รายงานช่องโหว่ของ WordPress: ธันวาคม 2021 ตอนที่ 4
เผยแพร่แล้ว: 2022-01-06ปลั๊กอินและธีมที่มีช่องโหว่เป็นสาเหตุอันดับ 1 ที่เว็บไซต์ WordPress ถูกแฮ็ก รายงานช่องโหว่ของ WordPress รายสัปดาห์ที่ขับเคลื่อนโดย WPScan ครอบคลุมถึงปลั๊กอิน ธีม และช่องโหว่หลักของ WordPress และสิ่งที่ควรทำหากคุณเรียกใช้ปลั๊กอินหรือธีมที่มีช่องโหว่บนเว็บไซต์ของคุณ
ช่องโหว่แต่ละจุดจะมีระดับความรุนแรง ต่ำ ปานกลาง สูง หรือ วิกฤต การเปิดเผยและการรายงานช่องโหว่อย่างมีความรับผิดชอบเป็นส่วนสำคัญในการทำให้ชุมชน WordPress ปลอดภัย ใหม่ในรายงานนี้: ช่องโหว่ต่างๆ ถูกจัดเรียงลำดับตามจำนวนการติดตั้งที่ใช้งานอยู่ แทนที่จะเป็นวันที่เปิดเผย
โปรดแชร์โพสต์นี้กับเพื่อนของคุณเพื่อช่วยเผยแพร่และทำให้ WordPress ปลอดภัยยิ่งขึ้นสำหรับทุกคน
ช่องโหว่หลักของ WordPress
คอร์ WordPress เวอร์ชันล่าสุดคือ 5.8.2 ตามแนวทางปฏิบัติที่ดีที่สุด อย่าลืมรัน WordPress core เวอร์ชันล่าสุดเสมอ!
ช่องโหว่ของปลั๊กอิน WordPress
ในส่วนนี้ ช่องโหว่ของปลั๊กอิน WordPress ล่าสุดได้รับการเปิดเผยแล้ว รายการปลั๊กอินแต่ละรายการประกอบด้วยประเภทของช่องโหว่ การติดตั้งที่ใช้งานอยู่ หมายเลขเวอร์ชันหากมีการแพตช์ และระดับความรุนแรง
1. ออลอินวัน SEO
ปลั๊กอิน: All In One SEO
ช่องโหว่ : Authenticated SQL Injection
การติดตั้งที่ใช้งานอยู่ : 3+ ล้าน
แพตช์ ในเวอร์ชัน : 4.1.5.3
คะแนน ความรุนแรง : สูง
ปลั๊กอิน: All In One SEO
ช่องโหว่ : Authenticated Privilege Escalation
การติดตั้งที่ใช้งานอยู่ : 3+ ล้าน
แพตช์ ในเวอร์ชัน : 4.1.5.3
คะแนน ความรุนแรง : วิกฤต
2. ฟีดโพสต์โซเชียล Smash Balloon
ปลั๊กอิน: ฟีดโพสต์โซเชียล Smash Balloon
ช่องโหว่ : Authenticated Reflected Cross-Site Scripting (XSS)
การติดตั้งที่ใช้งานอยู่ : 200,000+
แพตช์ในเวอร์ชัน : 4.1.1
คะแนน ความรุนแรง : ปานกลาง
3. ปฏิทินกิจกรรมสมัยใหม่ Lite
ปลั๊กอิน: ปฏิทินกิจกรรมสมัยใหม่ Lite
ช่องโหว่ : Subscriber+ Category Adding to Stored XSS
การติดตั้งที่ใช้งานอยู่ : 100,000+
แพตช์ในเวอร์ชัน : 6.2.0
คะแนน ความรุนแรง : ปานกลาง
4. WOOCS
ปลั๊กอิน: WOOCS
ช่องโหว่ : Reflected Cross-Site Scripting
การติดตั้งที่ใช้งานอยู่ : 60,000+
แพตช์ ในเวอร์ชัน : 1.3.7.3
คะแนน ความรุนแรง : สูง
5. แชทสดที่คมชัด
ปลั๊กอิน: แชทสดที่คมชัด
ช่องโหว่ : CSRF ถึง Stored Cross-Site Scripting
การติดตั้งที่ใช้งานอยู่ : 60,000+
แพตช์ในเวอร์ชัน : 0.32
คะแนน ความรุนแรง : สูง
6. เอฟเฟกต์โฮเวอร์รูปภาพขั้นสูงสุด
ปลั๊กอิน: Image Hover Effects Ultimate
ช่องโหว่ : Unauthenticated Arbitrary Option Update
การติดตั้งที่ใช้งานอยู่ : 20,000+
แพตช์ ในเวอร์ชัน : 9.7.0
คะแนน ความรุนแรง : วิกฤต
7. ระบบการจอง WP – ปฏิทินการจอง
ปลั๊กอิน: ระบบการจอง WP – ปฏิทินการจอง
ช่องโหว่ : Authenticated Reflected Cross-Site Scripting (XSS)
การติดตั้งที่ใช้งานอยู่ : 10,000+
แพตช์ ในเวอร์ชัน : 2.0.15
คะแนน ความรุนแรง : ปานกลาง
8. ตัวสร้างหน้า Landing Page
ปลั๊กอิน: ตัวสร้างหน้า Landing Page
ช่องโหว่ : Authenticated Reflected Cross-Site Scripting (XSS)
การติดตั้งที่ใช้งานอยู่ : 10,000+
แพตช์ ในเวอร์ชัน : 1.4.9.6
คะแนน ความรุนแรง : ปานกลาง
9. การวิเคราะห์เบื้องต้น
ปลั๊กอิน: การวิเคราะห์เชิงลึก
ช่องโหว่ : Admin+ Stored Cross-Site Scripting
การติดตั้งที่ใช้งานอยู่ : 2000+
แพตช์ในเวอร์ชัน : 3.0.5
คะแนน ความรุนแรง : ต่ำ
10. นักสู้ตัวจริง
ปลั๊กอิน: True Ranker
ช่องโหว่ : Unauthenticated Arbitrary File Access ผ่าน Path Traversal
การติดตั้งที่ใช้งานอยู่ : 200+
แพตช์ในเวอร์ชัน : 2.2.4
คะแนน ความรุนแรง : ต่ำ
ช่องโหว่ของปลั๊กอิน WordPress: ปิดปลั๊กอินแล้ว
ในส่วนนี้ ช่องโหว่ล่าสุดของปลั๊กอิน WordPress ได้รับการเปิดเผยในปลั๊กอินแบบปิด รายการปลั๊กอินแต่ละรายการประกอบด้วยประเภทของช่องโหว่ ระดับความรุนแรง และวันที่ปิด
11. ความคิดเห็น Engine Pro
ปลั๊กอิน: ความคิดเห็น Engine Pro
ช่องโหว่ : Editor+ Stored Cross-Site Scripting
Patched in Version : No Know Fix – ปลั๊กอินถูกปิด
คะแนน ความรุนแรง : ต่ำ
12. .htaccess เปลี่ยนเส้นทาง
ปลั๊กอิน: .htaccess Redirect
ช่องโหว่ : Reflected Cross-Site Scripting
Patched in Version : No Know Fix – ปลั๊กอินถูกปิด
คะแนน ความรุนแรง : สูง
13. Parsian Bank Gateway สำหรับ Woocommerce
ปลั๊กอิน: Parsian Bank Gateway สำหรับ Woocommerce
ช่องโหว่ : Reflected Cross-Site Scripting
Patched in Version : No Know Fix – ปลั๊กอินถูกปิด
คะแนน ความรุนแรง : สูง
14. จริง WYSIWYG
ปลั๊กอิน: จริง WYSIWYG
ช่องโหว่ : Reflected Cross-Site Scripting
Patched in Version : No Know Fix – ปลั๊กอินถูกปิด
คะแนน ความรุนแรง : สูง
15. ตัวจัดการรายการลิงก์
ปลั๊กอิน: ตัวจัดการรายการลิงก์
ช่องโหว่ : Reflected Cross-Site Scripting
Patched in Version : No Know Fix – ปลั๊กอินถูกปิด
คะแนน ความรุนแรง : สูง
16. แกลลอรี่รูปภาพอย่างง่าย
ปลั๊กอิน: แกลลอรี่รูปภาพอย่างง่าย
ช่องโหว่ : Reflected Cross-Site Scripting
Patched in Version : No Know Fix – ปลั๊กอินถูกปิด
คะแนน ความรุนแรง : สูง
17. WooCommerce EnvioPack
ปลั๊กอิน: WooCommerce EnvioPack
ช่องโหว่ : Reflected Cross-Site Scripting
Patched in Version : No Know Fix – ปลั๊กอินถูกปิด
คะแนน ความรุนแรง : สูง
18. เสียงโพสต์เวทย์มนตร์
ปลั๊กอิน: Magic Post Voice
ช่องโหว่ : Reflected Cross-Site Scripting
Patched in Version : No Know Fix – ปลั๊กอินถูกปิด
คะแนน ความรุนแรง : สูง
19. ตัวแก้ไข H5P CSS
ปลั๊กอิน: H5P CSS Editor
ช่องโหว่ : Reflected Cross-Site Scripting
Patched in Version : No Know Fix – ปลั๊กอินถูกปิด
คะแนน ความรุนแรง : สูง
20. duoคำถามที่พบบ่อย
ปลั๊กอิน: duoFAQ
ช่องโหว่ : Reflected Cross-Site Scripting
Patched in Version : No Know Fix – ปลั๊กอินถูกปิด
คะแนน ความรุนแรง : สูง
21. เสียงโพสต์เวทย์มนตร์
ปลั๊กอิน: Magic Post Voice
ช่องโหว่ : Reflected Cross-Site Scripting
Patched in Version : No Know Fix – ปลั๊กอินถูกปิด
คะแนน ความรุนแรง : สูง
22. เกตเวย์การชำระเงิน WooCommerce myghpay
ปลั๊กอิน: WooCommerce myghpay Payment Gateway
ช่องโหว่ : Reflected Cross-Site Scripting
Patched in Version : No Know Fix – ปลั๊กอินถูกปิด
คะแนน ความรุนแรง : สูง
ช่องโหว่ปลั๊กอินพรีเมียม
ในส่วนนี้ ช่องโหว่ปลั๊กอินพรีเมียมล่าสุดของ WordPress ได้รับการเปิดเผยแล้ว รายการปลั๊กอินแต่ละรายการประกอบด้วยประเภทของช่องโหว่ หมายเลขเวอร์ชันหากมีการแพตช์ และระดับความรุนแรง
23. ส่วนเสริมสำหรับ Elementor Pro
ปลั๊กอิน: ส่วนเสริม Plus สำหรับ Elementor – Pro
ช่องโหว่ : การเปิดเผยข้อมูลที่ละเอียดอ่อน
แพต ช์ในเวอร์ชัน : 5.0.7
คะแนน ความรุนแรง : ปานกลาง
ปลั๊กอิน: ส่วนเสริม Plus สำหรับ Elementor – Pro
ช่องโหว่ : Unauthenticated SQL Injection
แพต ช์ในเวอร์ชัน : 5.0.7
คะแนน ความรุนแรง : ปานกลาง
24. Lets Box
ปลั๊กอิน: Lets Box
ช่องโหว่ : Reflected Cross-Site Scripting
แพตช์ ในเวอร์ชัน : 1.13.3
คะแนน ความรุนแรง : ปานกลาง
25. แชร์หนึ่งไดรฟ์
ปลั๊กอิน: แชร์หนึ่งไดรฟ์
ช่องโหว่ : Reflected Cross-Site Scripting
แพตช์ ในเวอร์ชัน : 1.15.3
คะแนน ความรุนแรง : ปานกลาง
26. นอกกรอบ
ปลั๊กอิน: ออกจากกล่อง
ช่องโหว่ : Reflected Cross-Site Scripting
แพตช์ ในเวอร์ชัน : 1.20.3
คะแนน ความรุนแรง : ปานกลาง
27. ใช้ไดรฟ์ของคุณ
ปลั๊กอิน: ใช้ไดรฟ์ของคุณ
ช่องโหว่ : Reflected Cross-Site Scripting
แพตช์ ในเวอร์ชัน : 1.18.3
คะแนน ความรุนแรง : ปานกลาง
วิธีป้องกันเว็บไซต์ WordPress ของคุณจากปลั๊กอินและธีมที่มีช่องโหว่
ดังที่คุณเห็นจากรายงานนี้ มีการเปิดเผยปลั๊กอิน WordPress และช่องโหว่ของธีมใหม่จำนวนมากในแต่ละสัปดาห์ เราทราบดีว่าการติดตามการเปิดเผยช่องโหว่ที่รายงานทุกครั้งอาจเป็นเรื่องยาก ดังนั้นปลั๊กอิน iThemes Security Pro จึงช่วยให้แน่ใจได้ง่ายว่าไซต์ของคุณไม่ได้ใช้งานธีม ปลั๊กอิน หรือเวอร์ชันหลักของ WordPress ที่มีช่องโหว่ที่ทราบ
1. ติดตั้งปลั๊กอิน iThemes Security Pro
ปลั๊กอิน iThemes Security Pro ทำให้ไซต์ WordPress ของคุณแข็งแกร่งขึ้นจากวิธีการทั่วไปที่เว็บไซต์ถูกแฮ็ก ด้วย 30 วิธีในการรักษาความปลอดภัยไซต์ของคุณในปลั๊กอินเดียวที่ใช้งานง่าย
2. เปิดใช้งานการสแกนไซต์เพื่อตรวจสอบช่องโหว่ที่รู้จัก
คุณลักษณะการจัดการเวอร์ชันใน iThemes Security Pro ทำงานร่วมกับ Site Scan เพื่อปกป้องไซต์ของคุณ ธีม ปลั๊กอิน และเวอร์ชันหลักของ WordPress ที่มีช่องโหว่จะได้รับการอัปเดตโดยอัตโนมัติสำหรับคุณ
3. เปิดใช้งานการตรวจจับการเปลี่ยนแปลงไฟล์
กุญแจสำคัญในการระบุการละเมิดความปลอดภัยอย่างรวดเร็วคือการตรวจสอบการเปลี่ยนแปลงไฟล์บนเว็บไซต์ของคุณ ฟีเจอร์การตรวจจับการเปลี่ยนแปลงไฟล์ใน iThemes Security Pro จะสแกนไฟล์ในเว็บไซต์ของคุณและแจ้งเตือนคุณเมื่อมีการเปลี่ยนแปลงบนเว็บไซต์ของคุณ
รับ iThemes Security Pro พร้อมการตรวจสอบความปลอดภัยเว็บไซต์ 24/7
iThemes Security Pro ปลั๊กอินความปลอดภัย WordPress ของเรามีมากกว่า 50 วิธีในการรักษาความปลอดภัยและปกป้องเว็บไซต์ของคุณจากช่องโหว่ด้านความปลอดภัยทั่วไปของ WordPress ด้วย WordPress การรับรองความถูกต้องด้วยสองปัจจัย การป้องกันแบบเดรัจฉาน การบังคับใช้รหัสผ่านที่รัดกุม และอื่นๆ คุณสามารถเพิ่มระดับการรักษาความปลอดภัยเพิ่มเติมให้กับเว็บไซต์ของคุณได้
