รายงานช่องโหว่ของ WordPress: ตุลาคม 2021 ตอนที่ 3
เผยแพร่แล้ว: 2021-10-21ปลั๊กอินและธีมที่มีช่องโหว่เป็นสาเหตุอันดับ 1 ที่เว็บไซต์ WordPress ถูกแฮ็ก รายงานช่องโหว่ของ WordPress รายสัปดาห์ที่ขับเคลื่อนโดย WPScan ครอบคลุมถึงปลั๊กอิน ธีม และช่องโหว่หลักของ WordPress และสิ่งที่ควรทำหากคุณเรียกใช้ปลั๊กอินหรือธีมที่มีช่องโหว่บนเว็บไซต์ของคุณ
ช่องโหว่แต่ละจุดจะมีระดับความรุนแรง ต่ำ ปานกลาง สูง หรือ วิกฤต การเปิดเผยและการรายงานช่องโหว่อย่างมีความรับผิดชอบเป็นส่วนสำคัญในการทำให้ชุมชน WordPress ปลอดภัย
โปรดแชร์โพสต์นี้กับเพื่อนของคุณเพื่อช่วยเผยแพร่และทำให้ WordPress ปลอดภัยยิ่งขึ้นสำหรับทุกคน
ช่องโหว่หลักของ WordPress
เวอร์ชันล่าสุดของแกน WordPress คือ 5.8.1 ได้รับการเผยแพร่ในรูปแบบการรักษาความปลอดภัยและการบำรุงรักษา ตามแนวทางปฏิบัติที่ดีที่สุด อย่าลืมรัน WordPress core เวอร์ชันล่าสุดเสมอ!
ช่องโหว่ของปลั๊กอิน WordPress
ในส่วนนี้ ช่องโหว่ของปลั๊กอิน WordPress ล่าสุดได้รับการเปิดเผยแล้ว รายการปลั๊กอินแต่ละรายการประกอบด้วยประเภทของช่องโหว่ หมายเลขเวอร์ชันหากมีการแพตช์ และระดับความรุนแรง
1. WPSchoolPress
ปลั๊กอิน: WPSchoolPress
ช่องโหว่ : ผู้ดูแลระบบหลายราย + การเขียนสคริปต์ข้ามไซต์ที่จัดเก็บไว้
แพตช์ ในเวอร์ชัน : 2.1.17
คะแนน ความรุนแรง : ต่ำ
ปลั๊กอิน: WPSchoolPress
ช่องโหว่ : Reflected Cross-Site Scripting
แพต ช์ในเวอร์ชัน : 2.1.10
คะแนน ความรุนแรง : สูง
ปลั๊กอิน: WPSchoolPress
ช่องโหว่ : Multiple Authenticated SQL Injections
แพต ช์ในเวอร์ชัน : 2.1.10
คะแนน ความรุนแรง : สูง
2. YITH WooCommerce ผู้ค้าหลายราย
ปลั๊กอิน: Squaretype MYITH WooCommerce Multi Vendor
ช่องโหว่ : Reflected Cross-Site Scripting
แพตช์ในเวอร์ชัน : 3.8.1
คะแนน ความรุนแรง : สูง
3. พิมพ์-O-Matic
ปลั๊กอิน: Print-O-Matic
ช่องโหว่ : Admin+ Stored Cross-Site Scripting
แพตช์ในเวอร์ชัน : 2.0.3
คะแนน ความรุนแรง : ต่ำ
4. ลงทะเบียนพาย
ปลั๊กอิน: ลงทะเบียนพาย
ช่องโหว่ : Unauthenticated SQL Injection
แพตช์ ในเวอร์ชัน : 3.7.1.6
คะแนน ความรุนแรง : สูง
ปลั๊กอิน: ลงทะเบียนพาย
ช่องโหว่ : Unauthenticated SQL Injection
แพตช์ ในเวอร์ชัน : 3.7.1.6
คะแนน ความรุนแรง : วิกฤต
5. พันธมิตรคูปองสำหรับ WooCommerce
ปลั๊กอิน: พันธมิตรคูปองสำหรับ WooCommerce
ช่องโหว่ : การลบผู้อ้างอิงตามอำเภอใจผ่าน CSRF
แพตช์ ในเวอร์ชัน : 4.11.3.4
คะแนน ความรุนแรง : ปานกลาง
6. MAZ Loader
ปลั๊กอิน: MAZ Loader
ช่องโหว่ : Contributor+ SQL Injection
แพตช์ในเวอร์ชัน : 1.3.3
คะแนน ความรุนแรง : สูง
7. ข้อความส่วนท้ายของหน้าร้าน
ปลั๊กอิน: ข้อความส่วนท้ายของหน้าร้าน
ช่องโหว่ : Admin+ Stored Cross-Site Scripting
Patched in Version : No Know Fix – ปลั๊กอินถูกปิด
คะแนน ความรุนแรง : ปานกลาง
8. เครื่องมือทดสอบ Lite
ปลั๊กอิน: Quiz Tool Lite
ช่องโหว่ : ผู้ดูแลระบบหลายราย + การเขียนสคริปต์ข้ามไซต์ที่จัดเก็บไว้
Patched in Version : No Know Fix – ปลั๊กอินถูกปิด
คะแนน ความรุนแรง : ต่ำ
9. Qwizcards
ปลั๊กอิน: Qwizcards
ช่องโหว่ : Admin+ Stored Cross Site Scripting
แพตช์ในเวอร์ชัน : 3.62
คะแนน ความรุนแรง : ต่ำ
10. Loco Translate
ปลั๊กอิน: Loco Translate
ช่องโหว่ : Authenticated PHP Code Injection
แพตช์ในเวอร์ชัน : 2.5.4
คะแนน ความรุนแรง : สูง
11. iPanorama 360 WordPress ตัวสร้างทัวร์เสมือน
ปลั๊กอิน: iPanorama 360 WordPress Virtual Tour Builder
ช่องโหว่ : CSRF ถึง Stored Cross-Site Scripting
แพตช์ ในเวอร์ชัน : 1.6.22
คะแนน ความรุนแรง : สูง
12. Vision Interactive สำหรับ WordPress
ปลั๊กอิน: Vision Interactive สำหรับ WordPress
ช่องโหว่ : Reflected Cross-Site Scripting
แพทช์ในเวอร์ชัน : ไม่มีโปรแกรมแก้ไขที่รู้จัก
คะแนน ความรุนแรง : สูง
13. ImageLinks Interactive Image Builder สำหรับ WordPress
ปลั๊กอิน: ImageLinks Interactive Image Builder สำหรับ WordPress
ช่องโหว่ : Reflected Cross-Site Scripting
แพทช์ในเวอร์ชัน : ไม่มีโปรแกรมแก้ไขที่รู้จัก
คะแนน ความรุนแรง : สูง
14. WordPress Easy Custom Js และ Css Plugin
ปลั๊กอิน: WordPress Easy Custom Js และ Css Plugin
ช่องโหว่ : Reflected Cross-Site Scripting
แพทช์ในเวอร์ชัน : ไม่มีโปรแกรมแก้ไขที่รู้จัก
คะแนน ความรุนแรง : สูง
15. iPages Flipbook สำหรับ WordPress
ปลั๊กอิน: iPages Flipbook สำหรับ WordPress
ช่องโหว่ : Reflected Cross-Site Scripting
แพตช์ในเวอร์ชัน : 1.4.3
คะแนน ความรุนแรง : สูง
16. 404 ถึง 301
ปลั๊กอิน: 404 ถึง 301
ช่องโหว่ : บันทึกการลบผ่าน CSRF
แพตช์ในเวอร์ชัน : 3.0.9
คะแนน ความรุนแรง : ปานกลาง
17. โพสต์ Expirator
ปลั๊กอิน: Post Expirator
ช่องโหว่ : Contributor+ Arbitrary Post Schedule
แพตช์ในเวอร์ชัน : 2.6.0
คะแนน ความรุนแรง : สูง
18. รูปภาพส่วนหัว WP
ปลั๊กอิน: รูปภาพส่วนหัว WP
ช่องโหว่ : Reflected Cross-Site Scripting
แพตช์ในเวอร์ชัน : 2.0.1
คะแนน ความรุนแรง : สูง
19. การสมัครและการเป็นสมาชิกสำหรับ PayPal
ปลั๊กอิน: การสมัครและการเป็นสมาชิกสำหรับ PayPal
ช่องโหว่ : Reflected Cross-Site Scripting ผ่านเพจ Parameter
Patched in Version : No Know Fix – ปลั๊กอินถูกปิด
คะแนน ความรุนแรง : สูง
20. รับบริจาคด้วย PayPal
ปลั๊กอิน: รับบริจาคด้วย PayPal
ช่องโหว่ : Reflected Cross-Site Scripting ผ่านเพจ Parameter
แพตช์ในเวอร์ชัน : 1.3.1
คะแนน ความรุนแรง : สูง
21. กิจกรรม PayPal
ปลั๊กอิน: กิจกรรม PayPal
ช่องโหว่ : Reflected Cross-Site Scripting ผ่านเพจ Parameter
Patched in Version : No Know Fix – ปลั๊กอินถูกปิด
คะแนน ความรุนแรง : สูง
22. ตัวจัดการรหัสส่วนท้ายของส่วนหัว
ปลั๊กอิน: ตัวจัดการรหัสส่วนท้ายของส่วนหัว
ช่องโหว่ : Admin+ SQL Injections
แพตช์ ในเวอร์ชัน : 1.1.14
คะแนน ความรุนแรง : ปานกลาง
23. wpDiscuz
ปลั๊กอิน: wpDiscuz
ช่องโหว่ : การเพิ่ม/แก้ไข/ลบความคิดเห็นโดยพลการผ่าน CSRF
แพตช์ในเวอร์ชัน : 7.3.4
คะแนน ความรุนแรง : ปานกลาง
24. 3D Print Lite
ปลั๊กอิน: 3D Print Lite
ช่องโหว่ : Reflected Cross-Site Scripting
แพตช์ ในเวอร์ชัน : 1.9.1.6
คะแนน ความรุนแรง : สูง
25. ฟอรัม Asgaros
ปลั๊กอิน: ฟอรัม Asgaros
ช่องโหว่ : การลบเปลี่ยนเส้นทางผ่าน CSRF
แพตช์ ในเวอร์ชัน : 1.15.13
คะแนน ความรุนแรง : สูง
26. WP SEO เปลี่ยนเส้นทาง 301
ปลั๊กอิน: WP SEO Redirect 301
ช่องโหว่ : การลบเปลี่ยนเส้นทางผ่าน CSRF
แพตช์ในเวอร์ชัน : 2.3.2
คะแนน ความรุนแรง : ปานกลาง
27. WCFM – ผู้จัดการส่วนหน้าสำหรับ WooCommerce
ปลั๊กอิน: WCFM – ผู้จัดการส่วนหน้าสำหรับ WooCommerce
ช่องโหว่ : ลูกค้า/สมาชิก+ SQL Injection
แพต ช์ในเวอร์ชัน : 6.5.12
คะแนน ความรุนแรง : สูง
28. ผู้จัดการพันธมิตร
ปลั๊กอิน: ตัวจัดการพันธมิตร
ช่องโหว่ : Admin+ SQL Injections
แพตช์ในเวอร์ชัน : 2.8.7
คะแนน ความรุนแรง : ปานกลาง
29. กระทู้ที่คล้ายกัน
ปลั๊กอิน: กระทู้ที่คล้ายกัน
ช่องโหว่ : Admin+ Arbitrary PHP Code Execution
แพตช์ในเวอร์ชัน : 3.1.6
คะแนน ความรุนแรง : สูง
30. ตารางผลิตภัณฑ์ WooCommerce
ปลั๊กอิน: ตารางผลิตภัณฑ์ WooCommerce
ช่องโหว่ : Reflected Cross-Site Scripting
แพตช์ในเวอร์ชัน : 1.0.4
คะแนน ความรุนแรง : ปานกลาง
31. ผู้จัดการส่วนลดสำหรับผลิตภัณฑ์
ปลั๊กอิน: ตัวจัดการส่วนลดสำหรับผลิตภัณฑ์
ช่องโหว่ : Reflected Cross-Site Scripting
แพตช์ในเวอร์ชัน : 3.4.5
คะแนน ความรุนแรง : สูง
32. ผู้สร้างคำรับรอง
ปลั๊กอิน: ตัวสร้างคำรับรอง
ช่องโหว่ : Admin+ Stored Cross-Site Scripting
แพตช์ในเวอร์ชัน : 1.6.0
คะแนน ความรุนแรง : ต่ำ
33. Brizy
ปลั๊กอิน: Brizy
ช่องโหว่ : การอนุญาตให้โพสต์การปรับเปลี่ยนไม่ถูกต้อง
แพตช์ ในเวอร์ชัน : 2.3.12
คะแนน ความรุนแรง : สูง
ปลั๊กอิน: Brizy
ช่องโหว่ : Authenticated Stored Cross-Site Scripting
แพตช์ ในเวอร์ชัน : 2.3.12
คะแนน ความรุนแรง : ปานกลาง
ปลั๊กอิน: Brizy
ช่องโหว่ : Authenticated File Upload และ Path Traversal
แพตช์ ในเวอร์ชัน : 2.3.12
คะแนน ความรุนแรง : สูง
34. หมวดหมู่ที่มีสีสัน
ปลั๊กอิน: หมวดหมู่ที่มีสีสัน
ช่องโหว่ : Arbitrary Colours Update ผ่าน CSRF
แพตช์ ในเวอร์ชัน : 2.0.15
คะแนน ความรุนแรง : ปานกลาง
35. WP แคชที่เร็วที่สุด
ปลั๊กอิน: WP Fastest Cache
ช่องโหว่ : Subscriber+ SQL Injection
แพตช์ในเวอร์ชัน : 0.9.5
คะแนน ความรุนแรง : สูง
ปลั๊กอิน: WP Fastest Cache
ช่องโหว่ : CSRF ถึง Stored Cross-Site Scripting
แพตช์ในเวอร์ชัน : 0.9.5
คะแนน ความรุนแรง : สูง
36. ผู้จัดการธุรกิจ
ปลั๊กอิน: ตัวจัดการธุรกิจ
ช่องโหว่ : Admin+ Stored Cross-Site Scripting
แพทช์ในเวอร์ชัน : ไม่มีโปรแกรมแก้ไขที่รู้จัก
คะแนน ความรุนแรง : ต่ำ
37. บอร์ดรับสมัครงาน วนิลา
ปลั๊กอิน: บอร์ดงาน Vanila
ช่องโหว่ : Admin+ Stored Cross-Site Scripting
Patched in Version : No Know Fix – ปลั๊กอินถูกปิด
คะแนน ความรุนแรง : ต่ำ
38. รายชื่องาน WpGenius
ปลั๊กอิน: รายชื่องาน WpGenius
ช่องโหว่ : Admin+ Stored Cross-Site Scripting
Patched in Version : No Know Fix – ปลั๊กอินถูกปิด
คะแนน ความรุนแรง : ต่ำ
39. ผู้จัดการงาน
ปลั๊กอิน: ตัวจัดการงาน
ช่องโหว่ : Admin+ Stored Cross-Site Scripting
Patched in Version : No Know Fix – ปลั๊กอินถูกปิด
คะแนน ความรุนแรง : ต่ำ
40. พอร์ทัลงาน
ปลั๊กอิน: พอร์ทัลงาน
ช่องโหว่ : Admin+ Stored Cross-Site Scripting
Patched in Version : No Know Fix – ปลั๊กอินถูกปิด
คะแนน ความรุนแรง : ต่ำ
41. MyBB Cross-Poster
ปลั๊กอิน: MyBB Cross-Poster
ช่องโหว่ : Admin+ Stored Cross-Site Scripting
Patched in Version : No Know Fix – ปลั๊กอินถูกปิด
คะแนน ความรุนแรง : ต่ำ
42. ประกาศของผู้ดูแลระบบ KJM
ปลั๊กอิน: ประกาศของผู้ดูแลระบบ KJM
ช่องโหว่ : การอนุญาตให้โพสต์การปรับเปลี่ยนไม่ถูกต้อง
Patched in Version : No Know Fix – ปลั๊กอินถูกปิด
คะแนน ความรุนแรง : ต่ำ
43. ฮาล
ปลั๊กอิน: HAL
ช่องโหว่ : Admin+ Stored Cross-Site Scripting
แพตช์ในเวอร์ชัน : 2.2
คะแนน ความรุนแรง : ต่ำ
44. ผู้เขียน Bio Box
ปลั๊กอิน: ผู้เขียน Bio Box
ช่องโหว่ : Admin+ Stored Cross-Site Scripting
แพตช์ในเวอร์ชัน : 3.4.0
คะแนน ความรุนแรง : ต่ำ
45. WordPress + Microsoft Office 365
ปลั๊กอิน: WordPress + Microsoft Office 365
ช่องโหว่ : Unauthenticated Stored Cross-Site Scripting
แพตช์ในเวอร์ชัน : 15.4
คะแนน ความรุนแรง : วิกฤต
46. ยพโพล
ปลั๊กอิน: YOP Poll
ช่องโหว่ : Author+ Stored Cross-Site Scripting ผ่าน Options Module
แพตช์ในเวอร์ชัน : 6.3.1
คะแนน ความรุนแรง : ปานกลาง
ปลั๊กอิน: YOP Poll
ช่องโหว่ : Author+ Stored Cross-Site Scripting ผ่าน Preview Module
แพตช์ในเวอร์ชัน : 6.3.1
คะแนน ความรุนแรง : ปานกลาง
47. ผู้นำเข้างานของ Indeed
ปลั๊กอิน: ตัวนำเข้างานของ Indeed
ช่องโหว่ : Admin+ Stored Cross-Site Scripting
Patched in Version : No Know Fix – ปลั๊กอินถูกปิด
คะแนน ความรุนแรง : สูง
48. MPL-Publisher – เผยแพร่หนังสือและ ebook ของคุณด้วยตนเอง
ปลั๊กอิน: MPL-Publisher – เผยแพร่หนังสือและ ebook ของคุณด้วยตนเอง
ช่องโหว่ : Admin+ Stored Cross-Site Scripting
แพทช์ในเวอร์ชัน : ไม่มีโปรแกรมแก้ไขที่รู้จัก
คะแนน ความรุนแรง : ต่ำ
49. JobBoardWP
ปลั๊กอิน: JobBoardWP
ช่องโหว่ : การอนุญาตให้โพสต์การปรับเปลี่ยนไม่ถูกต้อง
Patched in Version : No Know Fix – ปลั๊กอินถูกปิด
คะแนน ความรุนแรง : ต่ำ
ช่องโหว่ของธีม WordPress
1. Squaretype Modern Blog
กระทู้: Squaretype Modern Blog
ช่องโหว่ : Unauthenticated Private/Schedule Posts Disclosure
แพตช์ในเวอร์ชัน : 3.0.4
คะแนน ความรุนแรง : ปานกลาง
วิธีป้องกันเว็บไซต์ WordPress ของคุณจากปลั๊กอินและธีมที่มีช่องโหว่
ดังที่คุณเห็นจากรายงานนี้ มีการเปิดเผยปลั๊กอิน WordPress และช่องโหว่ของธีมใหม่จำนวนมากในแต่ละสัปดาห์ เราทราบดีว่าการติดตามการเปิดเผยช่องโหว่ที่รายงานทุกครั้งอาจเป็นเรื่องยาก ดังนั้นปลั๊กอิน iThemes Security Pro ทำให้ง่ายต่อการตรวจสอบให้แน่ใจว่าไซต์ของคุณไม่ได้ใช้ธีม ปลั๊กอิน หรือเวอร์ชันหลักของ WordPress ที่มีช่องโหว่ที่ทราบ
1. สแกนหาช่องโหว่ของเว็บไซต์ที่รู้จักทุกวัน
ปลั๊กอิน iThemes Security Pro สแกนหาเหตุผลที่ #1 ไซต์ WordPress ถูกแฮ็ก: ปลั๊กอินและธีมที่ล้าสมัยพร้อมช่องโหว่ที่ทราบ
2. อัปเดตอัตโนมัติเป็นเวอร์ชันที่ปลอดภัย
คุณลักษณะการจัดการเวอร์ชันใน iThemes Security Pro ทำงานร่วมกับ Site Scan เพื่อปกป้องไซต์ของคุณ ธีม ปลั๊กอิน และเวอร์ชันหลักของ WordPress ที่มีช่องโหว่จะได้รับการอัปเดตโดยอัตโนมัติสำหรับคุณ
3. ตรวจสอบการเปลี่ยนแปลงไฟล์
กุญแจสำคัญในการระบุการละเมิดความปลอดภัยอย่างรวดเร็วคือการตรวจสอบการเปลี่ยนแปลงไฟล์บนเว็บไซต์ของคุณ ฟีเจอร์การตรวจจับการเปลี่ยนแปลงไฟล์ใน iThemes Security Pro จะสแกนไฟล์ในเว็บไซต์ของคุณและแจ้งเตือนคุณเมื่อมีการเปลี่ยนแปลงบนเว็บไซต์ของคุณ
รับ iThemes Security Pro พร้อมการตรวจสอบเว็บไซต์ทุกวันตลอด 24 ชั่วโมง
iThemes Security Pro ปลั๊กอินความปลอดภัย WordPress ของเรามีมากกว่า 50 วิธีในการรักษาความปลอดภัยและปกป้องเว็บไซต์ของคุณจากช่องโหว่ด้านความปลอดภัยทั่วไปของ WordPress ด้วย WordPress การรับรองความถูกต้องด้วยสองปัจจัย การป้องกันแบบเดรัจฉาน การบังคับใช้รหัสผ่านที่รัดกุม และอื่นๆ คุณสามารถเพิ่มระดับการรักษาความปลอดภัยเพิ่มเติมให้กับเว็บไซต์ของคุณได้