รายงานช่องโหว่ของ WordPress: ตุลาคม 2021 ตอนที่ 4
เผยแพร่แล้ว: 2021-10-27ปลั๊กอินและธีมที่มีช่องโหว่เป็นสาเหตุอันดับ 1 ที่เว็บไซต์ WordPress ถูกแฮ็ก รายงานช่องโหว่ของ WordPress รายสัปดาห์ที่ขับเคลื่อนโดย WPScan ครอบคลุมถึงปลั๊กอิน ธีม และช่องโหว่หลักของ WordPress และสิ่งที่ควรทำหากคุณเรียกใช้ปลั๊กอินหรือธีมที่มีช่องโหว่บนเว็บไซต์ของคุณ
ช่องโหว่แต่ละจุดจะมีระดับความรุนแรง ต่ำ ปานกลาง สูง หรือ วิกฤต การเปิดเผยและการรายงานช่องโหว่อย่างมีความรับผิดชอบเป็นส่วนสำคัญในการทำให้ชุมชน WordPress ปลอดภัย
โปรดแชร์โพสต์นี้กับเพื่อนของคุณเพื่อช่วยเผยแพร่และทำให้ WordPress ปลอดภัยยิ่งขึ้นสำหรับทุกคน
ช่องโหว่หลักของ WordPress
เวอร์ชันล่าสุดของแกน WordPress คือ 5.8.1 ได้รับการเผยแพร่ในรูปแบบการรักษาความปลอดภัยและการบำรุงรักษา ตามแนวทางปฏิบัติที่ดีที่สุด อย่าลืมรัน WordPress core เวอร์ชันล่าสุดเสมอ!
ช่องโหว่ของปลั๊กอิน WordPress
ในส่วนนี้ ช่องโหว่ของปลั๊กอิน WordPress ล่าสุดได้รับการเปิดเผยแล้ว รายการปลั๊กอินแต่ละรายการประกอบด้วยประเภทของช่องโหว่ หมายเลขเวอร์ชันหากมีการแพตช์ และระดับความรุนแรง
1. แชร์ไฟล์
ปลั๊กอิน: ไฟล์ที่แชร์
ช่องโหว่ : Admin+ Stored Cross-Site Scripting
แพตช์ ในเวอร์ชัน : 1.6.61
คะแนน ความรุนแรง : ต่ำ
2. เปลี่ยนเส้นทาง QR
ปลั๊กอิน: QR Redirector
ช่องโหว่ : Contributor+ Stored Cross-Site Scripting
แพตช์ในเวอร์ชัน : 1.6.1
คะแนน ความรุนแรง : ปานกลาง
ปลั๊กอิน: QR Redirector
ช่องโหว่ : Subscriber+ Arbitrary QR Redirect Response Status Update
แพตช์ในเวอร์ชัน : 1.6
คะแนน ความรุนแรง : ปานกลาง
3. MouseWheel Smooth Scroll
ปลั๊กอิน: MouseWheel Smooth Scroll
ช่องโหว่ : Plugin's Setting Update ผ่าน CSRF
แพตช์ในเวอร์ชัน : 5.7
คะแนน ความรุนแรง : ปานกลาง
4. แทรกหน้า
ปลั๊กอิน: แทรกหน้า
ช่องโหว่ : Contributor+ การเข้าถึงโพสต์/หน้าโดยพลการ
แพต ช์ในเวอร์ชัน : 3.7.0
คะแนน ความรุนแรง : ปานกลาง
ปลั๊กอิน: แทรกหน้า
ช่องโหว่ : Contributor+ Stored Cross-Site Scripting
แพต ช์ในเวอร์ชัน : 3.7.0
คะแนน ความรุนแรง : ปานกลาง
5. การเปลี่ยนเส้นทาง SEO
ปลั๊กอิน: การเปลี่ยนเส้นทาง SEO
ช่องโหว่ : Subscriber+ SQL Injection
แพตช์ในเวอร์ชัน : 8.2
คะแนน ความรุนแรง : สูง
6. การบริจาค Paypal
ปลั๊กอิน: การบริจาค Paypal
ช่องโหว่ : Admin+ Stored Cross-Site Scripting
แพตช์ในเวอร์ชัน : 1.3.2
คะแนน ความรุนแรง : ต่ำ
7. อิมเพรสสำหรับโบรกเกอร์ IDX
ปลั๊กอิน: อิมเพรสสำหรับโบรกเกอร์ IDX
ช่องโหว่ : Reflected Cross-Site Scripting
แพตช์ในเวอร์ชัน : 3.0.6
คะแนน ความรุนแรง : สูง
8. เข้าสู่ระบบ JWT อย่างง่าย
ปลั๊กอิน: เข้าสู่ระบบ JWT อย่างง่าย
ช่องโหว่ : อัปเดตการตั้งค่าโดยพลการเพื่อเข้ายึดเว็บไซต์ผ่าน CSRF
แพตช์ในเวอร์ชัน : 3.2.1
คะแนน ความรุนแรง : สูง
9. ตั๋วของฉัน
ปลั๊กอิน: ตั๋วของฉัน
ช่องโหว่ : Subscriber+ SQL Injection
แพตช์ ในเวอร์ชัน : 1.8.31
คะแนน ความรุนแรง : สูง
10. การออกใบแจ้งหนี้ลูกค้าโดย Sprout Invoices
ปลั๊กอิน: การออกใบแจ้งหนี้ไคลเอ็นต์โดย Sprout Invoices
ช่องโหว่ : Admin+ Stored Cross-Site Scripting
แพตช์ ในเวอร์ชัน : 19.9.7
คะแนน ความรุนแรง : ต่ำ
11. บันทึกอีเมล
ปลั๊กอิน: บันทึกอีเมล
ช่องโหว่ : Admin+ SQL Injection
แพตช์ในเวอร์ชัน : 2.4.7
คะแนน ความรุนแรง : ปานกลาง
12. WP Performance Score Booster
ปลั๊กอิน WP Performance Score Booster
ช่องโหว่ : การตั้งค่าเปลี่ยนผ่าน CSRF
แพตช์ในเวอร์ชัน : 2.1
คะแนน ความรุนแรง : ปานกลาง
13. การรวม Active Directory / การรวม LDAP
ปลั๊กอิน: Active Directory Integration / LDAP Integration
ช่องโหว่ : Subscriber+ SQL Injection
แพตช์ ในเวอร์ชัน : 3.6.95
คะแนน ความรุนแรง : สูง
14. TableOn
ปลั๊กอิน: TableOn
ช่องโหว่ : Reflected Cross-Site Scripting
แพตช์ในเวอร์ชัน : 1.0.1
คะแนน ความรุนแรง : ปานกลาง
15. ตัวเลื่อนรูปภาพที่ปรับเปลี่ยนตามอุปกรณ์ แกลอรี่รูปภาพ และภาพหมุน
ปลั๊กอิน: ตัวเลื่อนรูปภาพที่ปรับเปลี่ยนตามอุปกรณ์ คลังรูปภาพ และภาพหมุน
ช่องโหว่ : Slider Clone/Save/Delete ผ่าน CSRF
แพตช์ในเวอร์ชัน : 1.3.2
คะแนน ความรุนแรง : ปานกลาง
ปลั๊กอิน: ตัวเลื่อนรูปภาพที่ปรับเปลี่ยนตามอุปกรณ์ คลังรูปภาพ และภาพหมุน
ช่องโหว่ : Subscriber+ Arbitrary Post Access
แพตช์ในเวอร์ชัน : 1.3.6
คะแนน ความรุนแรง : ปานกลาง
16. หน้าแผนผังเว็บไซต์ WP
ปลั๊กอิน: หน้าแผนผังเว็บไซต์ WP
ช่องโหว่ : Admin+ Stored Cross Site Scripting
แพตช์ในเวอร์ชัน : 1.7.0
คะแนน ความรุนแรง : ต่ำ
17. สตรีม
ปลั๊กอิน: สตรีม
ช่องโหว่ : Admin+ SQL Injection
แพตช์ในเวอร์ชัน : 3.8.2
คะแนน ความรุนแรง : ปานกลาง
18. มีประโยชน์
ปลั๊กอิน: มีประโยชน์
ช่องโหว่ : Admin+ Stored Cross-Site Scripting
แพตช์ ในเวอร์ชัน : 4.4.59
คะแนน ความรุนแรง : ต่ำ
19. LearnPress
ปลั๊กอิน: LearnPress
ช่องโหว่ : Admin+ Stored Cross-Site Scripting
แพตช์ในเวอร์ชัน : 4.1.3.2
คะแนน ความรุนแรง : ต่ำ
20. การแสดงเนื้อหา
ปลั๊กอิน: การแสดงเนื้อหา
ช่องโหว่ : Admin+ Stored Cross-Site Scripting
Patched in Version : No Know Fix – ปลั๊กอินถูกปิด
คะแนน ความรุนแรง : ต่ำ
21. Paywall รั่ว
ปลั๊กอิน: Paywall รั่ว
ช่องโหว่ : Admin+ Stored Cross-Site Scripting
แพทช์ในเวอร์ชัน : ไม่มีโปรแกรมแก้ไขที่รู้จัก
คะแนน ความรุนแรง : ต่ำ
22. ติวเตอร์ LMS
ปลั๊กอิน: ติวเตอร์ LMS
ช่องโหว่ : Reflected Cross-Site Scripting
แพตช์ในเวอร์ชัน : 1.9.11
คะแนน ความรุนแรง : ปานกลาง
23. ตู้โชว์โลโก้พร้อม Slick Slider
ปลั๊กอิน: ตู้โชว์โลโก้พร้อม Slick Slider
ช่องโหว่ : Author+ Stored Cross Site Scripting
แพตช์ในเวอร์ชัน : 1.2.4
คะแนน ความรุนแรง : ปานกลาง
24. ตัวสร้างฟอร์มที่น่าเกรงขาม
ปลั๊กอิน: ตัวสร้างฟอร์มที่น่าเกรงขาม
ช่องโหว่ : Unauthenticated Stored Cross-Site Scripting
แพตช์ ในเวอร์ชัน : 4.09.05
คะแนน ความรุนแรง : ต่ำ
25. ดาวน์โหลด Plugin
ปลั๊กอิน: ดาวน์โหลด Plugin
ช่องโหว่ : Subscriber+ Arbitrary Plugin Activation
แพตช์ในเวอร์ชัน : 1.6.1
คะแนน ความรุนแรง : ปานกลาง
26. รูปภาพไปยัง WebP
ปลั๊กอิน: รูปภาพไปยัง WebP
ช่องโหว่ : การปลอมแปลงคำขอข้ามไซต์หลายรายการ (CSRF)
แพตช์ในเวอร์ชัน : 1.9
คะแนน ความรุนแรง : ปานกลาง
ปลั๊กอิน: รูปภาพไปยัง WebP
ช่องโหว่ : Authenticated Local File Inclusion
แพตช์ในเวอร์ชัน : 1.9
คะแนน ความรุนแรง : ต่ำ
27. MSstore API
ปลั๊กอิน: MSstore API
ช่องโหว่ : Unauthenticated PHP File Upload
แพตช์ในเวอร์ชัน : 3.4.5
คะแนน ความรุนแรง : วิกฤต
28. ดาวน์โหลดดิจิทัลอย่างง่าย
ปลั๊กอิน: ดาวน์โหลดดิจิทัลอย่างง่าย
ช่องโหว่ : Reflected Cross-Site Scripting
แพตช์ ในเวอร์ชัน : 2.11.2.1
คะแนน ความรุนแรง : สูง
29. ตัวจัดการการเข้าถึงขั้นสูง
ปลั๊กอิน: ตัวจัดการการเข้าถึงขั้นสูง
ช่องโหว่ : Admin+ Stored Cross-Site Scripting
แพตช์ ในเวอร์ชัน : 6.8.0
คะแนน ความรุนแรง : ต่ำ
30. ยพโพล
ปลั๊กอิน: YOP Poll
ช่องโหว่ : Reflected Cross-Site Scripting
แพตช์ในเวอร์ชัน : 6.1.2
คะแนน ความรุนแรง : ปานกลาง
31. การส่งออกไฟล์แนบ WP
ปลั๊กอิน: การส่งออกไฟล์แนบ WP
ช่องโหว่ : Unauthenticated Posts Download
แพตช์ ในเวอร์ชัน : 0.2.4
คะแนน ความรุนแรง : สูง
32. ตัวเลื่อนข้อความเนื้อหาบนโพสต์
ปลั๊กอิน: ตัวเลื่อนข้อความเนื้อหาบนโพสต์
ช่องโหว่ : Authenticated Stored Cross-Site Scripting (XSS)
แพตช์ในเวอร์ชัน : 6.9
คะแนน ความรุนแรง : ปานกลาง
33. ไอซ์แกรม
ปลั๊กอิน: Icegram
ช่องโหว่ : Admin+ Stored Cross-Site Scripting
แพตช์ในเวอร์ชัน : 2.0.3
คะแนน ความรุนแรง : ต่ำ
34. BetterLinks
ปลั๊กอิน: BetterLinks
ช่องโหว่ : Admin+ Stored Cross-Site Scripting
แพตช์ในเวอร์ชัน : 1.2.6
คะแนน ความรุนแรง : ต่ำ
35. LearnDash
ปลั๊กอิน: LearnDash
ช่องโหว่ : Unauthenticated Arbitrary File Upload
แพตช์ในเวอร์ชัน : 2.5.4
คะแนน ความรุนแรง : วิกฤต
36. ImageBoss
ปลั๊กอิน: ImageBoss
ช่องโหว่ : Admin+ Stored Cross-Site Scripting
แพตช์ในเวอร์ชัน : 3.0.6
คะแนน ความรุนแรง : ต่ำ
37. ผู้สร้าง
ปลั๊กอิน: ตัวสร้าง
ช่องโหว่ : Admin + Stored Cross Site Scripting
แพตช์ในเวอร์ชัน : 1.2.4
คะแนน ความรุนแรง : ต่ำ
38. MPL-สำนักพิมพ์
ปลั๊กอิน: MPL-Publisher
ช่องโหว่ : Admin+ Stored Cross Site Scripting
แพตช์ ในเวอร์ชัน : 1.30.4
คะแนน ความรุนแรง : ต่ำ
39. องค์ประกอบ
ปลั๊กอิน: Elementor
ช่องโหว่ : DOM Cross Site Scripting
แพตช์ในเวอร์ชัน : 3.1.4
คะแนน ความรุนแรง : ปานกลาง
40. Sassy Social Share
ปลั๊กอิน: Sassy Social Share
ช่องโหว่ : ไม่มีการควบคุมการเข้าถึง PHP Object Injection
แพตช์ ในเวอร์ชัน : 3.3.24
คะแนน ความรุนแรง : ปานกลาง
41. ลงทะเบียนพาย
ปลั๊กอิน: ลงทะเบียนพาย
ช่องโหว่ : Open Redirect
แพตช์ ในเวอร์ชัน : 3.7.2.4
คะแนน ความรุนแรง : ปานกลาง
42. แบบฟอร์มขั้นสูง
ปลั๊กอิน: แบบฟอร์มขั้นสูง
ช่องโหว่ : Subscriber+ Arbitrary User Email Address Update ผ่าน IDOR
แพตช์ในเวอร์ชัน : 1.6.9
คะแนน ความรุนแรง : สูง
ปลั๊กอิน: แบบฟอร์มขั้นสูง Pro
ช่องโหว่ : Subscriber+ Arbitrary User Email Address Update ผ่าน IDOR
แพตช์ในเวอร์ชัน : 1.6.9
คะแนน ความรุนแรง : สูง
43. นำเข้าการสาธิตการจับธีม
ปลั๊กอิน: Catch Themes Demo นำเข้า
ช่องโหว่ : Admin+ Arbitrary File Upload
แพตช์ในเวอร์ชัน : 1.8
คะแนน ความรุนแรง : วิกฤต
44. กระดานงานง่าย
ปลั๊กอิน: Simple Job Board
ช่องโหว่ : Admin+ Stored Cross-Site Scripting
แพต ช์ในเวอร์ชัน : 2.9.5
คะแนน ความรุนแรง : ต่ำ
45. งาช้างค้นหา
ปลั๊กอิน: Ivory Search
ช่องโหว่ : Reflected Cross-Site Scripting
แพตช์ในเวอร์ชัน : 4.7
คะแนน ความรุนแรง : สูง
46. ประตูอายุ
ปลั๊กอิน: Age Gate
ช่องโหว่ : Authenticated Stored Cross-Site Scripting
แพตช์ ในเวอร์ชัน : 2.16.4
คะแนน ความรุนแรง : วิกฤต
วิธีป้องกันเว็บไซต์ WordPress ของคุณจากปลั๊กอินและธีมที่มีช่องโหว่
ดังที่คุณเห็นจากรายงานนี้ มีการเปิดเผยปลั๊กอิน WordPress และช่องโหว่ของธีมใหม่จำนวนมากในแต่ละสัปดาห์ เราทราบดีว่าการติดตามการเปิดเผยช่องโหว่ที่รายงานทุกครั้งอาจเป็นเรื่องยาก ดังนั้นปลั๊กอิน iThemes Security Pro ทำให้ง่ายต่อการตรวจสอบให้แน่ใจว่าไซต์ของคุณไม่ได้ใช้ธีม ปลั๊กอิน หรือเวอร์ชันหลักของ WordPress ที่มีช่องโหว่ที่ทราบ
1. สแกนหาช่องโหว่ของเว็บไซต์ที่ทราบ
ปลั๊กอิน iThemes Security Pro สแกนหาเหตุผลที่ #1 ไซต์ WordPress ถูกแฮ็ก: ปลั๊กอินและธีมที่ล้าสมัยพร้อมช่องโหว่ที่ทราบ
2. อัปเดตอัตโนมัติเป็นเวอร์ชันที่ปลอดภัย
คุณลักษณะการจัดการเวอร์ชันใน iThemes Security Pro ทำงานร่วมกับ Site Scan เพื่อปกป้องไซต์ของคุณ ธีม ปลั๊กอิน และเวอร์ชันหลักของ WordPress ที่มีช่องโหว่จะได้รับการอัปเดตโดยอัตโนมัติสำหรับคุณ
3. ตรวจสอบการเปลี่ยนแปลงไฟล์
กุญแจสำคัญในการระบุการละเมิดความปลอดภัยอย่างรวดเร็วคือการตรวจสอบการเปลี่ยนแปลงไฟล์บนเว็บไซต์ของคุณ ฟีเจอร์การตรวจจับการเปลี่ยนแปลงไฟล์ใน iThemes Security Pro จะสแกนไฟล์ในเว็บไซต์ของคุณและแจ้งเตือนคุณเมื่อมีการเปลี่ยนแปลงบนเว็บไซต์ของคุณ
รับ iThemes Security Pro พร้อมการตรวจสอบเว็บไซต์ทุกวันตลอด 24 ชั่วโมง
iThemes Security Pro ปลั๊กอินความปลอดภัย WordPress ของเรามีมากกว่า 50 วิธีในการรักษาความปลอดภัยและปกป้องเว็บไซต์ของคุณจากช่องโหว่ด้านความปลอดภัยทั่วไปของ WordPress ด้วย WordPress การรับรองความถูกต้องด้วยสองปัจจัย การป้องกันแบบเดรัจฉาน การบังคับใช้รหัสผ่านที่รัดกุม และอื่นๆ คุณสามารถเพิ่มระดับการรักษาความปลอดภัยเพิ่มเติมให้กับเว็บไซต์ของคุณได้