รายงานช่องโหว่ของ WordPress: ตุลาคม 2021 ตอนที่ 1

ปลั๊กอินและธีมที่มีช่องโหว่เป็นสาเหตุอันดับ 1 ที่เว็บไซต์ WordPress ถูกแฮ็ก รายงานช่องโหว่ของ WordPress รายสัปดาห์ที่ขับเคลื่อนโดย WPScan ครอบคลุมถึงปลั๊กอิน ธีม และช่องโหว่หลักของ WordPress และสิ่งที่ควรทำหากคุณเรียกใช้ปลั๊กอินหรือธีมที่มีช่องโหว่บนเว็บไซต์ของคุณ

ช่องโหว่แต่ละจุดจะมีระดับความรุนแรง ต่ำ ปานกลาง สูง หรือ วิกฤต การเปิดเผยและการรายงานช่องโหว่อย่างมีความรับผิดชอบเป็นส่วนสำคัญในการทำให้ชุมชน WordPress ปลอดภัย

โปรดแชร์โพสต์นี้กับเพื่อนของคุณเพื่อช่วยเผยแพร่และทำให้ WordPress ปลอดภัยยิ่งขึ้นสำหรับทุกคน

เวอร์ชันล่าสุดของแกน WordPress คือ 5.8.1 ได้รับการเผยแพร่เป็นรุ่นความปลอดภัยและการบำรุงรักษา ตามแนวทางปฏิบัติที่ดีที่สุด อย่าลืมรัน WordPress core เวอร์ชันล่าสุดเสมอ!

ในส่วนนี้ ช่องโหว่ของปลั๊กอิน WordPress ล่าสุดได้รับการเปิดเผยแล้ว รายการปลั๊กอินแต่ละรายการประกอบด้วยประเภทของช่องโหว่ หมายเลขเวอร์ชันหากมีการแพตช์ และระดับความรุนแรง

1. เครื่องมือ WP DSGVO

ปลั๊กอิน: เครื่องมือ WP DSGVO
ช่องโหว่ : Unauthenticated Plugin's Settings Update to Stored Cross-Site Scripting
แพทช์ ในเวอร์ชัน : 3.1.24 – ปิดปลั๊กอิน
คะแนน ความรุนแรง : สูง

2. คำคมดีๆ

ปลั๊กอิน: คำคมที่ดี
ช่องโหว่ : Admin+ Stored Cross-Site Scripting
Patched in Version : No Know Fix – ปลั๊กอินถูกปิด
คะแนน ความรุนแรง : ต่ำ

3. การดีบัก WP

ปลั๊กอิน: WP Debugging
ช่องโหว่ : Unauthenticated Plugin's Settings Update
แพตช์ในเวอร์ชัน : 2.11.0
คะแนน ความรุนแรง : ปานกลาง

4. ตรวจสอบและบันทึกอีเมล

ปลั๊กอิน: ตรวจสอบและบันทึกอีเมล
ช่องโหว่ : Admin+ SQL Injections
แพตช์ในเวอร์ชัน : 1.0.3
คะแนน ความรุนแรง : ปานกลาง

5. Permalink Manager Lite

ปลั๊กอิน: Permalink Manager Lite
ช่องโหว่ : Admin+ SQL Injection
แพตช์ในเวอร์ชัน : 2.2.13.1
คะแนน ความรุนแรง : ปานกลาง

6. ตารางผลิตภัณฑ์ WooCommerce Lite

ปลั๊กอิน: ตารางผลิตภัณฑ์ WooCommerce Lite
ช่องโหว่ : Reflected Cross-Site Scripting
แพตช์ในเวอร์ชัน : 2.4.0
คะแนน ความรุนแรง : ปานกลาง

7. ตัวสร้างตาราง WP

ปลั๊กอิน: ตัว สร้างตาราง WP
ช่องโหว่ : Reflected Cross-Site Scripting
แพตช์ ในเวอร์ชัน : 1.3.10
คะแนน ความรุนแรง : สูง

8. ตัวสร้างแบบฟอร์มภาพ

ปลั๊กอิน: Visual Form Builder
ช่องโหว่ : Admin+ Stored Cross-Site Scripting
แพตช์ในเวอร์ชัน : 3.0.4
คะแนน ความรุนแรง : ต่ำ

9. NinjaForms

ปลั๊กอิน: NinjaForms
ช่องโหว่: Admin+ Stored Cross-Site Scripting
แพตช์ ในเวอร์ชัน : 3.5.8.2
คะแนน ความรุนแรง : ต่ำ

10. Wappointment

ปลั๊กอิน: Wappointment
ช่องโหว่ : Unauthenticated Stored Cross-Site Scripting
แพตช์ในเวอร์ชัน : 2.2.5
คะแนน ความรุนแรง : สูง

11. Countdown and CountUp, WooCommerce Sales Timers

ปลั๊กอิน: นับถอยหลังและนับถอยหลัง, ตัวจับเวลาการขายของ WooCommerce
ช่องโหว่ : CSRF ไปยัง Stored Cross-Site Scripting
แพตช์ในเวอร์ชัน : 1.5.8
คะแนน ความรุนแรง : สูง

11. uListing

ปลั๊กอิน: uListing
ช่องโหว่ : อัปเดตการตั้งค่าผ่าน CSRF
แพตช์ในเวอร์ชัน : 2.0.6
คะแนน ความรุนแรง : ปานกลาง

ปลั๊กอิน: uListing
ช่องโหว่ : Unauthenticated SQL Injection
แพตช์ในเวอร์ชัน : 2.0.4
คะแนน ความรุนแรง : สูง

ปลั๊กอิน: uListing
ช่องโหว่ : Unauthenticated Privilege Escalation
แพตช์ในเวอร์ชัน : 2.0.6
คะแนน ความรุนแรง : ปานกลาง

ปลั๊กอิน: uListing
ช่องโหว่ : แก้ไขบทบาทของผู้ใช้ผ่าน CSRF
แพตช์ในเวอร์ชัน : 2.0.6
คะแนน ความรุนแรง : ปานกลาง

ปลั๊กอิน: uListing
ช่องโหว่ : หลาย CSRF
แพตช์ในเวอร์ชัน : 2.0.6
คะแนน ความรุนแรง : ปานกลาง

ปลั๊กอิน: uListing
ช่องโหว่ : Reflected Cross-Site Scripting
แพตช์ในเวอร์ชัน : 2.0.6
คะแนน ความรุนแรง : ปานกลาง

ปลั๊กอิน: uListing
ช่องโหว่ : Authenticated IDOR
แพตช์ในเวอร์ชัน : 2.0.6
คะแนน ความรุนแรง : ปานกลาง

12. โหมดการบำรุงรักษา YITH

ปลั๊กอิน: โหมดบำรุงรักษา YITH
ช่องโหว่ : ผู้ดูแลระบบหลายคน + การเขียนสคริปต์ข้ามไซต์ที่เก็บไว้
แพตช์ในเวอร์ชัน : 1.4.0
คะแนน ความรุนแรง : ต่ำ

ปลั๊กอิน: โหมดบำรุงรักษา YITH
ช่องโหว่ : Admin+ Stored Cross-Site Scripting
แพตช์ในเวอร์ชัน : 1.3.8
คะแนน ความรุนแรง : ต่ำ

13 แบบฟอร์มการติดต่อ WordPress โดย Cimatti

ปลั๊กอิน: แบบฟอร์มการติดต่อ WordPress โดย Cimatti
ช่องโหว่ : Admin+ Stored Cross-Site Scripting
แพตช์ในเวอร์ชัน : 1.4.12
คะแนน ความรุนแรง : ต่ำ

14. แท็ก OG

ปลั๊กอิน: แท็ก OG
ช่องโหว่ : อัปเดตการตั้งค่าปลั๊กอินผ่าน CSRF
แพตช์ในเวอร์ชัน : 2.0.2
คะแนน ความรุนแรง : ปานกลาง

15. ไดเร็กทอรีธุรกิจการเชื่อมต่อ

ปลั๊กอิน: Connections Business Directory
ช่องโหว่ : Admin+ Stored Cross-Site Scripting
แพตช์ในเวอร์ชัน : 10.4.3
คะแนน ความรุนแรง : ต่ำ

16. ตัวโหลดล่วงหน้าแบบแบน

ปลั๊กอิน: Flat Preloader
ช่องโหว่ : Admin+ Stored Cross-Site Scripting
แพตช์ในเวอร์ชัน : 1.5.5
คะแนน ความรุนแรง : ปานกลาง

ปลั๊กอิน: Flat Preloader
ช่องโหว่ : CSRF ไปยัง Stored Cross-Site Scripting
แพตช์ในเวอร์ชัน : 1.54
คะแนน ความรุนแรง : สูง

17. คูลแท็กคลาวด์

ปลั๊กอิน: Cool Tag Cloud
ช่องโหว่ : Contributor+ Stored Cross-Site Scripting
แพตช์ในเวอร์ชัน : 2.26
คะแนน ความรุนแรง : ปานกลาง

18. อยู่ระหว่างการก่อสร้าง

ปลั๊กอิน: underConstruction
ช่องโหว่ : Reflected Cross-Site Scripting
แพตช์ในเวอร์ชัน : 1.19
คะแนน ความรุนแรง : สูง

19. เมนูร้านอาหารโดย MotoPress

ปลั๊กอิน: เมนูร้านอาหารโดย MotoPress
ช่องโหว่ : Authenticated Stored Cross Site Scripting
Patched in Version : No Know Fix – ปลั๊กอินถูกปิด
คะแนน ความรุนแรง : ต่ำ

20. AutomatorWP

ปลั๊กอิน: AutomatorWP
ช่องโหว่ : ไม่มีการอนุญาตและการยกระดับสิทธิ์
แพตช์ในเวอร์ชัน : 1.7.6
คะแนน ความรุนแรง : ปานกลาง

21. ปฏิกิริยา WP Lite

ปลั๊กอิน: WP Reactions Lite
ช่องโหว่ : Authenticated Stored Cross Site Scripting
แพตช์ในเวอร์ชัน : 1.3.6
คะแนน ความรุนแรง : ต่ำ

22. รายการราคาอย่างมีสไตล์

ปลั๊กอิน: รายการราคาที่มีสไตล์
ช่องโหว่ : Subscriber+ Arbitrary Image Upload
แพตช์ ในเวอร์ชัน : 6.9.1
คะแนน ความรุนแรง : ปานกลาง

ปลั๊กอิน: รายการราคาที่มีสไตล์
ช่องโหว่ : Unauthenticated Arbitrary Image Upload
แพตช์ในเวอร์ชัน : 6.9.0
คะแนน ความรุนแรง : ปานกลาง

23 ไอคอนโซเชียลง่าย ๆ

ปลั๊กอิน: ไอคอนโซเชียลง่าย ๆ
ช่องโหว่ : Reflected Cross-Site Scripting
แพตช์ในเวอร์ชัน : 3.0.9
คะแนน ความรุนแรง : สูง

ปลั๊กอิน: ไอคอนโซเชียลง่าย ๆ
ช่องโหว่ : Reflected Cross-Site Scripting
แพตช์ในเวอร์ชัน : 3.1.3
คะแนน ความรุนแรง : สูง

24. WPeMatico RSS Feed Fetcher

ปลั๊กอิน: WPeMatico RSS Feed Fetcher
ช่องโหว่ : Admin+ Stored Cross-Site Scripting
แพตช์ในเวอร์ชัน : 2.6.12
คะแนน ความรุนแรง : ต่ำ

25. WordPress Download Manager

ปลั๊กอิน: WordPress Download Manager
ช่องโหว่ : Admin+ Stored Cross-Site Scripting
แพตช์ในเวอร์ชัน : 3.2.16
คะแนน ความรุนแรง : ต่ำ

26. ปฏิทินกิจกรรมสมัยใหม่ Lite

ปลั๊กอิน: ปฏิทินกิจกรรมสมัยใหม่ Lite
ช่องโหว่ : Authenticated Stored Cross Site Scripting
แพตช์ในเวอร์ชัน : 5.22.3
คะแนน ความรุนแรง : ต่ำ

27. Credova_การเงิน

ปลั๊กอิน: Credova_Financial
ช่องโหว่ : การเปิดเผยข้อมูลที่ละเอียดอ่อน
แพตช์ ในเวอร์ชัน : 1.4.9
คะแนน ความรุนแรง : ปานกลาง

28. JS Job Manager

ปลั๊กอิน: JS Job Manager
ช่องโหว่ : Unauthenticated Arbitrary Plugin Installation/Activation
Patched in Version : No Know Fix – ปลั๊กอินถูกปิด
คะแนน ความรุนแรง : วิกฤต

29. เหตุการณ์ที่ทำได้ง่าย

ปลั๊กอิน: กิจกรรมทำได้ง่าย
ช่องโหว่ : CSRF หลายตัวไปยังสคริปต์ข้ามไซต์ที่เก็บไว้ & การลบเหตุการณ์
แพตช์ ในเวอร์ชัน : 1.5.50
คะแนน ความรุนแรง : สูง

30. Stripe สำหรับ WooCommerce

ปลั๊กอิน: Stripe สำหรับ WooCommerce
ช่องโหว่ : ไม่มีการควบคุมการให้สิทธิ์ในการจี้บัญชีการเงิน
แพตช์ในเวอร์ชัน : 3.3.10
คะแนน ความรุนแรง : ปานกลาง

ดังที่คุณเห็นจากรายงานนี้ มีการเปิดเผยปลั๊กอิน WordPress และช่องโหว่ของธีมใหม่จำนวนมากในแต่ละสัปดาห์ เราทราบดีว่าการติดตามการเปิดเผยช่องโหว่ที่รายงานทุกครั้งอาจเป็นเรื่องยาก ดังนั้นปลั๊กอิน iThemes Security Pro ทำให้ง่ายต่อการตรวจสอบให้แน่ใจว่าไซต์ของคุณไม่ได้ใช้ธีม ปลั๊กอิน หรือเวอร์ชันหลักของ WordPress ที่มีช่องโหว่ที่ทราบ

1. เปิด iThemes Security Pro Site Scanner

เครื่องสแกนเว็บไซต์ของปลั๊กอิน iThemes Security Pro จะสแกนหาเหตุผลที่ #1 ไซต์ WordPress ถูกแฮ็ก: ปลั๊กอินและธีมที่ล้าสมัยพร้อมช่องโหว่ที่ทราบ Site Scanner จะตรวจสอบไซต์ของคุณเพื่อหาช่องโหว่ที่ทราบ และใช้โปรแกรมแก้ไขโดยอัตโนมัติหากมี

หากต้องการเปิดใช้งานการสแกนไซต์ในการติดตั้งใหม่ ให้ไปที่แท็บตรวจสอบไซต์บนเมนูคุณลักษณะภายในปลั๊กอิน และคลิกปุ่มสลับเพื่อเปิดใช้งานการ สแกนไซต์

หากต้องการเรียกใช้การสแกนไซต์ด้วยตนเอง ให้คลิกปุ่ม สแกนทันที บนการ์ดแดชบอร์ดความปลอดภัยการสแกนไซต์

หาก Site Scan ตรวจพบช่องโหว่ ให้คลิกลิงก์ช่องโหว่เพื่อดูหน้ารายละเอียด

ในหน้าช่องโหว่ของ Site Scan คุณจะเห็นว่ามีการแก้ไขสำหรับช่องโหว่หรือไม่ หากมีโปรแกรมแก้ไข คุณสามารถคลิกปุ่ม อัปเดตปลั๊กอิน เพื่อใช้การแก้ไขในเว็บไซต์ของคุณ

2. เปิดการจัดการเวอร์ชันเพื่ออัปเดตอัตโนมัติหากแก้ไขช่องโหว่

คุณลักษณะการจัดการเวอร์ชันใน iThemes Security Pro ทำงานร่วมกับ Site Scan เพื่อปกป้องไซต์ของคุณเมื่อซอฟต์แวร์ที่ล้าสมัยไม่ได้รับการอัปเดตอย่างรวดเร็วเพียงพอ แม้แต่มาตรการรักษาความปลอดภัยที่เข้มงวดที่สุดก็ยังล้มเหลวหากคุณใช้งานซอฟต์แวร์ที่มีช่องโหว่ในเว็บไซต์ของคุณ การตั้งค่าเหล่านี้ช่วยปกป้องไซต์ของคุณด้วยตัวเลือกในการอัปเดตเป็นเวอร์ชันใหม่โดยอัตโนมัติหากมีช่องโหว่ที่ทราบและมีโปรแกรมแก้ไข

จากหน้าการตั้งค่าใน iThemes Security Pro ให้ไปที่หน้าจอคุณสมบัติ คลิกแท็บตรวจสอบไซต์ จากที่นี่ ใช้สลับเพื่อเปิดใช้งานการจัดการเวอร์ชัน เมื่อใช้อุปกรณ์การตั้งค่า คุณสามารถกำหนดการตั้งค่าต่างๆ ได้มากขึ้น รวมถึงวิธีที่คุณต้องการให้ iThemes Security Pro จัดการกับการอัปเดต WordPress, ปลั๊กอิน, ธีม และการป้องกันเพิ่มเติม

ตรวจสอบให้แน่ใจว่าได้เลือก อัปเดตอัตโนมัติ หากแก้ไขช่องช่องโหว่ เพื่อให้ iThemes Security Pro อัปเดตปลั๊กอินหรือธีมโดยอัตโนมัติ หากแก้ไขช่องโหว่ที่ Site Scanner พบ

3. รับอีเมลแจ้งเตือนเมื่อ iThemes Security Pro พบช่องโหว่ที่รู้จักในเว็บไซต์ของคุณ

เมื่อคุณเปิดใช้งาน Site Scan Scheduling แล้ว ให้ไปที่ การ ตั้งค่า ศูนย์การแจ้งเตือน ของปลั๊กอิน ในหน้าจอนี้ ให้เลื่อนไปที่ส่วน ผลลัพธ์การสแกนไซต์

คลิกช่องเพื่อเปิดใช้อีเมลแจ้งเตือน จากนั้นคลิกปุ่ม บันทึกการตั้งค่า

ในระหว่างการสแกนไซต์ตามกำหนดเวลา คุณจะได้รับอีเมลหาก iThemes Security Pro ตรวจพบช่องโหว่ที่ทราบ อีเมลจะมีลักษณะดังนี้

รับ iThemes Security Pro และพักผ่อนให้ง่ายขึ้นในคืนนี้

iThemes Security Pro ปลั๊กอินความปลอดภัย WordPress ของเรามีมากกว่า 50 วิธีในการรักษาความปลอดภัยและปกป้องเว็บไซต์ของคุณจากช่องโหว่ด้านความปลอดภัยทั่วไปของ WordPress ด้วย WordPress การรับรองความถูกต้องด้วยสองปัจจัย การป้องกันแบบเดรัจฉาน การบังคับใช้รหัสผ่านที่รัดกุม และอื่นๆ คุณสามารถเพิ่มระดับการรักษาความปลอดภัยเพิ่มเติมให้กับเว็บไซต์ของคุณได้

รับ iThemes Security Pro

ไมเคิล มัวร์

ในแต่ละสัปดาห์ Michael จะรวบรวมรายงานช่องโหว่ของ WordPress เพื่อช่วยให้เว็บไซต์ของคุณปลอดภัย ในฐานะผู้จัดการผลิตภัณฑ์ที่ iThemes เขาช่วยเราปรับปรุงรายการผลิตภัณฑ์ iThemes ต่อไป เขาเป็นคนเนิร์ดยักษ์และชอบเรียนรู้เกี่ยวกับเทคโนโลยีทุกอย่าง ทั้งเก่าและใหม่ คุณสามารถหาไมเคิลไปเที่ยวกับภรรยาและลูกสาว อ่านหนังสือหรือฟังเพลงเมื่อไม่ได้ทำงาน