รายงานช่องโหว่ของ WordPress: กันยายน 2021 ตอนที่ 4

ปลั๊กอินและธีมที่มีช่องโหว่เป็นสาเหตุอันดับ 1 ที่เว็บไซต์ WordPress ถูกแฮ็ก รายงานช่องโหว่ของ WordPress รายสัปดาห์ที่ขับเคลื่อนโดย WPScan ครอบคลุมถึงปลั๊กอิน ธีม และช่องโหว่หลักของ WordPress และสิ่งที่ควรทำหากคุณเรียกใช้ปลั๊กอินหรือธีมที่มีช่องโหว่บนเว็บไซต์ของคุณ

ช่องโหว่แต่ละจุดจะมีระดับความรุนแรง ต่ำ ปานกลาง สูง หรือ วิกฤต การเปิดเผยและการรายงานช่องโหว่อย่างมีความรับผิดชอบเป็นส่วนสำคัญในการทำให้ชุมชน WordPress ปลอดภัย

ในฐานะหนึ่งในรายงานช่องโหว่ WordPress ที่ใหญ่ที่สุดในปัจจุบัน โปรดแชร์โพสต์นี้กับเพื่อนของคุณเพื่อช่วยเผยแพร่และทำให้ WordPress ปลอดภัยยิ่งขึ้นสำหรับทุกคน

ช่องโหว่หลักของ WordPress

ปัญหาด้านความปลอดภัยหลักของ WordPress หลายข้อได้รับการเปิดเผยและแก้ไข WordPress 5.8.1 เปิดตัวเป็นรุ่นความปลอดภัยและการบำรุงรักษา ตามแนวทางปฏิบัติที่ดีที่สุด อย่าลืมรัน WordPress core เวอร์ชันล่าสุดเสมอ!

ช่องโหว่ของปลั๊กอิน WordPress

ในส่วนนี้ ช่องโหว่ของปลั๊กอิน WordPress ล่าสุดได้รับการเปิดเผยแล้ว รายการปลั๊กอินแต่ละรายการประกอบด้วยประเภทของช่องโหว่ หมายเลขเวอร์ชันหากมีการแพตช์ และระดับความรุนแรง

1. WooCommerce หลายสกุลเงิน

ปลั๊กอิน: WooCommerce หลายสกุลเงิน
ช่องโหว่ : Authenticated Product Price Change
แพตช์ ในเวอร์ชัน : 2.1.18
คะแนน ความรุนแรง : ปานกลาง

2. GeoDirectory

ปลั๊กอิน: GeoDirectory
ช่องโหว่ : Authenticated (admin+) Stored Cross-Site Scripting (XSS)
แพตช์ในเวอร์ชัน : 2.1.1.3
คะแนน ความรุนแรง : ปานกลาง

3. Software License Manager

ปลั๊กอิน: Software License Manager
ช่องโหว่ : การลบโดเมนโดยพลการผ่าน CSRF
แพตช์ในเวอร์ชัน : 4.5.1
คะแนน ความรุนแรง : สูง

4. แบบทดสอบและสำรวจปรมาจารย์

ปลั๊กอิน: แบบทดสอบและสำรวจ Master
ช่องโหว่ : Admin+ Stored Cross-Site Scripting
แพตช์ในเวอร์ชัน : 7.3.2
คะแนน ความรุนแรง : ต่ำ

5. อำนาจพันธมิตร

ปลั๊กอิน: พลังพันธมิตร
ช่องโหว่ : Reflected Cross-Site Scripting
แพตช์ในเวอร์ชัน : 2.3.0
คะแนน ความรุนแรง : สูง

6. ผู้ทำโพล

ปลั๊กอิน: เครื่องทำโพล
ช่องโหว่ : Unauthenticated Time Based SQL Injection
แพตช์ในเวอร์ชัน : 3.4.2
คะแนน ความรุนแรง : วิกฤต

7. เร็วๆ นี้และโหมดบำรุงรักษา

ปลั๊กอิน: เร็วๆ นี้และโหมดบำรุงรักษา
ช่องโหว่ : Authenticated Stored XSS
แพตช์ในเวอร์ชัน : 3.5.3
คะแนน ความรุนแรง : ต่ำ

8. บรรณาธิการKit

ปลั๊กอิน: EditorsKit
ช่องโหว่ : Contributor+ Arbitrary PHP Code Execution
แพตช์ ในเวอร์ชัน : 1.31.6
คะแนน ความรุนแรง : วิกฤต

9. Pinterest AutomTravelpayouts

ปลั๊กอิน: Travelpayouts
ช่องโหว่ : CSRF Bypass เนื่องจาก Redux Framework ที่ล้าสมัย
แพตช์ ในเวอร์ชัน : 1.0.17
คะแนน ความรุนแรง : ปานกลาง

10. ปฏิทินห้องว่าง

ปลั๊กอิน: ปฏิทินความพร้อมใช้งาน
ช่องโหว่ : Authenticated SQL Injection
แพตช์ในเวอร์ชัน : 1.2.1
คะแนน ความรุนแรง : สูง

ปลั๊กอิน: ปฏิทินความพร้อมใช้งาน
ช่องโหว่ : Authenticated Stored Cross-Site Scripting
แพตช์ในเวอร์ชัน : 1.2.1
คะแนน ความรุนแรง : ต่ำ

11. การเปลี่ยนเส้นทาง SEO

ปลั๊กอิน: การ เปลี่ยนเส้นทาง SEO
ช่องโหว่ : Authenticated Stored Cross-Site Scripting (XSS)
แพตช์ในเวอร์ชัน : 7.1
คะแนน ความรุนแรง : ต่ำ

ปลั๊กอิน: การ เปลี่ยนเส้นทาง SEO
ช่องโหว่ : Reflected Cross-Site Scripting
แพตช์ในเวอร์ชัน : 7.4
คะแนน ความรุนแรง : สูง

ปลั๊กอิน: การ เปลี่ยนเส้นทาง SEO
ช่องโหว่ : Arbitrary Redirect Delete ผ่าน CSRF
แพตช์ในเวอร์ชัน : 7.9
คะแนน ความรุนแรง : ปานกลาง

12. ปุ่มแชร์โซเชียลมีเดียอย่างง่าย

ปลั๊กอิน: ปุ่มแชร์โซเชียลมีเดียอย่างง่าย
ช่องโหว่ : Authenticated Stored Cross-Site Scripting
แพตช์ในเวอร์ชัน : 3.2.4
คะแนน ความรุนแรง : ปานกลาง

13. ความคิดเห็น – wpDiscuz

ปลั๊กอิน: ความคิดเห็น – wpDiscuz
ช่องโหว่ : Admin+ Stored Cross-Site Scripting
แพตช์ในเวอร์ชัน : 7.3.2
คะแนน ความรุนแรง : ต่ำ

14. ดาวน์โหลดจากไฟล์

ปลั๊กอิน : ดาวน์โหลดจากไฟล์
ช่องโหว่ : Unauthenticated Arbitrary File Upload
แพทช์ในเวอร์ชัน : ไม่มีโปรแกรมแก้ไขที่รู้จัก
คะแนน ความรุนแรง : วิกฤต

15. คณะกรรมการสนับสนุน

ปลั๊กอิน: บอร์ดสนับสนุน
ช่องโหว่ : Multiple Unauthenticated SQL Injections
แพตช์ในเวอร์ชัน : 3.3.4
คะแนน ความรุนแรง : วิกฤต

16. ค้นหาบล็อกของฉัน

ปลั๊กอิน: ค้นหาบล็อกของฉัน
ช่องโหว่ : การเปิดเผยชื่อโพสต์ส่วนตัว
แพตช์ในเวอร์ชัน : 3.4.0
คะแนน ความรุนแรง : ปานกลาง

17. Dflip Lite

ปลั๊กอิน: Dflip Lite
ช่องโหว่ : Contributor+ Stored Cross-Site Scripting
แพตช์ ในเวอร์ชัน : 1.7.10
คะแนน ความรุนแรง : ปานกลาง

18. เครื่องเล่นเสียง WP ขนาดกะทัดรัด

ปลั๊กอิน: เครื่องเล่นเสียง WP ขนาดกะทัดรัด
ช่องโหว่ : การเปลี่ยนแปลงการตั้งค่าผ่าน CSRF
แพตช์ในเวอร์ชัน : 1.9.7
คะแนน ความรุนแรง : ปานกลาง

ปลั๊กอิน: เครื่องเล่นเสียง WP ขนาดกะทัดรัด
ช่องโหว่ : Contributor+ Stored Cross-Site Scripting
แพตช์ในเวอร์ชัน : 1.9.7
คะแนน ความรุนแรง : ปานกลาง

19. แชร์ไฟล์

ปลั๊กอิน: ไฟล์ที่แชร์
ช่องโหว่ : Admin+ Stored Cross-Site Scripting
แพตช์ ในเวอร์ชัน : 1.6.57
คะแนน ความรุนแรง : ต่ำ

20. 4k-icon-fonts-for-visual-composer

ปลั๊กอิน: 4k-icon-fonts-for-visual-composer
ช่องโหว่ : Reflected Cross-Site Scripting (XSS) – Titan Framework
แพทช์ในเวอร์ชัน : ไม่ทราบวิธีแก้ไข
คะแนน ความรุนแรง : สูง

21. Ad Blocker แจ้งเตือน Lite

ปลั๊กอิน: Ad Blocker แจ้งเตือน Lite
ช่องโหว่ : Reflected Cross-Site Scripting (XSS) – Titan Framework
แพทช์ในเวอร์ชัน : ไม่ทราบวิธีแก้ไข
คะแนน ความรุนแรง : สูง

22. พันธมิตร-โปร

ปลั๊กอิน: affiliate-pro
ช่องโหว่ : Reflected Cross-Site Scripting (XSS) – Titan Framework
แพทช์ในเวอร์ชัน : ไม่ทราบวิธีแก้ไข
คะแนน ความรุนแรง : สูง

21. ส่วนขยาย AMP

ปลั๊กอิน: ส่วนขยาย AMP
ช่องโหว่ : Reflected Cross-Site Scripting (XSS) – Titan Framework
แพทช์ในเวอร์ชัน : ไม่ทราบวิธีแก้ไข
คะแนน ความรุนแรง : สูง

22. อาโออิโทริ

ปลั๊กอิน: อาโออิ โทริ
ช่องโหว่ : Reflected Cross-Site Scripting (XSS) – Titan Framework
แพทช์ในเวอร์ชัน : ไม่ทราบวิธีแก้ไข
คะแนน ความรุนแรง : สูง

23. การสนับสนุนที่ยอดเยี่ยม – WordPress HelpDesk & Support Plugin

ปลั๊กอิน: การสนับสนุนที่ยอดเยี่ยม – WordPress HelpDesk & Support Plugin
ช่องโหว่ : Reflected Cross-Site Scripting (XSS) – Titan Framework
แพทช์ในเวอร์ชัน : ไม่ทราบวิธีแก้ไข
คะแนน ความรุนแรง : สูง

24. ทางเลือกที่ดีกว่า

ปลั๊กอิน: Betteroptin
ช่องโหว่ : Reflected Cross-Site Scripting (XSS) – Titan Framework
แพทช์ในเวอร์ชัน : ไม่ทราบวิธีแก้ไข
คะแนน ความรุนแรง : สูง

25. แถบโหลดชายแดน

ปลั๊กอิน: แถบโหลดชายแดน
ช่องโหว่ : Reflected Cross-Site Scripting (XSS) – Titan Framework
แพทช์ในเวอร์ชัน : ไม่ทราบวิธีแก้ไข
คะแนน ความรุนแรง : สูง

26. Catchers Helpdesk และระบบตั๋วสำหรับ Support

ปลั๊กอิน: Catchers Helpdesk และระบบตั๋วสำหรับการสนับสนุน
ช่องโหว่ : Reflected Cross-Site Scripting (XSS) – Titan Framework
แพทช์ในเวอร์ชัน : ไม่ทราบวิธีแก้ไข
คะแนน ความรุนแรง : สูง

27. Bootstrap หมวดหมู่แกลลอรี่

ปลั๊กอิน: Bootstrap หมวดหมู่ แกลเลอรี่
ช่องโหว่ : Reflected Cross-Site Scripting (XSS) – Titan Framework
แพทช์ในเวอร์ชัน : ไม่ทราบวิธีแก้ไข
คะแนน ความรุนแรง : สูง

28. หมวดหมู่ Woocommerce ในรูปแบบแกลเลอรี่

ปลั๊กอิน: หมวดหมู่ Woocommerce ในรูปแบบแกลเลอรี่
ช่องโหว่ : Reflected Cross-Site Scripting (XSS) – Titan Framework
แพทช์ในเวอร์ชัน : ไม่ทราบวิธีแก้ไข
คะแนน ความรุนแรง : สูง

29. WordPress Form Customizer | เครื่องมือปรับแต่ง CF7

ปลั๊กอิน: WordPress Form Customizer | เครื่องมือปรับแต่ง CF7
ช่องโหว่ : Reflected Cross-Site Scripting (XSS) – Titan Framework
แพทช์ในเวอร์ชัน : ไม่ทราบวิธีแก้ไข
คะแนน ความรุนแรง : สูง

30. ClinicalWP Core

ปลั๊กอิน: ClinicalWP Core
ช่องโหว่ : Reflected Cross-Site Scripting (XSS) – Titan Framework
แพทช์ในเวอร์ชัน : ไม่ทราบวิธีแก้ไข
คะแนน ความรุนแรง : สูง

31. ไทม์ไลน์ฟีดหน้า Facebook

ปลั๊กอิน: ไทม์ไลน์ฟีดหน้า Facebook
ช่องโหว่ : Reflected Cross-Site Scripting (XSS) – Titan Framework
แพทช์ในเวอร์ชัน : ไม่ทราบวิธีแก้ไข
คะแนน ความรุนแรง : สูง

32. ตัวออกแบบแถบเลื่อนแบบกำหนดเอง

ปลั๊กอิน: Custom Scrollbar Designer
ช่องโหว่ : Reflected Cross-Site Scripting (XSS) – Titan Framework
แพทช์ในเวอร์ชัน : ไม่ทราบวิธีแก้ไข
คะแนน ความรุนแรง : สูง

33. สีการเลือกข้อความที่กำหนดเอง

ปลั๊กอิน: สีการเลือกข้อความที่กำหนดเอง
ช่องโหว่ : Reflected Cross-Site Scripting (XSS) – Titan Framework
แพทช์ในเวอร์ชัน : ไม่ทราบวิธีแก้ไข
คะแนน ความรุนแรง : สูง

34. ปิดการใช้งานรูปภาพคลิกขวา

ปลั๊กอิน: ปิดการใช้งานรูปภาพคลิกขวา
ช่องโหว่ : Reflected Cross-Site Scripting (XSS) – Titan Framework
แพทช์ในเวอร์ชัน : ไม่ทราบวิธีแก้ไข
คะแนน ความรุนแรง : สูง

35. สไลด์โชว์แกลลอรี่อย่างง่าย

ปลั๊กอิน: สไลด์โชว์แกลลอรี่อย่างง่าย
ช่องโหว่ : Reflected Cross-Site Scripting (XSS) – Titan Framework
แพทช์ในเวอร์ชัน : ไม่ทราบวิธีแก้ไข
คะแนน ความรุนแรง : สูง

36. Google Map อย่างง่าย

ปลั๊กอิน: Google Map อย่างง่าย
ช่องโหว่ : Reflected Cross-Site Scripting (XSS) – Titan Framework
แพทช์ในเวอร์ชัน : ไม่ทราบวิธีแก้ไข
คะแนน ความรุนแรง : สูง

37. แกลลอรี่เหตุผลง่าย ๆ

ปลั๊กอิน: Easy Justified Gallery
ช่องโหว่ : Reflected Cross-Site Scripting (XSS) – Titan Framework
แพทช์ในเวอร์ชัน : ไม่ทราบวิธีแก้ไข
คะแนน ความรุนแรง : สูง

38. แชร์โพสต์ไปที่อีเมล

ปลั๊กอิน: แชร์โพสต์ไปที่อีเมล
ช่องโหว่ : Reflected Cross-Site Scripting (XSS) – Titan Framework
แพทช์ในเวอร์ชัน : ไม่ทราบวิธีแก้ไข
คะแนน ความรุนแรง : สูง

39. ออกจากการแสดงป๊อปอัป

ปลั๊กอิน: ออกจากการแสดงป๊อปอัป
ช่องโหว่ : Reflected Cross-Site Scripting (XSS) – Titan Framework
แพทช์ในเวอร์ชัน : ไม่ทราบวิธีแก้ไข
คะแนน ความรุนแรง : สูง

40. วิดเจ็ตการค้นหาเที่ยวบินและบล็อก

ปลั๊กอิน: วิดเจ็ตการค้นหาเที่ยวบินและบล็อก
ช่องโหว่ : Reflected Cross-Site Scripting (XSS) – Titan Framework
แพทช์ในเวอร์ชัน : ไม่ทราบวิธีแก้ไข
คะแนน ความรุนแรง : สูง

41. ไอคอนที่มีวิดเจ็ตลิงก์

ปลั๊กอิน: ไอคอนพร้อมวิดเจ็ตลิงก์
ช่องโหว่ : Reflected Cross-Site Scripting (XSS) – Titan Framework
แพทช์ในเวอร์ชัน : ไม่ทราบวิธีแก้ไข
คะแนน ความรุนแรง : สูง

42. ICustomizer

ปลั๊กอิน: ICustomizer
ช่องโหว่ : Reflected Cross-Site Scripting (XSS) – Titan Framework
แพทช์ในเวอร์ชัน : ไม่ทราบวิธีแก้ไข
คะแนน ความรุนแรง : สูง

43. แชทสดสำหรับแฟนเพจ

ปลั๊กอิน: แชทสดสำหรับแฟนเพจ
ช่องโหว่ : Reflected Cross-Site Scripting (XSS) – Titan Framework
แพทช์ในเวอร์ชัน : ไม่ทราบวิธีแก้ไข
คะแนน ความรุนแรง : สูง

44. สื่อมิเรอร์

ปลั๊กอิน: Media Mirror
ช่องโหว่ : Reflected Cross-Site Scripting (XSS) – Titan Framework
แพทช์ในเวอร์ชัน : ไม่ทราบวิธีแก้ไข
คะแนน ความรุนแรง : สูง

45. WP Mobile Menu – เมนูที่เหมาะกับอุปกรณ์พกพา

ปลั๊กอิน: WP Mobile Menu – เมนูที่เหมาะกับอุปกรณ์พกพา
ช่องโหว่ : Reflected Cross-Site Scripting (XSS) – Titan Framework
แพตช์ ในเวอร์ชัน : 2.8.2.3
คะแนน ความรุนแรง : สูง

46. ​​ป๊อปอัป Modal สำหรับ Youtube

ปลั๊กอิน: Popup Modal สำหรับ Youtube
ช่องโหว่ : Reflected Cross-Site Scripting (XSS) – Titan Framework
แพทช์ในเวอร์ชัน : ไม่ทราบวิธีแก้ไข
คะแนน ความรุนแรง : สูง

47. Project2App – เปลี่ยนไซต์ WordPress ของคุณให้เป็นแอพ Android

ปลั๊กอิน: Project2App – เปลี่ยนไซต์ WordPress ของคุณให้เป็นแอพ Android
ช่องโหว่ : Reflected Cross-Site Scripting (XSS) – Titan Framework
แพทช์ในเวอร์ชัน : ไม่ทราบวิธีแก้ไข
คะแนน ความรุนแรง : สูง

48. ตั๋วพันธมิตร Seatgeek

ปลั๊กอิน: ตั๋วพันธมิตร Seatgeek
ช่องโหว่ : Reflected Cross-Site Scripting (XSS) – Titan Framework
แพทช์ในเวอร์ชัน : ไม่ทราบวิธีแก้ไข
คะแนน ความรุนแรง : สูง

49. SEO-Dashboard โดย gutewebsites.de

ปลั๊กอิน: SEO-Dashboard โดย gutewebsites.de
ช่องโหว่ : Reflected Cross-Site Scripting (XSS) – Titan Framework
แพทช์ในเวอร์ชัน : ไม่ทราบวิธีแก้ไข
คะแนน ความรุนแรง : สูง

50. แบ่งปัน Woocommerce ไปยังอีเมล

ปลั๊กอิน: แชร์ Woocommerce ไปยังอีเมล
ช่องโหว่ : Reflected Cross-Site Scripting (XSS) – Titan Framework
แพทช์ในเวอร์ชัน : ไม่ทราบวิธีแก้ไข
คะแนน ความรุนแรง : สูง

51. ผลงานพฤติกรรมที่เรียบง่าย

ปลั๊กอิน: Simple Behance Portfolio
ช่องโหว่ : Reflected Cross-Site Scripting (XSS) – Titan Framework
แพทช์ในเวอร์ชัน : ไม่ทราบวิธีแก้ไข
คะแนน ความรุนแรง : สูง

52. เมนูดาว

ปลั๊กอิน: เมนูดาว
ช่องโหว่ : Reflected Cross-Site Scripting (XSS) – Titan Framework
แพทช์ในเวอร์ชัน : ไม่ทราบวิธีแก้ไข
คะแนน ความรุนแรง : สูง

53. ปลั๊กอิน Station Pro

ปลั๊กอิน: ปลั๊กอิน Station Pro
ช่องโหว่ : Reflected Cross-Site Scripting (XSS) – Titan Framework
แพตช์ในเวอร์ชัน : 2.2.2
คะแนน ความรุนแรง : สูง

54. โพสต์ที่เกี่ยวข้องเหนียว

ปลั๊กอิน: โพสต์ที่เกี่ยวข้องเหนียว
ช่องโหว่ : Reflected Cross-Site Scripting (XSS) – Titan Framework
แพทช์ในเวอร์ชัน : ไม่ทราบวิธีแก้ไข
คะแนน ความรุนแรง : สูง

55. tcS3

ปลั๊กอิน: tcS3
ช่องโหว่ : Reflected Cross-Site Scripting (XSS) – Titan Framework
แพทช์ในเวอร์ชัน : ไม่ทราบวิธีแก้ไข
คะแนน ความรุนแรง : สูง

56. รหัสย่อกิจกรรมสำหรับปฏิทินกิจกรรม

ปลั๊กอิน: รหัสย่อเหตุการณ์สำหรับปฏิทินกิจกรรม
ช่องโหว่ : Reflected Cross-Site Scripting (XSS) – Titan Framework
แพตช์ในเวอร์ชัน : 1.7.2
คะแนน ความรุนแรง : สูง

57. กรอบงานไททัน

ปลั๊กอิน: Titan Framework
ช่องโหว่ : Reflected Cross-Site Scripting (XSS) – Titan Framework
แพทช์ในเวอร์ชัน : ไม่ทราบวิธีแก้ไข
คะแนน ความรุนแรง : สูง

58. ยอดขายรวมสำหรับ Woocommerce

ปลั๊กอิน: ยอดขายรวมสำหรับ Woocommerce
ช่องโหว่ : Reflected Cross-Site Scripting (XSS) – Titan Framework
แพทช์ในเวอร์ชัน : ไม่ทราบวิธีแก้ไข
คะแนน ความรุนแรง : สูง

59. tr-easy-google-analytics

ปลั๊กอิน: tr-easy-google-analytics
ช่องโหว่ : Reflected Cross-Site Scripting (XSS) – Titan Framework
แพทช์ในเวอร์ชัน : ไม่ทราบวิธีแก้ไข
คะแนน ความรุนแรง : สูง

60. ผู้จัดการกิจกรรมกิจการ

ปลั๊กอิน: Venture Event Manager
ช่องโหว่ : Reflected Cross-Site Scripting (XSS) – Titan Framework
แพตช์ในเวอร์ชัน : 3.2.5
คะแนน ความรุนแรง : สูง

61. W3SCloud แบบฟอร์มติดต่อ 7 ถึง Zoho CRM

ปลั๊กอิน: แบบฟอร์มการติดต่อ W3SCloud 7 ถึง Zoho CRM
ช่องโหว่ : Reflected Cross-Site Scripting (XSS) – Titan Framework
แพตช์ในเวอร์ชัน : 2.1.0
คะแนน ความรุนแรง : สูง

62. WebHotelier สำหรับ WordPress

ปลั๊กอิน: WebHotelier สำหรับ WordPress
ช่องโหว่ : Reflected Cross-Site Scripting (XSS) – Titan Framework
แพทช์ในเวอร์ชัน : ไม่ทราบวิธีแก้ไข
คะแนน ความรุนแรง : สูง

63. สินค้าจำกัดเวลาวันที่มีจำหน่ายสำหรับ woocommerce

Plugin: Product Limited Time Availability Date สำหรับ woocommerce
ช่องโหว่ : Reflected Cross-Site Scripting (XSS) – Titan Framework
แพทช์ในเวอร์ชัน : ไม่ทราบวิธีแก้ไข
คะแนน ความรุนแรง : สูง

64. ขอใบเสนอราคาผ่าน Whatsapp สำหรับ Woocommerce

ปลั๊กอิน: ขอใบเสนอราคาผ่าน Whatsapp สำหรับ Woocommerce
ช่องโหว่ : Reflected Cross-Site Scripting (XSS) – Titan Framework
แพทช์ในเวอร์ชัน : ไม่ทราบวิธีแก้ไข
คะแนน ความรุนแรง : สูง

65. วูเซลล์กิจ บาร์

ปลั๊กอิน: Woosalekit Bar
ช่องโหว่ : Reflected Cross-Site Scripting (XSS) – Titan Framework
แพทช์ในเวอร์ชัน : ไม่ทราบวิธีแก้ไข
คะแนน ความรุนแรง : สูง

66. ปุ่ม Yandex Money

ปลั๊กอิน: ปุ่ม Yandex Money
ช่องโหว่ : Reflected Cross-Site Scripting (XSS) – Titan Framework
แพทช์ในเวอร์ชัน : ไม่ทราบวิธีแก้ไข
คะแนน ความรุนแรง : สูง

67. แผนโซ ฟอร์ม

ปลั๊กอิน: แบบฟอร์ม PlanSo
ช่องโหว่ : Authenticated Stored Cross-Site Scripting
แพทช์ในเวอร์ชัน : ไม่ทราบวิธีแก้ไข
คะแนน ความรุนแรง : ต่ำ

68. ตัวจัดการเมนูขั้นสูง

ปลั๊กอิน: ตัวจัดการเมนูขั้นสูง
ช่องโหว่ : Unauthorized Menu Edition ผ่าน CSRF
แพตช์ในเวอร์ชัน : 3.0
คะแนน ความรุนแรง : ปานกลาง

ปลั๊กอิน: ตัวจัดการเมนูขั้นสูง
ช่องโหว่ : การสร้าง/ลบเมนูโดยไม่ได้รับอนุญาต
แพทช์ในเวอร์ชัน : ไม่ทราบวิธีแก้ไข
คะแนน ความรุนแรง : ปานกลาง

69. ตะกร้าสินค้า & ร้านอีคอมเมิร์ซ

ปลั๊กอิน: ตะกร้าสินค้า & ร้านอีคอมเมิร์ซ
ช่องโหว่ : CSRF ไปยัง Stored Cross-Site Scripting
แพตช์ในเวอร์ชัน : 5.1.1
คะแนน ความรุนแรง : สูง

70. PDF Light Viewer

ปลั๊กอิน: PDF Light Viewer
ช่องโหว่ : Authenticated Command Injection
แพตช์ในเวอร์ชัน : 1.4.12
คะแนน ความรุนแรง : ต่ำ

71. ปุ่มสมัคร Podcast

ปลั๊กอิน: ปุ่มสมัคร Podcast
ช่องโหว่ : Contributor+ Stored XSS
แพตช์ในเวอร์ชัน : 1.4.2
คะแนน ความรุนแรง : ปานกลาง

72. บนหน้า SEO + ปุ่มแชท Whatsapp

ปลั๊กอิน: บนหน้า SEO + ปุ่มแชท Whatsapp
ช่องโหว่ : Reflected Cross-Site Scripting
แพตช์ในเวอร์ชัน : 1.0.2
คะแนน ความรุนแรง : ปานกลาง

73. eID ง่าย

ปลั๊กอิน: eID Easy
ช่องโหว่ : Reflected Cross-Site Scripting
แพตช์ในเวอร์ชัน : 4.7
คะแนน ความรุนแรง : ปานกลาง

74. ความปลอดภัยกันกระสุน

ปลั๊กอิน: BulletProof Security
ช่องโหว่ : การเปิดเผยข้อมูลที่ละเอียดอ่อน
แพตช์ในเวอร์ชัน : 5.2
คะแนน ความรุนแรง : ปานกลาง

ช่องโหว่ของธีม WordPress

1. อวาดา

กระทู้: Avada
ช่องโหว่ : Reflected Cross-Site Scripting
แพตช์ในเวอร์ชัน : 7.4.2
คะแนน ความรุนแรง : ปานกลาง

กระทู้: Avada
ช่องโหว่ : Stored Cross-Site Scripting
แพตช์ในเวอร์ชัน : 7.4.2
คะแนน ความรุนแรง :

หมายเหตุเกี่ยวกับการเปิดเผยข้อมูลอย่างมีความรับผิดชอบ

คุณอาจสงสัยว่าเหตุใดช่องโหว่จึงถูกเปิดเผยหากช่องโหว่นั้นทำให้แฮ็กเกอร์สามารถโจมตีได้ เป็นเรื่องปกติมากที่นักวิจัยด้านความปลอดภัยจะค้นหาและรายงานช่องโหว่ไปยังผู้พัฒนาซอฟต์แวร์เป็นการส่วนตัว

ด้วย การเปิดเผยอย่าง มี ความรับผิดชอบ รายงานเบื้องต้นของผู้วิจัยจะจัดทำขึ้นเป็นการส่วนตัวสำหรับนักพัฒนาของบริษัทที่เป็นเจ้าของซอฟต์แวร์ แต่ด้วยข้อตกลงว่ารายละเอียดทั้งหมดจะถูกเผยแพร่เมื่อมีการเผยแพร่แพตช์แล้ว สำหรับช่องโหว่ด้านความปลอดภัยที่สำคัญ อาจมีความล่าช้าเล็กน้อยในการเปิดเผยช่องโหว่เพื่อให้ผู้คนมีเวลามากขึ้นในการแก้ไข

นักวิจัยด้านความปลอดภัยอาจกำหนดเส้นตายให้ผู้พัฒนาซอฟต์แวร์ตอบกลับรายงานหรือจัดเตรียมโปรแกรมแก้ไข หากไม่เป็นไปตามกำหนดเวลา ผู้วิจัยอาจเปิดเผยช่องโหว่ต่อสาธารณะเพื่อกดดันผู้พัฒนาให้ออกโปรแกรมแก้ไข

การเปิดเผยช่องโหว่ในที่สาธารณะและดูเหมือนว่าจะแนะนำช่องโหว่ Zero-Day ซึ่งเป็นช่องโหว่ประเภทหนึ่งที่ไม่มีโปรแกรมแก้ไขและกำลังถูกเอารัดเอาเปรียบในป่า อาจดูเหมือนเป็นการต่อต้าน แต่เป็นการใช้ประโยชน์เพียงอย่างเดียวที่นักวิจัยต้องกดดันนักพัฒนาให้แก้ไขช่องโหว่

หากแฮ็กเกอร์ค้นพบช่องโหว่ พวกเขาสามารถใช้ Exploit อย่างเงียบ ๆ และสร้างความเสียหายให้กับผู้ใช้ปลายทาง (นี่คือคุณ) ในขณะที่ผู้พัฒนาซอฟต์แวร์ยังคงเนื้อหาเกี่ยวกับการไม่แก้ไขช่องโหว่ดังกล่าว Project Zero ของ Google มีแนวทางที่คล้ายกันในการเปิดเผยช่องโหว่ พวกเขาเผยแพร่รายละเอียดทั้งหมดของช่องโหว่หลังจาก 90 วันว่าช่องโหว่นั้นได้รับการแก้ไขหรือไม่

วิธีป้องกันเว็บไซต์ WordPress ของคุณจากปลั๊กอินและธีมที่มีช่องโหว่

ดังที่คุณเห็นจากรายงานนี้ มีการเปิดเผยปลั๊กอิน WordPress และช่องโหว่ของธีมใหม่จำนวนมากในแต่ละสัปดาห์ เราทราบดีว่าการติดตามการเปิดเผยช่องโหว่ที่รายงานทุกครั้งอาจเป็นเรื่องยาก ดังนั้นปลั๊กอิน iThemes Security Pro ทำให้ง่ายต่อการตรวจสอบให้แน่ใจว่าไซต์ของคุณไม่ได้ใช้ธีม ปลั๊กอิน หรือเวอร์ชันหลักของ WordPress ที่มีช่องโหว่ที่ทราบ

1. เปิด iThemes Security Pro Site Scanner

เครื่องสแกนเว็บไซต์ของปลั๊กอิน iThemes Security Pro จะสแกนหาเหตุผลที่ #1 ไซต์ WordPress ถูกแฮ็ก: ปลั๊กอินและธีมที่ล้าสมัยพร้อมช่องโหว่ที่ทราบ Site Scanner จะตรวจสอบไซต์ของคุณเพื่อหาช่องโหว่ที่ทราบ และใช้โปรแกรมแก้ไขโดยอัตโนมัติหากมี

หากต้องการเปิดใช้งานการสแกนไซต์ในการติดตั้งใหม่ ให้ไปที่แท็บตรวจสอบไซต์บนเมนูคุณลักษณะภายในปลั๊กอิน และคลิกปุ่มสลับเพื่อเปิดใช้งานการ สแกนไซต์

หากต้องการเรียกใช้การสแกนไซต์ด้วยตนเอง ให้คลิกปุ่ม สแกนทันที บนการ์ดแดชบอร์ดความปลอดภัยการสแกนไซต์

หาก Site Scan ตรวจพบช่องโหว่ ให้คลิกลิงก์ช่องโหว่เพื่อดูหน้ารายละเอียด

ในหน้าช่องโหว่ของ Site Scan คุณจะเห็นว่ามีการแก้ไขสำหรับช่องโหว่หรือไม่ หากมีโปรแกรมแก้ไข คุณสามารถคลิกปุ่ม อัปเดตปลั๊กอิน เพื่อใช้การแก้ไขในเว็บไซต์ของคุณ

2. เปิดการจัดการเวอร์ชันเพื่ออัปเดตอัตโนมัติหากแก้ไขช่องโหว่

คุณลักษณะการจัดการเวอร์ชันใน iThemes Security Pro ทำงานร่วมกับ Site Scan เพื่อปกป้องไซต์ของคุณเมื่อซอฟต์แวร์ที่ล้าสมัยไม่ได้รับการอัปเดตอย่างรวดเร็วเพียงพอ แม้แต่มาตรการรักษาความปลอดภัยที่เข้มงวดที่สุดก็ยังล้มเหลวหากคุณใช้งานซอฟต์แวร์ที่มีช่องโหว่ในเว็บไซต์ของคุณ การตั้งค่าเหล่านี้ช่วยปกป้องไซต์ของคุณด้วยตัวเลือกในการอัปเดตเป็นเวอร์ชันใหม่โดยอัตโนมัติหากมีช่องโหว่ที่ทราบและมีโปรแกรมแก้ไข

จากหน้าการตั้งค่าใน iThemes Security Pro ให้ไปที่หน้าจอคุณสมบัติ คลิกแท็บตรวจสอบไซต์ จากที่นี่ ใช้สลับเพื่อเปิดใช้งานการจัดการเวอร์ชัน เมื่อใช้อุปกรณ์การตั้งค่า คุณสามารถกำหนดการตั้งค่าต่างๆ ได้มากขึ้น รวมถึงวิธีที่คุณต้องการให้ iThemes Security Pro จัดการกับการอัปเดต WordPress, ปลั๊กอิน, ธีม และการป้องกันเพิ่มเติม

ตรวจสอบให้แน่ใจว่าได้เลือก อัปเดตอัตโนมัติ หากแก้ไขช่องช่องโหว่ เพื่อให้ iThemes Security Pro อัปเดตปลั๊กอินหรือธีมโดยอัตโนมัติ หากแก้ไขช่องโหว่ที่ Site Scanner พบ

3. รับอีเมลแจ้งเตือนเมื่อ iThemes Security Pro พบช่องโหว่ที่รู้จักในเว็บไซต์ของคุณ

เมื่อคุณเปิดใช้งาน Site Scan Scheduling แล้ว ให้ไปที่ การ ตั้งค่า ศูนย์การแจ้งเตือน ของปลั๊กอิน ในหน้าจอนี้ ให้เลื่อนไปที่ส่วน ผลลัพธ์การสแกนไซต์

คลิกช่องเพื่อเปิดใช้อีเมลแจ้งเตือน จากนั้นคลิกปุ่ม บันทึกการตั้งค่า

ในระหว่างการสแกนไซต์ตามกำหนดเวลา คุณจะได้รับอีเมลหาก iThemes Security Pro ตรวจพบช่องโหว่ที่ทราบ อีเมลจะมีลักษณะดังนี้

รับ iThemes Security Pro และพักผ่อนให้ง่ายขึ้นในคืนนี้

iThemes Security Pro ปลั๊กอินความปลอดภัย WordPress ของเรามีมากกว่า 50 วิธีในการรักษาความปลอดภัยและปกป้องเว็บไซต์ของคุณจากช่องโหว่ด้านความปลอดภัยทั่วไปของ WordPress ด้วย WordPress การรับรองความถูกต้องด้วยสองปัจจัย การป้องกันแบบเดรัจฉาน การบังคับใช้รหัสผ่านที่รัดกุม และอื่นๆ คุณสามารถเพิ่มระดับการรักษาความปลอดภัยเพิ่มเติมให้กับเว็บไซต์ของคุณได้

รับ iThemes Security Pro

ไมเคิล มัวร์

ในแต่ละสัปดาห์ Michael จะรวบรวมรายงานช่องโหว่ของ WordPress เพื่อช่วยให้เว็บไซต์ของคุณปลอดภัย ในฐานะผู้จัดการผลิตภัณฑ์ที่ iThemes เขาช่วยเราปรับปรุงรายการผลิตภัณฑ์ iThemes ต่อไป เขาเป็นคนเนิร์ดยักษ์และชอบเรียนรู้เกี่ยวกับเทคโนโลยีทุกอย่าง ทั้งเก่าและใหม่ คุณสามารถหาไมเคิลไปเที่ยวกับภรรยาและลูกสาว อ่านหนังสือหรือฟังเพลงเมื่อไม่ได้ทำงาน