
คะแนน ความรุนแรง : สูง

ส่งผลกระทบต่อปลั๊กอิน:

4k-icon-fonts-for-visual-composer – ไม่มีการแก้ไขที่รู้จัก – ปิดปลั๊กอินแล้ว
adblock-notify-by-bweb – ไม่มีการแก้ไขที่รู้จัก
affiliate-pro – ไม่มีการแก้ไขที่ทราบ – ปิดปลั๊กอินแล้ว
amp-extensions – ไม่มีการแก้ไขที่รู้จัก
อาโออิโทริ – ไม่ทราบวิธีแก้ไข
การสนับสนุนที่ยอดเยี่ยม – ไม่มีการแก้ไขที่รู้จัก
Betteroptin – ไม่ทราบวิธีแก้ไข – ปิดปลั๊กอินแล้ว
border-loading-bar – ไม่มีการแก้ไขที่รู้จัก
catchers-helpdesk – ไม่มีการแก้ไขที่รู้จัก
หมวดหมู่แกลเลอรี่ – ไม่มีการแก้ไขที่รู้จัก
หมวดหมู่แกลเลอรี่-woocommerce – ไม่มีการแก้ไขที่รู้จัก
cf7-customizer – ไม่มีการแก้ไขที่รู้จัก
Clinicalwp-core – ไม่มีการแก้ไขที่รู้จัก
cool-facebook-page-feed-timeline – ไม่มีการแก้ไขที่รู้จัก – ปิดปลั๊กอินแล้ว
custom-scroll-bar-designer – ไม่มีการแก้ไขที่รู้จัก
custom-text-selection-colors – ไม่มีการแก้ไขที่รู้จัก
disable-image-right-click – ไม่มีการแก้ไขที่รู้จัก
easy-gallery-slideshow – ไม่มีการแก้ไขที่รู้จัก
easy-google-map – ไม่ทราบวิธีแก้ไข
easy-justified-gallery – ไม่มีการแก้ไขที่รู้จัก
email-my-posts – ไม่ทราบวิธีแก้ไข
exit-popup-show – ไม่มีการแก้ไขที่รู้จัก
เที่ยวบินค้นหาวิดเจ็ตบล็อก – ไม่มีการแก้ไขที่รู้จัก
ไอคอนพร้อมลิงก์วิดเจ็ต – ไม่มีการแก้ไขที่ทราบ – ปิดปลั๊กอินแล้ว
icustomizer – ไม่มีการแก้ไขที่รู้จัก
live-chat-facebook-fanpage – ยังไม่มีการแก้ไข
กระจกสื่อ – ไม่มีการแก้ไขที่รู้จัก
เมนูมือถือ – ไม่ทราบวิธีแก้ไข
popup-modal-for-youtube – ไม่มีการแก้ไขที่รู้จัก
โครงการแอป – ไม่มีการแก้ไขที่รู้จัก
seatgeek-affiliate-tickets – ไม่มีการแก้ไขที่เป็นที่รู้จัก
seo-dashboard-by-gutewebsites-de – ไม่มีการแก้ไขที่เป็นที่รู้จัก
share-woocommerce-email – ไม่ทราบวิธีแก้ไข
simple-behace-portfolio – ไม่มีการแก้ไขที่รู้จัก
stars-menu – ไม่ทราบวิธีแก้ไข – ปิดปลั๊กอินแล้ว
station-pro – ไม่มีการแก้ไขที่รู้จัก
โพสต์ที่เกี่ยวข้องกับเหนียว – ไม่ทราบการแก้ไข – ปิดปลั๊กอินแล้ว
tcs3 – ไม่มีการแก้ไขที่รู้จัก
template-events-calendar – ไม่มีการแก้ไขที่เป็นที่รู้จัก
Total-sales-for-woocommerce – ไม่มีการแก้ไขที่เป็นที่รู้จัก
tr-easy-google-analytics – ไม่ทราบวิธีแก้ไข – ปิดปลั๊กอินแล้ว
Venture-event-manager – ไม่ทราบวิธีแก้ไข
w3s-cf7-zoho – ไม่ทราบวิธีแก้ไข
webhotelier – ไม่มีการแก้ไขที่เป็นที่รู้จัก
woo-availability-date – ไม่มีการแก้ไขที่รู้จัก
woo-whatsapp-request-quote – ไม่มีการแก้ไขที่ทราบ – ปิดปลั๊กอินแล้ว
woosaleskit-bar – ไม่ทราบวิธีแก้ไข – ปิดปลั๊กอินแล้ว
ปุ่ม yandex-money- ไม่มีการแก้ไขที่รู้จัก

14. WP Fusion Lite

ปลั๊กอิน: WP Fusion Lite
ช่องโหว่ : CSRF ต่อการลบข้อมูล
แพตช์ ในเวอร์ชัน : 3.37.30
คะแนน ความรุนแรง : ปานกลาง

ช่องโหว่ได้รับการแก้ไขแล้ว ดังนั้นคุณควรอัปเดตเป็นเวอร์ชัน 3.37.30

ปลั๊กอิน: WP Fusion Lite
ช่องโหว่ : Reflected Cross-Site Scripting (XSS)
แพตช์ ในเวอร์ชัน : 3.37.30
คะแนน ความรุนแรง : สูง

ช่องโหว่ได้รับการแก้ไขแล้ว ดังนั้นคุณควรอัปเดตเป็นเวอร์ชัน 3.37.30

ปลั๊กอิน: WP Fusion Lite
ช่องโหว่ : Reflected Cross-Site Scripting (XSS)
แพตช์ ในเวอร์ชัน : 3.37.31
คะแนน ความรุนแรง : สูง

ช่องโหว่ได้รับการแก้ไขแล้ว ดังนั้นคุณควรอัปเดตเป็นเวอร์ชัน 3.37.31

15. บล็อกและหยุด Bad Bots

ปลั๊กอิน: บล็อกและหยุดบอทที่ไม่ดี
ช่องโหว่ : Authenticated SQL Injections
แพตช์ในเวอร์ชัน : 6.60
คะแนน ความรุนแรง : ปานกลาง

ช่องโหว่ได้รับการแก้ไขแล้ว ดังนั้นคุณควรอัปเดตเป็นเวอร์ชัน 6.60

16. WP ปฏิทินการจองอย่างง่าย

ปลั๊กอิน: WP Simple Booking Calendar
ช่องโหว่ : Authenticated SQL Injections
แพตช์ในเวอร์ชัน : 2.0.6
คะแนน ความรุนแรง : ปานกลาง

ช่องโหว่ได้รับการแก้ไขแล้ว ดังนั้นคุณควรอัปเดตเป็นเวอร์ชัน 2.0.6

17. การสมัครสมาชิกแบบชำระเงิน

ปลั๊กอิน: สมัครสมาชิกแบบชำระเงิน
ช่องโหว่ : Authenticated SQL Injections
แพตช์ในเวอร์ชัน : 2.4.2
คะแนน ความรุนแรง : ปานกลาง

ช่องโหว่ได้รับการแก้ไขแล้ว ดังนั้นคุณควรอัปเดตเป็นเวอร์ชัน 2.4.2

18. Favicon โดย RealFaviconGenerator

ปลั๊กอิน: Favicon โดย RealFaviconGenerator
ช่องโหว่ : Reflected Cross-Site Scripting (XSS)
แพตช์ในเวอร์ชัน : 1.3.22
คะแนน ความรุนแรง : สูง

ช่องโหว่ได้รับการแก้ไขแล้ว ดังนั้นคุณควรอัปเดตเป็นเวอร์ชัน 1.3.22

19. อาลีเพย์

ปลั๊กอิน: Alipay
ช่องโหว่ : Authenticated SQL Injection
แพทช์ในเวอร์ชัน : ไม่มีโปรแกรมแก้ไขที่รู้จัก
คะแนน ความรุนแรง : ปานกลาง

20. Cashtomer

ปลั๊กอิน: Cashtomer
ช่องโหว่ : Authenticated SQL Injection
แพทช์ในเวอร์ชัน : ไม่มีโปรแกรมแก้ไขที่รู้จัก
คะแนน ความรุนแรง : ปานกลาง

21. สมาชิก WordPress SwiftCloud.io

ปลั๊กอิน: สมาชิก WordPress SwiftCloud.io
ช่องโหว่ : Authenticated SQL Injection
แพทช์ในเวอร์ชัน : ไม่มีโปรแกรมแก้ไขที่รู้จัก
คะแนน ความรุนแรง : ปานกลาง

22. สมาชิก WordPress SwiftCloud.io

ปลั๊กอิน: เน้นความคิดเห็น
ช่องโหว่ : Authenticated SQL Injection
แพทช์ในเวอร์ชัน : ไม่มีโปรแกรมแก้ไขที่รู้จัก
คะแนน ความรุนแรง : ปานกลาง

23. ผู้จัดการรับรองง่าย

ปลั๊กอิน: Easy Testimonial Manager
ช่องโหว่ : Authenticated SQL Injection
แพทช์ในเวอร์ชัน : ไม่มีโปรแกรมแก้ไขที่รู้จัก
คะแนน ความรุนแรง : ปานกลาง

24. ฝังวิดีโอ Youtube

ปลั๊กอิน: ฝังวิดีโอ Youtube
ช่องโหว่ : Authenticated SQL Injection
แพทช์ในเวอร์ชัน : ไม่มีโปรแกรมแก้ไขที่รู้จัก
คะแนน ความรุนแรง : ปานกลาง

25. แบบทดสอบและสำรวจปรมาจารย์

ปลั๊กอิน: แบบทดสอบและสำรวจ Master
ช่องโหว่ : Reflected Cross-Site Scripting
แพตช์ ในเวอร์ชัน : 7.1.14
คะแนน ความรุนแรง : สูง

ช่องโหว่ได้รับการแก้ไขแล้ว ดังนั้นคุณควรอัปเดตเป็นเวอร์ชัน 7.1.14

26. จองคิวออนไลน์

ปลั๊กอิน: นัดหมายออนไลน์
ช่องโหว่ : Authenticated Stored Cross-Site Scripting (XSS)
แพตช์ในเวอร์ชัน : 1.39
คะแนน ความรุนแรง : ต่ำ

ช่องโหว่ได้รับการแก้ไขแล้ว ดังนั้นคุณควรอัปเดตเป็นเวอร์ชัน 1.39

27. Google Authenticator ของ miniOrange

ปลั๊กอิน: Google Authenticator ของ miniOrange
ช่องโหว่ : Reflected Cross-Site Scripting
แพตช์ ในเวอร์ชัน : 5.4.40
คะแนน ความรุนแรง : สูง

ช่องโหว่ได้รับการแก้ไขแล้ว ดังนั้นคุณควรอัปเดตเป็นเวอร์ชัน 5.4.40

28. การรับรองความถูกต้องด้วยสองปัจจัย

ปลั๊กอิน: การ ตรวจสอบสิทธิ์สองปัจจัย
ช่องโหว่ : Reflected Cross-Site Scripting
แพตช์ในเวอร์ชัน : 1.0.8
คะแนน ความรุนแรง : สูง

ช่องโหว่ได้รับการแก้ไขแล้ว ดังนั้นคุณควรอัปเดตเป็นเวอร์ชัน 1.0.8

29. เวลาละหมาดประจำวัน

ปลั๊กอิน: เวลาละหมาดประจำวัน
ช่องโหว่ : Authenticated Stored XSS
แพตช์ ในเวอร์ชัน : 2021.08.10
คะแนน ความรุนแรง : ต่ำ

ช่องโหว่ได้รับการแก้ไขแล้ว ดังนั้นคุณควรอัปเดตเป็นเวอร์ชัน 2021.08.10

30. โปรแกรมสร้างมุมมองโพสต์ที่กำหนดเอง

ปลั๊กอิน: ตัว สร้างมุมมองโพสต์แบบกำหนดเอง
ช่องโหว่ : Reflected Cross-Site Scripting
แพทช์ในเวอร์ชัน : ไม่มีโปรแกรมแก้ไขที่รู้จัก
คะแนน ความรุนแรง : สูง

31. เครื่องเล่นวิดีโอ FV Flowplayer

ปลั๊กอิน: เครื่องเล่นวิดีโอ FV Flowplayer
ช่องโหว่ : Reflected Cross-Site Scripting
แพตช์ ในเวอร์ชัน : 7.5.3.727
คะแนน ความรุนแรง : สูง

ช่องโหว่ได้รับการแก้ไขแล้ว ดังนั้นคุณควรอัปเดตเป็นเวอร์ชัน 7.5.3.727

32. แกลอรี่รูปภาพ

ปลั๊กอิน: แกลลอรี่รูปภาพ
ช่องโหว่ : Authenticated Stored XSS
แพทช์ในเวอร์ชัน : ไม่มีโปรแกรมแก้ไขที่รู้จัก
คะแนน ความรุนแรง : ต่ำ

33. Software License Manager

ปลั๊กอิน: Software License Manager
ช่องโหว่ : Reflected Cross-Site Scripting
แพตช์ในเวอร์ชัน : 4.4.8 (ปิดปลั๊กอินแล้ว)
คะแนน ความรุนแรง : สูง

ช่องโหว่ได้รับการแก้ไขแล้ว ดังนั้นคุณควรอัปเดตเป็นเวอร์ชัน 4.4.8

34. ต่อหน้า เพิ่มในหัว

ปลั๊กอิน: ต่อหน้า เพิ่มในส่วนหัว
ช่องโหว่ : Authenticated Stored XSS
แพทช์ในเวอร์ชัน : ไม่มีโปรแกรมแก้ไขที่รู้จัก
คะแนน ความรุนแรง : ต่ำ

ปลั๊กอิน: ต่อหน้า เพิ่มในส่วนหัว
ช่องโหว่ : CSRF ไปยัง XSS . ที่จัดเก็บไว้
แก้ไขในเวอร์ชัน : 1.4.4 (ปิดปลั๊กอินแล้ว)
คะแนน ความรุนแรง : สูง

ช่องโหว่ได้รับการแก้ไขแล้ว ดังนั้นคุณควรอัปเดตเป็นเวอร์ชัน 1.4.4

35. Securimage-WP-คงที่

ปลั๊กอิน: Securimage-WP-Fixed
ช่องโหว่ : Reflected Cross-Site Scripting (XSS)
แพทช์ในเวอร์ชัน : ไม่มีโปรแกรมแก้ไขที่รู้จัก
คะแนน ความรุนแรง : สูง

36. การส่งออกรูปภาพ

ปลั๊กอิน: การ ส่งออกรูปภาพ
ช่องโหว่ : Directory Traversal
แพทช์ในเวอร์ชัน : ไม่มีโปรแกรมแก้ไขที่รู้จัก
คะแนน ความรุนแรง : วิกฤต

37. ตัวเลื่อนข้อความเนื้อหาบนโพสต์

ปลั๊กอิน: ตัวเลื่อนข้อความเนื้อหาบนโพสต์
ช่องโหว่ : Authenticated Stored Cross-Site Scripting (XSS)
แพตช์ในเวอร์ชัน : 6.9
คะแนน ความรุนแรง : ปานกลาง

ช่องโหว่ได้รับการแก้ไขแล้ว ดังนั้นคุณควรอัปเดตเป็นเวอร์ชัน 6.9

38. ตัวสร้างแบบฟอร์มการติดต่อ

ปลั๊กอิน: ตัวสร้าง แบบฟอร์มการติดต่อ
ช่องโหว่ : การปลอมแปลงคำขอข้ามไซต์หลายครั้ง (CSRF)
แพทช์ในเวอร์ชัน : ไม่มีโปรแกรมแก้ไขที่รู้จัก
คะแนน ความรุนแรง : สูง

39. Calendar_plugin

ปลั๊กอิน: Calendar_plugin
ช่องโหว่ : Reflected Cross-Site Scripting
แพทช์ในเวอร์ชัน : ไม่มีโปรแกรมแก้ไขที่รู้จัก
คะแนน ความรุนแรง : สูง

40. เพิ่มแถบด้านข้าง

ปลั๊กอิน: เพิ่มแถบด้านข้าง
ช่องโหว่ : Reflected Cross-Site Scripting
แพทช์ในเวอร์ชัน : ไม่มีโปรแกรมแก้ไขที่รู้จัก
คะแนน ความรุนแรง : สูง

41. แท็ก SEO WP

ปลั๊กอิน: แท็ก WP SEO
ช่องโหว่ : Reflected Cross-Site Scripting
แพทช์ในเวอร์ชัน : ไม่มีโปรแกรมแก้ไขที่รู้จัก
คะแนน ความรุนแรง : สูง

42. Moova สำหรับ WooCommerce

ปลั๊กอิน: Moova สำหรับ WooCommerce
ช่องโหว่ : Reflected Cross-Site Scripting
แพทช์ในเวอร์ชัน : ไม่มีโปรแกรมแก้ไขที่รู้จัก
คะแนน ความรุนแรง : สูง

43. ตัวหมุนแท็กไลน์ jQuery

ปลั๊กอิน: jQuery Tagline Rotator
ช่องโหว่ : Reflected Cross-Site Scripting
แพทช์ในเวอร์ชัน : ไม่มีโปรแกรมแก้ไขที่รู้จัก
คะแนน ความรุนแรง : สูง

44. ตารางราคา Plugmatter Lite

ปลั๊กอิน: ตารางราคา Plugmatter Lite
ช่องโหว่ : Reflected Cross-Site Scripting
แพทช์ในเวอร์ชัน : ไม่มีโปรแกรมแก้ไขที่รู้จัก
คะแนน ความรุนแรง : สูง

45. จดหมายข่าวป๊อปอัปง่าย ๆ

ปลั๊กอิน: จดหมายข่าวป๊อปอัปอย่างง่าย
ช่องโหว่ : Reflected Cross-Site Scripting
แพทช์ในเวอร์ชัน : ไม่มีโปรแกรมแก้ไขที่รู้จัก
คะแนน ความรุนแรง : สูง

46. TypoFR

ปลั๊กอิน: TypoFR
ช่องโหว่ : Reflected Cross-Site Scripting
แพทช์ในเวอร์ชัน : ไม่มีโปรแกรมแก้ไขที่รู้จัก
คะแนน ความรุนแรง : สูง

47. หนังสือเพลง WP

ปลั๊กอิน: WP Songbook
ช่องโหว่ : Reflected Cross-Site Scripting
แพทช์ในเวอร์ชัน : ไม่มีโปรแกรมแก้ไขที่รู้จัก
คะแนน ความรุนแรง : สูง

48. ความสัมพันธ์ประเภทโพสต์แบบกำหนดเอง

ปลั๊กอิน: ความสัมพันธ์ประเภทโพสต์แบบกำหนดเอง
ช่องโหว่ : Reflected Cross-Site Scripting
แพทช์ในเวอร์ชัน : ไม่มีโปรแกรมแก้ไขที่รู้จัก
คะแนน ความรุนแรง : สูง

49. วิดีโอคอล 2 ทางและแชทแบบสุ่ม

ปลั๊กอิน: วิดีโอคอล 2 ทาง และแชทแบบสุ่ม
ช่องโหว่ : Reflected Cross-Site Scripting
แพทช์ในเวอร์ชัน : ไม่มีโปรแกรมแก้ไขที่รู้จัก
คะแนน ความรุนแรง : สูง

50. น้ำพุ WP

ปลั๊กอิน: WP Fountain
ช่องโหว่ : Reflected Cross-Site Scripting
แพทช์ในเวอร์ชัน : ไม่มีโปรแกรมแก้ไขที่รู้จัก
คะแนน ความรุนแรง : สูง

51. การใช้สื่อ

ปลั๊กอิน: การใช้สื่อ
ช่องโหว่ : Reflected Cross-Site Scripting
แพทช์ในเวอร์ชัน : ไม่มีโปรแกรมแก้ไขที่รู้จัก
คะแนน ความรุนแรง : สูง

52. แผนที่เขียนลวก ๆ

ปลั๊กอิน: Scribble Maps
ช่องโหว่ : Reflected Cross-Site Scripting
แพทช์ในเวอร์ชัน : ไม่มีโปรแกรมแก้ไขที่รู้จัก
คะแนน ความรุนแรง : สูง

53. เกมผู้เล่นหลายคน

ปลั๊กอิน: เกมผู้เล่นหลายคน
ช่องโหว่ : Reflected Cross-Site Scripting
แพทช์ในเวอร์ชัน : ไม่มีโปรแกรมแก้ไขที่รู้จัก
คะแนน ความรุนแรง : สูง

54. สเก๊ตบาซาร์

ปลั๊กอิน: Skaut bazar
ช่องโหว่ : Reflected Cross-Site Scripting
แพทช์ในเวอร์ชัน : ไม่มีโปรแกรมแก้ไขที่รู้จัก
คะแนน ความรุนแรง : สูง

55. การแจ้งเตือนอีเมลอัจฉริยะ

ปลั๊กอิน: การ แจ้งเตือนอีเมลอัจฉริยะ
ช่องโหว่ : Reflected Cross-Site Scripting
แพทช์ในเวอร์ชัน : ไม่มีโปรแกรมแก้ไขที่รู้จัก
คะแนน ความรุนแรง : สูง

56. ผลงานพฤติกรรมที่เรียบง่าย

ปลั๊กอิน: Simple Behance Portfolio
ช่องโหว่ : Reflected Cross-Site Scripting
แพทช์ในเวอร์ชัน : ไม่มีโปรแกรมแก้ไขที่รู้จัก
คะแนน ความรุนแรง : สูง

ช่องโหว่ของธีม WordPress

หมายเหตุเกี่ยวกับการเปิดเผยข้อมูลอย่างมีความรับผิดชอบ

คุณอาจสงสัยว่าเหตุใดช่องโหว่จึงถูกเปิดเผยหากช่องโหว่นั้นทำให้แฮ็กเกอร์สามารถโจมตีได้ เป็นเรื่องปกติมากที่นักวิจัยด้านความปลอดภัยจะค้นหาและรายงานช่องโหว่ไปยังผู้พัฒนาซอฟต์แวร์เป็นการส่วนตัว

ด้วย การเปิดเผยอย่าง มี ความรับผิดชอบ รายงานเบื้องต้นของผู้วิจัยจะจัดทำขึ้นเป็นการส่วนตัวสำหรับนักพัฒนาของบริษัทที่เป็นเจ้าของซอฟต์แวร์ แต่ด้วยข้อตกลงว่ารายละเอียดทั้งหมดจะถูกเผยแพร่เมื่อมีการเผยแพร่แพตช์แล้ว สำหรับช่องโหว่ด้านความปลอดภัยที่สำคัญ อาจมีความล่าช้าเล็กน้อยในการเปิดเผยช่องโหว่เพื่อให้ผู้คนมีเวลามากขึ้นในการแก้ไข

นักวิจัยด้านความปลอดภัยอาจกำหนดเส้นตายให้ผู้พัฒนาซอฟต์แวร์ตอบกลับรายงานหรือจัดเตรียมโปรแกรมแก้ไข หากไม่เป็นไปตามกำหนดเวลา ผู้วิจัยอาจเปิดเผยช่องโหว่ต่อสาธารณะเพื่อกดดันผู้พัฒนาให้ออกโปรแกรมแก้ไข

การเปิดเผยช่องโหว่ในที่สาธารณะและดูเหมือนว่าจะแนะนำช่องโหว่ Zero-Day ซึ่งเป็นช่องโหว่ประเภทหนึ่งที่ไม่มีโปรแกรมแก้ไขและกำลังถูกเอารัดเอาเปรียบในป่า อาจดูเหมือนเป็นการต่อต้าน แต่เป็นการใช้ประโยชน์เพียงอย่างเดียวที่นักวิจัยต้องกดดันนักพัฒนาให้แก้ไขช่องโหว่

หากแฮ็กเกอร์ค้นพบช่องโหว่ พวกเขาสามารถใช้ Exploit อย่างเงียบ ๆ และสร้างความเสียหายให้กับผู้ใช้ปลายทาง (นี่คือคุณ) ในขณะที่ผู้พัฒนาซอฟต์แวร์ยังคงเนื้อหาเกี่ยวกับการไม่แก้ไขช่องโหว่ดังกล่าว Project Zero ของ Google มีแนวทางที่คล้ายกันในการเปิดเผยช่องโหว่ พวกเขาเผยแพร่รายละเอียดทั้งหมดของช่องโหว่หลังจาก 90 วันว่าช่องโหว่นั้นได้รับการแก้ไขหรือไม่

วิธีป้องกันเว็บไซต์ WordPress ของคุณจากปลั๊กอินและธีมที่มีช่องโหว่

ดังที่คุณเห็นจากรายงานนี้ มีการเปิดเผยปลั๊กอิน WordPress และช่องโหว่ของธีมใหม่จำนวนมากในแต่ละสัปดาห์ เราทราบดีว่าการติดตามการเปิดเผยช่องโหว่ที่รายงานทุกครั้งอาจเป็นเรื่องยาก ดังนั้นปลั๊กอิน iThemes Security Pro ทำให้ง่ายต่อการตรวจสอบให้แน่ใจว่าไซต์ของคุณไม่ได้ใช้ธีม ปลั๊กอิน หรือเวอร์ชันหลักของ WordPress ที่มีช่องโหว่ที่ทราบ

1. เปิด iThemes Security Pro Site Scanner

เครื่องสแกนเว็บไซต์ของปลั๊กอิน iThemes Security Pro จะสแกนหาเหตุผลที่ #1 ไซต์ WordPress ถูกแฮ็ก: ปลั๊กอินและธีมที่ล้าสมัยพร้อมช่องโหว่ที่ทราบ Site Scanner จะตรวจสอบไซต์ของคุณเพื่อหาช่องโหว่ที่ทราบ และใช้โปรแกรมแก้ไขโดยอัตโนมัติหากมี

หากต้องการเปิดใช้งานการสแกนไซต์ในการติดตั้งใหม่ ให้ไปที่แท็บตรวจสอบไซต์บนเมนูคุณลักษณะภายในปลั๊กอิน และคลิกปุ่มสลับเพื่อเปิดใช้งานการ สแกนไซต์

รูปภาพนี้มี Alt แอตทริบิวต์ที่ว่างเปล่า ชื่อไฟล์คือ enable-site-scan-1-1024x519.png

หากต้องการเรียกใช้การสแกนไซต์ด้วยตนเอง ให้คลิกปุ่ม สแกนทันที บนการ์ดแดชบอร์ดความปลอดภัยการสแกนไซต์

รูปภาพนี้มี Alt แอตทริบิวต์ที่ว่างเปล่า ชื่อไฟล์คือ Site-Scans-Security-Card.png

หาก Site Scan ตรวจพบช่องโหว่ ให้คลิกลิงก์ช่องโหว่เพื่อดูหน้ารายละเอียด

รูปภาพนี้มี Alt แอตทริบิวต์ที่ว่างเปล่า ชื่อไฟล์คือ vulnerabilities-details-page-1024x580.png

ในหน้าช่องโหว่ของ Site Scan คุณจะเห็นว่ามีการแก้ไขสำหรับช่องโหว่หรือไม่ หากมีโปรแกรมแก้ไข คุณสามารถคลิกปุ่ม อัปเดตปลั๊กอิน เพื่อใช้การแก้ไขในเว็บไซต์ของคุณ

2. เปิดการจัดการเวอร์ชัน

คุณลักษณะการจัดการเวอร์ชันใน iThemes Security Pro ทำงานร่วมกับ Site Scan เพื่อปกป้องไซต์ของคุณเมื่อซอฟต์แวร์ที่ล้าสมัยไม่ได้รับการอัปเดตอย่างรวดเร็วเพียงพอ แม้แต่มาตรการรักษาความปลอดภัยที่เข้มงวดที่สุดก็ยังล้มเหลวหากคุณใช้งานซอฟต์แวร์ที่มีช่องโหว่ในเว็บไซต์ของคุณ การตั้งค่าเหล่านี้ช่วยปกป้องไซต์ของคุณด้วยตัวเลือกในการอัปเดตเป็นเวอร์ชันใหม่โดยอัตโนมัติหากมีช่องโหว่ที่ทราบและมีโปรแกรมแก้ไข

จากหน้าการตั้งค่าใน iThemes Security Pro ให้ไปที่หน้าจอคุณสมบัติ คลิกแท็บตรวจสอบไซต์ จากที่นี่ ใช้สลับเพื่อเปิดใช้งานการจัดการเวอร์ชัน เมื่อใช้อุปกรณ์การตั้งค่า คุณสามารถกำหนดการตั้งค่าต่างๆ ได้มากขึ้น รวมถึงวิธีที่คุณต้องการให้ iThemes Security Pro จัดการกับการอัปเดต WordPress, ปลั๊กอิน, ธีม และการป้องกันเพิ่มเติม

ตรวจสอบให้แน่ใจว่าได้เลือก อัปเดตอัตโนมัติ หากแก้ไขช่องช่องโหว่ เพื่อให้ iThemes Security Pro อัปเดตปลั๊กอินหรือธีมโดยอัตโนมัติ หากแก้ไขช่องโหว่ที่ Site Scanner พบ

3. รับอีเมลแจ้งเตือนเมื่อ iThemes Security Pro พบช่องโหว่ที่รู้จักในเว็บไซต์ของคุณ

เมื่อคุณเปิดใช้งาน Site Scan Scheduling แล้ว ให้ไปที่ การ ตั้งค่า ศูนย์การแจ้งเตือน ของปลั๊กอิน ในหน้าจอนี้ ให้เลื่อนไปที่ส่วน ผลลัพธ์การสแกนไซต์

รูปภาพนี้มี Alt แอตทริบิวต์ที่ว่างเปล่า ชื่อไฟล์คือ site-scan-results-1024x550.jpg

คลิกช่องเพื่อเปิดใช้อีเมลแจ้งเตือน จากนั้นคลิกปุ่ม บันทึกการตั้งค่า

ในระหว่างการสแกนไซต์ตามกำหนดเวลา คุณจะได้รับอีเมลหาก iThemes Security Pro ตรวจพบช่องโหว่ที่ทราบ อีเมลจะมีลักษณะดังนี้

รับ iThemes Security Pro และพักผ่อนให้ง่ายขึ้นในคืนนี้

iThemes Security Pro ปลั๊กอินความปลอดภัย WordPress ของเรามีมากกว่า 50 วิธีในการรักษาความปลอดภัยและปกป้องเว็บไซต์ของคุณจากช่องโหว่ด้านความปลอดภัยทั่วไปของ WordPress ด้วย WordPress การตรวจสอบสิทธิ์แบบสองปัจจัย การป้องกันแบบเดรัจฉาน การบังคับใช้รหัสผ่านที่รัดกุม และอื่นๆ คุณสามารถเพิ่มระดับการรักษาความปลอดภัยเพิ่มเติมให้กับเว็บไซต์ของคุณได้

ไมเคิล มัวร์

ในแต่ละสัปดาห์ Michael จะรวบรวมรายงานช่องโหว่ของ WordPress เพื่อช่วยให้เว็บไซต์ของคุณปลอดภัย ในฐานะผู้จัดการผลิตภัณฑ์ที่ iThemes เขาช่วยเราปรับปรุงรายการผลิตภัณฑ์ iThemes ต่อไป เขาเป็นคนเนิร์ดยักษ์และชอบเรียนรู้เกี่ยวกับเทคโนโลยีทุกอย่าง ทั้งเก่าและใหม่ คุณสามารถหาไมเคิลไปเที่ยวกับภรรยาและลูกสาว อ่านหนังสือหรือฟังเพลงเมื่อไม่ได้ทำงาน