รายงานช่องโหว่ของ WordPress: กันยายน 2021 ตอนที่ 3

ปลั๊กอินและธีมที่มีช่องโหว่เป็นสาเหตุอันดับ 1 ที่เว็บไซต์ WordPress ถูกแฮ็ก รายงานช่องโหว่ของ WordPress รายสัปดาห์ที่ขับเคลื่อนโดย WPScan ครอบคลุมถึงปลั๊กอิน ธีม และช่องโหว่หลักของ WordPress และสิ่งที่ควรทำหากคุณเรียกใช้ปลั๊กอินหรือธีมที่มีช่องโหว่บนเว็บไซต์ของคุณ

ช่องโหว่แต่ละจุดจะมีระดับความรุนแรง ต่ำ ปานกลาง สูง หรือ วิกฤต การเปิดเผยและการรายงานช่องโหว่อย่างมีความรับผิดชอบเป็นส่วนสำคัญในการทำให้ชุมชน WordPress ปลอดภัย

ในฐานะหนึ่งในรายงานช่องโหว่ WordPress ที่ใหญ่ที่สุดในปัจจุบัน โปรดแชร์โพสต์นี้กับเพื่อนของคุณเพื่อช่วยเผยแพร่และทำให้ WordPress ปลอดภัยยิ่งขึ้นสำหรับทุกคน

ช่องโหว่หลักของ WordPress

ปัญหาด้านความปลอดภัยหลักของ WordPress หลายข้อได้รับการเปิดเผยและแก้ไข WordPress 5.8.1 เปิดตัวเป็นรุ่นความปลอดภัยและการบำรุงรักษา ตามแนวทางปฏิบัติที่ดีที่สุด อย่าลืมรัน WordPress core เวอร์ชันล่าสุดเสมอ!

1. WordPress 5.4 ถึง 5.8

ช่องโหว่ : การเปิดเผยข้อมูลผ่าน REST API
แพตช์ในเวอร์ชัน : 5.8.1
คะแนน ความรุนแรง : ปานกลาง

ช่องโหว่ : Authenticated XSS ใน Block Editor
แพตช์ในเวอร์ชัน : 5.8.1
คะแนน ความรุนแรง : ปานกลาง

ช่องโหว่ : Lodash Library Update
แพตช์ในเวอร์ชัน : 5.8.1
คะแนน ความรุนแรง : ปานกลาง

ช่องโหว่ของปลั๊กอิน WordPress

ในส่วนนี้ ช่องโหว่ของปลั๊กอิน WordPress ล่าสุดได้รับการเปิดเผยแล้ว รายการปลั๊กอินแต่ละรายการประกอบด้วยประเภทของช่องโหว่ หมายเลขเวอร์ชันหากมีการแพตช์ และระดับความรุนแรง

1. Pinterest อัตโนมัติ

ปลั๊กอิน: Pinterest อัตโนมัติ
ช่องโหว่ : Unauthenticated Arbitrary Options Update
แพตช์ ในเวอร์ชัน : 4.14.4
คะแนน ความรุนแรง : วิกฤต

2. WordPress อัตโนมัติ

ปลั๊กอิน: WordPress อัตโนมัติ
ช่องโหว่ : Unauthenticated Arbitrary Options Update
แพตช์ ในเวอร์ชัน : 3.53.3
คะแนน ความรุนแรง : วิกฤต

3. ELEX WooCommerce Google Shopping

ปลั๊กอิน: ELEX WooCommerce Google Shopping
ช่องโหว่ : Reflected Cross-Site Scripting (XSS)
แพตช์ในเวอร์ชัน : 1.2.4
คะแนน ความรุนแรง : สูง

4. การลงทะเบียนผู้ใช้

ปลั๊กอิน: การ ลงทะเบียนผู้ใช้
ช่องโหว่ : Low Privilege Stored Cross-Site Scripting
แพตช์ในเวอร์ชัน : 2.0.2
คะแนน ความรุนแรง : ปานกลาง

5. uListing

ปลั๊กอิน: uListing
ช่องโหว่ : อัปเดตตัวเลือกบล็อกโดยพลการผ่าน CSRF
แพตช์ในเวอร์ชัน : 2.0.9
คะแนน ความรุนแรง : สูง

6. จองเวลานัดหมาย

ปลั๊กอิน: การจองชั่วโมงนัดหมาย
ช่องโหว่ : Authenticated Stored Cross-Site Scripting
แพตช์ในเวอร์ชัน : 1.3.16
คะแนน ความรุนแรง : ต่ำ

ปลั๊กอิน: การจองชั่วโมงนัดหมาย
ช่องโหว่ : Authenticated Stored XSS
แพตช์ ในเวอร์ชัน : 1.3.17
คะแนน ความรุนแรง : ต่ำ

7. ผู้ใช้WP

ปลั๊กอิน: UsersWP
ช่องโหว่ : Reflected Cross-Site Scripting
แพตช์ ในเวอร์ชัน : 1.2.2.29
คะแนน ความรุนแรง : ปานกลาง

8. ปฏิทินข่าวบรรณาธิการ PublishPres

ปลั๊กอิน: PublishPress Editorial Calendar
ช่องโหว่ : Reflected Cross-Site Scripting
แพตช์ในเวอร์ชัน : 3.5.1
คะแนน ความรุนแรง : สูง

9. ค้นหาและแทนที่ได้ดีขึ้น

ปลั๊กอิน: ค้นหาและแทนที่ได้ดีขึ้น
ช่องโหว่ : Reflected Cross-Site Scripting
แพตช์ในเวอร์ชัน : 1.2.9
คะแนน ความรุนแรง : สูง

10. CM Tooltip อภิธานศัพท์

ปลั๊กอิน: CM Tooltip อภิธานศัพท์
ช่องโหว่ : Contributor+ Stored Cross-Site Scripting
แพตช์ ในเวอร์ชัน : 3.9.21
คะแนน ความรุนแรง : ปานกลาง

11. เกตเวย์การชำระเงิน Bitcoin / AltCoin สำหรับ WooCommerce

ปลั๊กอิน: เกตเวย์การชำระเงิน Bitcoin / AltCoin สำหรับ WooCommerce
ช่องโหว่ : Reflected Cross-Site Scripting
แพตช์ในเวอร์ชัน : 1.6.1
คะแนน ความรุนแรง : สูง

12. ปฏิทินกิจกรรมสมัยใหม่ Lite

ปลั๊กอิน: ปฏิทินกิจกรรมสมัยใหม่ Lite
ช่องโหว่ : Admin+ Stored Cross-Site Scripting
แพตช์ ในเวอร์ชัน : 5.22.2
คะแนน ความรุนแรง : ต่ำ

13. Chatbot ของฉัน

กระทู้: Chatbot ของฉัน
ช่องโหว่ : Reflected Cross-Site Scripting (XSS)
แพทช์ในเวอร์ชัน : ไม่มีโปรแกรมแก้ไขที่รู้จัก
คะแนน ความรุนแรง : สูง

14. หน้าซ้ำ

ปลั๊กอิน: หน้าซ้ำ
ช่องโหว่ : Admin+ Stored Cross-Site Scripting
แพตช์ในเวอร์ชัน : 4.4.3
คะแนน ความรุนแรง : ปานกลาง

15. ผลกระทบจากสภาพอากาศ

ปลั๊กอิน: เอฟเฟกต์สภาพอากาศ
ช่องโหว่ : Admin+ Stored Cross-Site Scripting
แพตช์ในเวอร์ชัน : 1.3.6
คะแนน ความรุนแรง : ต่ำ

ปลั๊กอิน: เอฟเฟกต์สภาพอากาศ
ช่องโหว่ : CSRF ไปยัง Stored Cross-Site Scripting
แพตช์ในเวอร์ชัน : 1.3.4
คะแนน ความรุนแรง : สูง

16. แบบทดสอบที่ถูกล่ามโซ่

ปลั๊กอิน: แบบทดสอบที่ถูกล่ามโซ่
ช่องโหว่ : Authenticated Stored Cross Site Scripting
แพตช์ ในเวอร์ชัน : 1.2.7.2
คะแนน ความรุนแรง : ต่ำ

17. รายชื่อนักวิชาการ WP

Plugin : WP Academic People List
ช่องโหว่ : Reflected Cross-Site Scripting
แพทช์ในเวอร์ชัน : ไม่มีโปรแกรมแก้ไขที่รู้จัก
คะแนน ความรุนแรง : ปานกลาง

18. คนนิจิวะ! สมาชิก

Plugin : คนนิจิ วะ! สมาชิก
ช่องโหว่ : Reflected Cross-Site Scripting
แพทช์ในเวอร์ชัน : ไม่มีโปรแกรมแก้ไขที่รู้จัก
คะแนน ความรุนแรง : ปานกลาง

19. ภาพหมุนปก 3 มิติ

ปลั๊กอิน : 3D Cover Carousel
ช่องโหว่ : Reflected Cross-Site Scripting
แพทช์ในเวอร์ชัน : ไม่มีโปรแกรมแก้ไขที่รู้จัก
คะแนน ความรุนแรง : ปานกลาง

20. เพิ่มเติมจาก Google

ปลั๊กอิน : เพิ่มเติมจาก Google
ช่องโหว่ : Reflected Cross-Site Scripting
แพทช์ในเวอร์ชัน : ไม่มีโปรแกรมแก้ไขที่รู้จัก
คะแนน ความรุนแรง : ปานกลาง

21. การตรวจสอบสิทธิ์ SAMLphp แบบง่าย

ปลั๊กอิน : simpleSAMLphp Authentication
ช่องโหว่ : Reflected Cross-Site Scripting
แพทช์ในเวอร์ชัน : ไม่มีโปรแกรมแก้ไขที่รู้จัก
คะแนน ความรุนแรง : ปานกลาง

22. ปลั๊กอินเมนูแบบกำหนดเอง

ปลั๊กอิน : ปลั๊กอินเมนูแบบกำหนดเอง
ช่องโหว่ : Reflected Cross-Site Scripting
แพทช์ในเวอร์ชัน : ไม่มีโปรแกรมแก้ไขที่รู้จัก
คะแนน ความรุนแรง : ปานกลาง

23. วิดเจ็ตเพื่อน Twitter

ปลั๊กอิน : Twitter Friends Widget
ช่องโหว่ : Reflected Cross-Site Scripting
แพทช์ในเวอร์ชัน : ไม่มีโปรแกรมแก้ไขที่รู้จัก
คะแนน ความรุนแรง : ปานกลาง

24. RentPress

ปลั๊กอิน : RentPress
ช่องโหว่ : Reflected Cross-Site Scripting
แพทช์ในเวอร์ชัน : ไม่มีโปรแกรมแก้ไขที่รู้จัก
คะแนน ความรุนแรง : ปานกลาง

25. SP ผู้จัดการเช่า

ปลั๊กอิน : SP Rental Manager
ช่องโหว่ : Unauthenticated SQL Injection
แพทช์ในเวอร์ชัน : ไม่มีโปรแกรมแก้ไขที่รู้จัก
คะแนน ความรุนแรง : สูง

26. อีเมลเปิดใช้งานผู้ใช้

Plugin : User Activation Email
ช่องโหว่ : Reflected Cross-Site Scripting
แพทช์ในเวอร์ชัน : ไม่มีโปรแกรมแก้ไขที่รู้จัก
คะแนน ความรุนแรง : ปานกลาง

27. WP Google แผนที่

ปลั๊กอิน: WP Google Maps
ช่องโหว่ : ผู้ดูแลระบบหลายคน + การเขียนสคริปต์ข้ามไซต์ที่เก็บไว้
แพตช์ ในเวอร์ชัน : 8.1.13
คะแนน ความรุนแรง : ต่ำ

28. GeoDirectory

ปลั๊กอิน: GeoDirectory
ช่องโหว่ : Authenticated (admin+) Stored Cross-Site Scripting (XSS)
แพตช์ในเวอร์ชัน : 2.1.1.3
คะแนน ความรุนแรง : ปานกลาง

29. TranslatePress

ปลั๊กอิน: TranslatePress
ช่องโหว่ : Authenticated Stored Cross-Site Scripting
แพตช์ในเวอร์ชัน : 2.0.9
คะแนน ความรุนแรง : ต่ำ

30. ตัวนับชื่อโพสต์

Plugin : Post Title Counter
ช่องโหว่ : Reflected Cross-Site Scripting
แพทช์ในเวอร์ชัน : ไม่มีโปรแกรมแก้ไขที่รู้จัก
คะแนน ความรุนแรง : ปานกลาง

31. ตัวแทรกวิดีโอ YouTube

ปลั๊กอิน : ตัว แทรกวิดีโอ YouTube
ช่องโหว่ : Reflected Cross-Site Scripting
แพทช์ในเวอร์ชัน : ไม่มีโปรแกรมแก้ไขที่รู้จัก
คะแนน ความรุนแรง : ปานกลาง

32. ประกาศ

ปลั๊กอิน : ประกาศ
ช่องโหว่ : Reflected Cross-Site Scripting
แพทช์ในเวอร์ชัน : ไม่มีโปรแกรมแก้ไขที่รู้จัก
คะแนน ความรุนแรง : ปานกลาง

33. DJ EmailPublish

ปลั๊กอิน : DJ EmailPublish
ช่องโหว่ : Reflected Cross-Site Scripting
แพทช์ในเวอร์ชัน : ไม่มีโปรแกรมแก้ไขที่รู้จัก
คะแนน ความรุนแรง : ปานกลาง

34. ปลั๊กอิน bol.com อีกอันหนึ่ง

Plugin : อีกหนึ่ง bol.com Plugin
ช่องโหว่ : Reflected Cross-Site Scripting
แพทช์ในเวอร์ชัน : ไม่มีโปรแกรมแก้ไขที่รู้จัก
คะแนน ความรุนแรง : ปานกลาง

35. WP-T-Wap

ปลั๊กอิน : WP-T-Wap
ช่องโหว่ : Reflected Cross-Site Scripting
แพทช์ในเวอร์ชัน : ไม่มีโปรแกรมแก้ไขที่รู้จัก
คะแนน ความรุนแรง : ปานกลาง

36. บนหน้า SEO + ปุ่มแชท Whatsapp

ปลั๊กอิน : บนหน้า SEO + ปุ่มแชท Whatsapp
ช่องโหว่ : Reflected Cross-Site Scripting
แพทช์ในเวอร์ชัน : ไม่มีโปรแกรมแก้ไขที่รู้จัก
คะแนน ความรุนแรง : ปานกลาง

37. WP สคริปต์

ปลั๊กอิน : WP สคริปต์
ช่องโหว่ : Reflected Cross-Site Scripting
แพทช์ในเวอร์ชัน : ไม่มีโปรแกรมแก้ไขที่รู้จัก
คะแนน ความรุนแรง : ปานกลาง

38. แผนที่และสถานที่ออกแบบ WP

ปลั๊กอิน : WP Design Maps & Places
ช่องโหว่ : Reflected Cross-Site Scripting
แพทช์ในเวอร์ชัน : ไม่มีโปรแกรมแก้ไขที่รู้จัก
คะแนน ความรุนแรง : ปานกลาง

39. แบบฟอร์มการจับตัวแทนที่ชาญฉลาด

ปลั๊กอิน : Wise Agent Capture Forms
ช่องโหว่ : Reflected Cross-Site Scripting
แพทช์ในเวอร์ชัน : ไม่มีโปรแกรมแก้ไขที่รู้จัก
คะแนน ความรุนแรง : ปานกลาง

40. แก้ไขความคิดเห็นXT

ปลั๊กอิน : แก้ไขความคิดเห็น XT
ช่องโหว่ : Reflected Cross-Site Scripting
แพทช์ในเวอร์ชัน : ไม่มีโปรแกรมแก้ไขที่รู้จัก
คะแนน ความรุนแรง : ปานกลาง

41. RSVPMaker Excel

ปลั๊กอิน : RSVPMaker Excel
ช่องโหว่ : Reflected Cross-Site Scripting
แพทช์ในเวอร์ชัน : ไม่มีโปรแกรมแก้ไขที่รู้จัก
คะแนน ความรุนแรง : ปานกลาง

42. แถบโหลดชายแดน

ปลั๊กอิน : แถบโหลดเส้นขอบ
ช่องโหว่ : Reflected Cross-Site Scripting
แพทช์ในเวอร์ชัน : ไม่มีโปรแกรมแก้ไขที่รู้จัก
คะแนน ความรุนแรง : ปานกลาง

43. ภาพขนาดย่อแบบเรียบ

ปลั๊กอิน : Simple Matted Thumbnails
ช่องโหว่ : Reflected Cross-Site Scripting
แพทช์ในเวอร์ชัน : ไม่มีโปรแกรมแก้ไขที่รู้จัก
คะแนน ความรุนแรง : ปานกลาง

44. WordPress Simple Shop

ปลั๊กอิน : WordPress Simple Shop
ช่องโหว่ : Reflected Cross-Site Scripting
แพทช์ในเวอร์ชัน : ไม่มีโปรแกรมแก้ไขที่รู้จัก
คะแนน ความรุนแรง : ปานกลาง

45. เกตเวย์การชำระเงิน WooCommerce ต่อหมวดหมู่

ปลั๊กอิน : เกตเวย์การชำระเงิน WooCommerce ตามหมวดหมู่
ช่องโหว่ : Reflected Cross-Site Scripting
แพทช์ในเวอร์ชัน : ไม่มีโปรแกรมแก้ไขที่รู้จัก
คะแนน ความรุนแรง : ปานกลาง

46. ​​ข้อมูลเว็บไซต์ที่กำหนดเอง

ปลั๊กอิน : ข้อมูลเว็บไซต์ที่กำหนดเอง
ช่องโหว่ : Reflected Cross-Site Scripting
แพทช์ในเวอร์ชัน : ไม่มีโปรแกรมแก้ไขที่รู้จัก
คะแนน ความรุนแรง : ปานกลาง

47. ค้นหาล่วงหน้า

ปลั๊กอิน : การ ค้นหาขั้นสูง
ช่องโหว่ : Reflected Cross-Site Scripting
แพทช์ในเวอร์ชัน : ไม่มีโปรแกรมแก้ไขที่รู้จัก
คะแนน ความรุนแรง : ปานกลาง

48. การบูรณาการ Moneybird สำหรับ WooCommerce

ปลั๊กอิน : การรวม Moneybird สำหรับ WooCommerce
ช่องโหว่ : Reflected Cross-Site Scripting
แพทช์ในเวอร์ชัน : ไม่มีโปรแกรมแก้ไขที่รู้จัก
คะแนน ความรุนแรง : ปานกลาง

49. วิเคราะห์สไปเดอร์

ปลั๊กอิน : Spideranalyse
ช่องโหว่ : Reflected Cross-Site Scripting
แพทช์ในเวอร์ชัน : ไม่มีโปรแกรมแก้ไขที่รู้จัก
คะแนน ความรุนแรง : ปานกลาง

50. OSD สมัครสมาชิก

ปลั๊กอิน : OSD Subscribe
ช่องโหว่ : Reflected Cross-Site Scripting
แพทช์ในเวอร์ชัน : ไม่มีโปรแกรมแก้ไขที่รู้จัก
คะแนน ความรุนแรง : ปานกลาง

51. Feedify เว็บพุชการแจ้งเตือน

ปลั๊กอิน : Feedify Web Push Notifications
ช่องโหว่ : Reflected Cross-Site Scripting
แพทช์ในเวอร์ชัน : ไม่มีโปรแกรมแก้ไขที่รู้จัก
คะแนน ความรุนแรง : ปานกลาง

52. ข้อความแบบเลื่อนลงและเลื่อนได้

ปลั๊กอิน : เลื่อนลงและ Text
ช่องโหว่ : Reflected Cross-Site Scripting
แพทช์ในเวอร์ชัน : ไม่มีโปรแกรมแก้ไขที่รู้จัก
คะแนน ความรุนแรง : ปานกลาง

53. การรวม GNU-Mailman

ปลั๊กอิน : GNU-Mailman Integration
ช่องโหว่ : Reflected Cross-Site Scripting
แพทช์ในเวอร์ชัน : ไม่มีโปรแกรมแก้ไขที่รู้จัก
คะแนน ความรุนแรง : ปานกลาง

54. ห้องสมุดบั๊ก

Plugin : Bug Library
ช่องโหว่ : Reflected Cross-Site Scripting
แพทช์ในเวอร์ชัน : ไม่มีโปรแกรมแก้ไขที่รู้จัก
คะแนน ความรุนแรง : ปานกลาง

55. SMS OVH

ปลั๊กอิน : SMS OVH
ช่องโหว่ : Reflected Cross-Site Scripting
แพทช์ในเวอร์ชัน : ไม่มีโปรแกรมแก้ไขที่รู้จัก
คะแนน ความรุนแรง : ปานกลาง

56. มูล่าโมโจ

Plugin : MoolaMojo
ช่องโหว่ : Reflected Cross-Site Scripting
แพทช์ในเวอร์ชัน : ไม่มีโปรแกรมแก้ไขที่รู้จัก
คะแนน ความรุนแรง : ปานกลาง

57. ปลั๊กอิน WordPress กล่องเชิญ

ปลั๊กอิน : ปลั๊กอิน WordPress กล่องเชิญ
ช่องโหว่ : Reflected Cross-Site Scripting
แพทช์ในเวอร์ชัน : ไม่มีโปรแกรมแก้ไขที่รู้จัก
คะแนน ความรุนแรง : ปานกลาง

58. wp-สิ่งพิมพ์

ปลั๊กอิน : wp-publications
ช่องโหว่ : Local File Inclusion
แพทช์ในเวอร์ชัน : ไม่มีโปรแกรมแก้ไขที่รู้จัก
คะแนน ความรุนแรง : สูง

59. ตารางเวลาและกำหนดการกิจกรรมโดย MotoPress

ปลั๊กอิน: ตารางเวลาและกำหนดการกิจกรรมโดย MotoPress
ช่องโหว่ : Author+ Stored Cross-Site Scripting
แพตช์ ในเวอร์ชัน : 2.3.19
คะแนน ความรุนแรง : ปานกลาง

60. ลิงก์ความคิดเห็น ลบและเครื่องมือแสดงความคิดเห็นอื่น ๆ

ปลั๊กอิน: ลบลิงก์ความคิดเห็นและเครื่องมือแสดงความคิดเห็นอื่น ๆ
ช่องโหว่ : การลบความคิดเห็นโดยพลการผ่าน CSRF
แพตช์ในเวอร์ชัน : 2.1.6
คะแนน ความรุนแรง : ปานกลาง

61. WP ปฏิทินการจองอย่างง่าย

ปลั๊กอิน: WP Simple Booking Calendar
ช่องโหว่ : Authenticated SQL Injection
แพตช์ในเวอร์ชัน : 2.0.6
คะแนน ความรุนแรง : ปานกลาง

62. บล็อกและหยุด Bad Bots

ปลั๊กอิน: บล็อกและหยุดบอทที่ไม่ดี
ช่องโหว่ : Authenticated SQL Injections
แพตช์ในเวอร์ชัน : 6.60
คะแนน ความรุนแรง : ปานกลาง

63. สมัครสมาชิกแบบชำระเงิน

ปลั๊กอิน: สมัครสมาชิกแบบชำระเงิน
ช่องโหว่ : Authenticated SQL Injection
แพตช์ในเวอร์ชัน : 2.4.2
คะแนน ความรุนแรง : ปานกลาง

64. หีบเพลงง่าย

ปลั๊กอิน: หีบเพลงง่าย
ช่องโหว่ : Admin+ Stored Cross-Site Scripting
แพตช์ในเวอร์ชัน : 2.0.22
คะแนน ความรุนแรง : ต่ำ

ช่องโหว่ของธีม WordPress

1. เอนโฟลด์

กระทู้: Enfold
ช่องโหว่ : Reflected Cross-Site Scripting (XSS)
แพตช์ในเวอร์ชัน : 4.8.4
คะแนน ความรุนแรง : ปานกลาง

หมายเหตุเกี่ยวกับการเปิดเผยข้อมูลอย่างมีความรับผิดชอบ

คุณอาจสงสัยว่าเหตุใดช่องโหว่จึงถูกเปิดเผยหากช่องโหว่นั้นทำให้แฮ็กเกอร์สามารถโจมตีได้ เป็นเรื่องปกติมากที่นักวิจัยด้านความปลอดภัยจะค้นหาและรายงานช่องโหว่ไปยังผู้พัฒนาซอฟต์แวร์เป็นการส่วนตัว

ด้วย การเปิดเผยอย่าง มี ความรับผิดชอบ รายงานเบื้องต้นของผู้วิจัยจะจัดทำขึ้นเป็นการส่วนตัวสำหรับนักพัฒนาของบริษัทที่เป็นเจ้าของซอฟต์แวร์ แต่ด้วยข้อตกลงว่ารายละเอียดทั้งหมดจะถูกเผยแพร่เมื่อมีการเผยแพร่แพตช์แล้ว สำหรับช่องโหว่ด้านความปลอดภัยที่สำคัญ อาจมีความล่าช้าเล็กน้อยในการเปิดเผยช่องโหว่เพื่อให้ผู้คนมีเวลามากขึ้นในการแก้ไข

นักวิจัยด้านความปลอดภัยอาจกำหนดเส้นตายให้ผู้พัฒนาซอฟต์แวร์ตอบกลับรายงานหรือจัดเตรียมโปรแกรมแก้ไข หากไม่เป็นไปตามกำหนดเวลา ผู้วิจัยอาจเปิดเผยช่องโหว่ต่อสาธารณะเพื่อกดดันผู้พัฒนาให้ออกโปรแกรมแก้ไข

การเปิดเผยช่องโหว่ในที่สาธารณะและดูเหมือนว่าจะแนะนำช่องโหว่ Zero-Day ซึ่งเป็นช่องโหว่ประเภทหนึ่งที่ไม่มีโปรแกรมแก้ไขและกำลังถูกเอารัดเอาเปรียบในป่า อาจดูเหมือนเป็นการต่อต้าน แต่เป็นการใช้ประโยชน์เพียงอย่างเดียวที่นักวิจัยต้องกดดันนักพัฒนาให้แก้ไขช่องโหว่

หากแฮ็กเกอร์ค้นพบช่องโหว่ พวกเขาสามารถใช้ Exploit อย่างเงียบ ๆ และสร้างความเสียหายให้กับผู้ใช้ปลายทาง (นี่คือคุณ) ในขณะที่ผู้พัฒนาซอฟต์แวร์ยังคงเนื้อหาเกี่ยวกับการไม่แก้ไขช่องโหว่ดังกล่าว Project Zero ของ Google มีแนวทางที่คล้ายกันในการเปิดเผยช่องโหว่ พวกเขาเผยแพร่รายละเอียดทั้งหมดของช่องโหว่หลังจาก 90 วันว่าช่องโหว่นั้นได้รับการแก้ไขหรือไม่

วิธีป้องกันเว็บไซต์ WordPress ของคุณจากปลั๊กอินและธีมที่มีช่องโหว่

ดังที่คุณเห็นจากรายงานนี้ มีการเปิดเผยปลั๊กอิน WordPress และช่องโหว่ของธีมใหม่จำนวนมากในแต่ละสัปดาห์ เราทราบดีว่าการติดตามการเปิดเผยช่องโหว่ที่รายงานทุกครั้งอาจเป็นเรื่องยาก ดังนั้นปลั๊กอิน iThemes Security Pro ทำให้ง่ายต่อการตรวจสอบให้แน่ใจว่าไซต์ของคุณไม่ได้ใช้ธีม ปลั๊กอิน หรือเวอร์ชันหลักของ WordPress ที่มีช่องโหว่ที่ทราบ

1. เปิด iThemes Security Pro Site Scanner

เครื่องสแกนเว็บไซต์ของปลั๊กอิน iThemes Security Pro จะสแกนหาเหตุผลที่ #1 ไซต์ WordPress ถูกแฮ็ก: ปลั๊กอินและธีมที่ล้าสมัยพร้อมช่องโหว่ที่ทราบ Site Scanner จะตรวจสอบไซต์ของคุณเพื่อหาช่องโหว่ที่ทราบ และใช้โปรแกรมแก้ไขโดยอัตโนมัติหากมี

หากต้องการเปิดใช้งานการสแกนไซต์ในการติดตั้งใหม่ ให้ไปที่แท็บตรวจสอบไซต์บนเมนูคุณลักษณะภายในปลั๊กอิน และคลิกปุ่มสลับเพื่อเปิดใช้งานการ สแกนไซต์

หากต้องการเรียกใช้การสแกนไซต์ด้วยตนเอง ให้คลิกปุ่ม สแกนทันที บนการ์ดแดชบอร์ดความปลอดภัยการสแกนไซต์

หาก Site Scan ตรวจพบช่องโหว่ ให้คลิกลิงก์ช่องโหว่เพื่อดูหน้ารายละเอียด

ในหน้าช่องโหว่ของ Site Scan คุณจะเห็นว่ามีการแก้ไขสำหรับช่องโหว่หรือไม่ หากมีโปรแกรมแก้ไข คุณสามารถคลิกปุ่ม อัปเดตปลั๊กอิน เพื่อใช้การแก้ไขในเว็บไซต์ของคุณ

2. เปิดการจัดการเวอร์ชันเพื่ออัปเดตอัตโนมัติหากแก้ไขช่องโหว่

คุณลักษณะการจัดการเวอร์ชันใน iThemes Security Pro ทำงานร่วมกับ Site Scan เพื่อปกป้องไซต์ของคุณเมื่อซอฟต์แวร์ที่ล้าสมัยไม่ได้รับการอัปเดตอย่างรวดเร็วเพียงพอ แม้แต่มาตรการรักษาความปลอดภัยที่เข้มงวดที่สุดก็ยังล้มเหลวหากคุณใช้งานซอฟต์แวร์ที่มีช่องโหว่ในเว็บไซต์ของคุณ การตั้งค่าเหล่านี้ช่วยปกป้องไซต์ของคุณด้วยตัวเลือกในการอัปเดตเป็นเวอร์ชันใหม่โดยอัตโนมัติหากมีช่องโหว่ที่ทราบและมีโปรแกรมแก้ไข

จากหน้าการตั้งค่าใน iThemes Security Pro ให้ไปที่หน้าจอคุณสมบัติ คลิกแท็บตรวจสอบไซต์ จากที่นี่ ใช้สลับเพื่อเปิดใช้งานการจัดการเวอร์ชัน เมื่อใช้อุปกรณ์การตั้งค่า คุณสามารถกำหนดการตั้งค่าต่างๆ ได้มากขึ้น รวมถึงวิธีที่คุณต้องการให้ iThemes Security Pro จัดการกับการอัปเดต WordPress, ปลั๊กอิน, ธีม และการป้องกันเพิ่มเติม

ตรวจสอบให้แน่ใจว่าได้เลือก อัปเดตอัตโนมัติ หากแก้ไขช่องช่องโหว่ เพื่อให้ iThemes Security Pro อัปเดตปลั๊กอินหรือธีมโดยอัตโนมัติ หากแก้ไขช่องโหว่ที่ Site Scanner พบ

3. รับอีเมลแจ้งเตือนเมื่อ iThemes Security Pro พบช่องโหว่ที่รู้จักในเว็บไซต์ของคุณ

เมื่อคุณเปิดใช้งาน Site Scan Scheduling แล้ว ให้ไปที่ การ ตั้งค่า ศูนย์การแจ้งเตือน ของปลั๊กอิน ในหน้าจอนี้ ให้เลื่อนไปที่ส่วน ผลลัพธ์การสแกนไซต์

คลิกช่องเพื่อเปิดใช้อีเมลแจ้งเตือน จากนั้นคลิกปุ่ม บันทึกการตั้งค่า

ในระหว่างการสแกนไซต์ตามกำหนดเวลา คุณจะได้รับอีเมลหาก iThemes Security Pro ตรวจพบช่องโหว่ที่ทราบ อีเมลจะมีลักษณะดังนี้

รับ iThemes Security Pro และพักผ่อนให้ง่ายขึ้นในคืนนี้

iThemes Security Pro ปลั๊กอินความปลอดภัย WordPress ของเรามีมากกว่า 50 วิธีในการรักษาความปลอดภัยและปกป้องเว็บไซต์ของคุณจากช่องโหว่ด้านความปลอดภัยทั่วไปของ WordPress ด้วย WordPress การรับรองความถูกต้องด้วยสองปัจจัย การป้องกันแบบเดรัจฉาน การบังคับใช้รหัสผ่านที่รัดกุม และอื่นๆ คุณสามารถเพิ่มระดับการรักษาความปลอดภัยเพิ่มเติมให้กับเว็บไซต์ของคุณได้

รับ iThemes Security Pro

ไมเคิล มัวร์

ในแต่ละสัปดาห์ Michael จะรวบรวมรายงานช่องโหว่ของ WordPress เพื่อช่วยให้เว็บไซต์ของคุณปลอดภัย ในฐานะผู้จัดการผลิตภัณฑ์ที่ iThemes เขาช่วยเราปรับปรุงรายการผลิตภัณฑ์ iThemes ต่อไป เขาเป็นคนเนิร์ดยักษ์และชอบเรียนรู้เกี่ยวกับเทคโนโลยีทุกอย่าง ทั้งเก่าและใหม่ คุณสามารถหาไมเคิลไปเที่ยวกับภรรยาและลูกสาว อ่านหนังสือหรือฟังเพลงเมื่อไม่ได้ทำงาน