รายงานช่องโหว่ของ WordPress: กันยายน 2021 ตอนที่ 5
เผยแพร่แล้ว: 2021-09-29ปลั๊กอินและธีมที่มีช่องโหว่เป็นสาเหตุอันดับ 1 ที่เว็บไซต์ WordPress ถูกแฮ็ก รายงานช่องโหว่ของ WordPress รายสัปดาห์ที่ขับเคลื่อนโดย WPScan ครอบคลุมถึงปลั๊กอิน ธีม และช่องโหว่หลักของ WordPress และสิ่งที่ควรทำหากคุณเรียกใช้ปลั๊กอินหรือธีมที่มีช่องโหว่บนเว็บไซต์ของคุณ
ช่องโหว่แต่ละจุดจะมีระดับความรุนแรง ต่ำ ปานกลาง สูง หรือ วิกฤต การเปิดเผยและการรายงานช่องโหว่อย่างมีความรับผิดชอบเป็นส่วนสำคัญในการทำให้ชุมชน WordPress ปลอดภัย
ในฐานะหนึ่งในรายงานช่องโหว่ WordPress ที่ใหญ่ที่สุดในปัจจุบัน โปรดแชร์โพสต์นี้กับเพื่อนของคุณเพื่อช่วยเผยแพร่และทำให้ WordPress ปลอดภัยยิ่งขึ้นสำหรับทุกคน
ช่องโหว่หลักของ WordPress
ปัญหาด้านความปลอดภัยหลักของ WordPress หลายข้อได้รับการเปิดเผยและแก้ไข WordPress 5.8.1 เปิดตัวเป็นรุ่นความปลอดภัยและการบำรุงรักษา ตามแนวทางปฏิบัติที่ดีที่สุด อย่าลืมรัน WordPress core เวอร์ชันล่าสุดเสมอ!
ช่องโหว่ของปลั๊กอิน WordPress
ในส่วนนี้ ช่องโหว่ของปลั๊กอิน WordPress ล่าสุดได้รับการเปิดเผยแล้ว รายการปลั๊กอินแต่ละรายการประกอบด้วยประเภทของช่องโหว่ หมายเลขเวอร์ชันหากมีการแพตช์ และระดับความรุนแรง
1. ความคิดเห็น – wpDiscuz
ปลั๊กอิน: ความคิดเห็น – wpDiscuz
ช่องโหว่ : Admin+ Stored Cross-Site Scripting
แพตช์ในเวอร์ชัน : 7.3.2
คะแนน ความรุนแรง : ต่ำ
2. เครื่องสร้างหน้า
ปลั๊กอิน: เครื่องมือสร้าง เพจ
ช่องโหว่ : Reflected Cross-Site Scripting
แพตช์ในเวอร์ชัน : 1.5.9
คะแนน ความรุนแรง : สูง
3. WordPress เป็น Hootsuite
ปลั๊กอิน: WordPress to Hootsuite
ช่องโหว่ : Reflected Cross-Site Scripting
แพตช์ในเวอร์ชัน : 1.3.9
คะแนน ความรุนแรง : สูง
4. WordPress เป็นบัฟเฟอร์
ปลั๊กอิน: WordPress to Buffer
ช่องโหว่ : Reflected Cross-Site Scripting
แพตช์ในเวอร์ชัน : 3.7.5
คะแนน ความรุนแรง : สูง
5. บล็อกตัวแสดง PDF ของ Gutenberg
ปลั๊กอิน: Gutenberg PDF Viewer Block
ช่องโหว่ : Contributor+ Stored Cross-Site Scripting
แพตช์ในเวอร์ชัน : 1.0.1
คะแนน ความรุนแรง : ปานกลาง
6. ส่วนเสริมผลิตภัณฑ์ YITH WooCommerce
ปลั๊กอิน: ส่วน เสริมผลิตภัณฑ์ YITH WooCommerce
ช่องโหว่ : Authenticated Local File Inclusion
แพตช์ในเวอร์ชัน : 2.1.0
คะแนน ความรุนแรง : ปานกลาง
ปลั๊กอิน: ส่วน เสริมผลิตภัณฑ์ YITH WooCommerce
ช่องโหว่ : Reflected Cross-Site Scripting
แพตช์ในเวอร์ชัน : 2.1.0
คะแนน ความรุนแรง : สูง
7. ด้านบน
ปลั๊กอิน: ด้าน บน
ช่องโหว่ : การเปลี่ยนแปลงการตั้งค่าของปลั๊กอินที่ไม่ได้รับอนุญาต
แพตช์ในเวอร์ชัน : 2.3
คะแนน ความรุนแรง : ปานกลาง
7. การปรับปรุงส่วนหัว
ปลั๊กอิน: การ เพิ่มประสิทธิภาพส่วนหัว
ช่องโหว่ : การเปลี่ยนแปลงการตั้งค่าของปลั๊กอินที่ไม่ได้รับอนุญาต
แพตช์ในเวอร์ชัน : 1.5
คะแนน ความรุนแรง : ปานกลาง
8. สร้างธีมลูก
ปลั๊กอิน: สร้างธีมลูก
ช่องโหว่ : การเปลี่ยนแปลงการตั้งค่าของปลั๊กอินที่ไม่ได้รับอนุญาต
แพตช์ในเวอร์ชัน : 1.6
คะแนน ความรุนแรง : ปานกลาง
9. ประเภทเนื้อหาสำคัญ
ปลั๊กอิน: ประเภทเนื้อหาที่จำเป็น
ช่องโหว่ : การเปลี่ยนแปลงการตั้งค่าของปลั๊กอินที่ไม่ได้รับอนุญาต
แพตช์ในเวอร์ชัน : 1.9
คะแนน ความรุนแรง : ปานกลาง
9. จับเครื่องมือเว็บ
ปลั๊กอิน: จับเครื่องมือเว็บ
ช่องโหว่ : การเปลี่ยนแปลงการตั้งค่าของปลั๊กอินที่ไม่ได้รับอนุญาต
แพตช์ในเวอร์ชัน : 2.7
คะแนน ความรุนแรง : ปานกลาง
10. วิดเจ็ตที่จำเป็น
ปลั๊กอิน: Software License Manager
ช่องโหว่ : การเปลี่ยนแปลงการตั้งค่าของปลั๊กอินที่ไม่ได้รับอนุญาต
แพตช์ในเวอร์ชัน : 1.9
คะแนน ความรุนแรง : ปานกลาง
11. จับระหว่างการก่อสร้าง
ปลั๊กอิน: Catch Under Construction
ช่องโหว่ : การเปลี่ยนแปลงการตั้งค่าของปลั๊กอินที่ไม่ได้รับอนุญาต
แพตช์ในเวอร์ชัน : 1.4
คะแนน ความรุนแรง : ปานกลาง
12. นำเข้าการสาธิตการจับธีม
ปลั๊กอิน: Catch Themes Demo นำเข้า
ช่องโหว่ : การเปลี่ยนแปลงการตั้งค่าของปลั๊กอินที่ไม่ได้รับอนุญาต
แพตช์ในเวอร์ชัน : 1.6
คะแนน ความรุนแรง : ปานกลาง
13. จับเมนูเหนียว
ปลั๊กอิน: จับเมนูติดหนึบ
ช่องโหว่ : การเปลี่ยนแปลงการตั้งค่าของปลั๊กอินที่ไม่ได้รับอนุญาต
แพตช์ในเวอร์ชัน : 1.7
คะแนน ความรุนแรง : ปานกลาง
14. จับแถบเลื่อนความคืบหน้า
ปลั๊กอิน: Catch Scroll Progress Bar
ช่องโหว่ : การเปลี่ยนแปลงการตั้งค่าของปลั๊กอินที่ไม่ได้รับอนุญาต
แพตช์ในเวอร์ชัน : 1.6
คะแนน ความรุนแรง : ปานกลาง
15. แกลลอรี่และวิดเจ็ตโซเชียล
ปลั๊กอิน: แกลเลอรีโซเชียลและวิดเจ็ต
ช่องโหว่ : การเปลี่ยนแปลงการตั้งค่าของปลั๊กอินที่ไม่ได้รับอนุญาต
แพตช์ในเวอร์ชัน : 2.3
คะแนน ความรุนแรง : ปานกลาง
16. จับ Infinite Scroll
ปลั๊กอิน: Catch Infinite Scroll
ช่องโหว่ : การเปลี่ยนแปลงการตั้งค่าของปลั๊กอินที่ไม่ได้รับอนุญาต
แพตช์ในเวอร์ชัน : 1.9
คะแนน ความรุนแรง : ปานกลาง
17. จับนำเข้าส่งออก
ปลั๊กอิน: Catch Import Export
ช่องโหว่ : การเปลี่ยนแปลงการตั้งค่าของปลั๊กอินที่ไม่ได้รับอนุญาต
แพตช์ในเวอร์ชัน : 1.9
คะแนน ความรุนแรง : ปานกลาง
18. แกลลอรี่จับ
ปลั๊กอิน: Catch Gallery
ช่องโหว่ : การเปลี่ยนแปลงการตั้งค่าของปลั๊กอินที่ไม่ได้รับอนุญาต
แพตช์ในเวอร์ชัน : 1.7
คะแนน ความรุนแรง : ปานกลาง
19. จับ Duplicate Switcher
ปลั๊กอิน: Catch Duplicate Switcher
ช่องโหว่ : การเปลี่ยนแปลงการตั้งค่าของปลั๊กอินที่ไม่ได้รับอนุญาต
แพตช์ในเวอร์ชัน : 1.6
คะแนน ความรุนแรง : ปานกลาง
20. จับเกล็ดขนมปัง
ปลั๊กอิน: Catch Breadcrumb
ช่องโหว่ : การเปลี่ยนแปลงการตั้งค่าของปลั๊กอินที่ไม่ได้รับอนุญาต
แพตช์ในเวอร์ชัน : 1.7
คะแนน ความรุนแรง : ปานกลาง
21. จับ IDs
ปลั๊กอิน: Catch IDs
ช่องโหว่ : การเปลี่ยนแปลงการตั้งค่าของปลั๊กอินที่ไม่ได้รับอนุญาต
แพตช์ในเวอร์ชัน : 2.4
คะแนน ความรุนแรง : ปานกลาง
22. ติวเตอร์ LMS
ปลั๊กอิน: ติวเตอร์ LMS
ช่องโหว่ : ผู้ดูแลระบบหลายคน + การเขียนสคริปต์ข้ามไซต์ที่เก็บไว้
แพตช์ในเวอร์ชัน : 1.9.9
คะแนน ความรุนแรง : ต่ำ
23. WP นำเข้าส่งออก Lite
ปลั๊กอิน: WP นำเข้าส่งออก Lite
ช่องโหว่ : Subscriber+ Extensions Update
แพตช์ ในเวอร์ชัน : 3.9.5
คะแนน ความรุนแรง : ปานกลาง
ปลั๊กอิน: WP นำเข้าส่งออก Lite
ช่องโหว่ : Subscriber+ Arbitrary Blog Options Update
แพตช์ ในเวอร์ชัน : 3.9.5
คะแนน ความรุนแรง : ปานกลาง
24. อวตารผู้ใช้หนึ่งคน
ปลั๊กอิน: อวตารผู้ใช้หนึ่งคน
ช่องโหว่ : Contributor+ Stored Cross-Site Scripting
แพตช์ในเวอร์ชัน : 2.3.7
คะแนน ความรุนแรง : ปานกลาง
ปลั๊กอิน: อวตารผู้ใช้หนึ่งคน
ช่องโหว่ : Avatar Update ผ่าน CSRF
แพตช์ในเวอร์ชัน : 2.3.7
คะแนน ความรุนแรง : ปานกลาง
25. เลื่อนแบนเนอร์
ปลั๊กอิน: Scroll Baner
ช่องโหว่ : CSRF ถึง RCE
แพทช์ในเวอร์ชัน : ไม่ทราบวิธีแก้ไข
คะแนน ความรุนแรง : วิกฤต
26. ตั๋ว WP
ปลั๊กอิน: ตั๋ว WP
ช่องโหว่ : Admin+ Stored Cross-Site Scripting
แพตช์ ในเวอร์ชัน : 5.10.4
คะแนน ความรุนแรง : ต่ำ
27. GamePress
ปลั๊กอิน: GamePress
ช่องโหว่ : Reflected Cross-Site Scripting
แพทช์ในเวอร์ชัน : ไม่ทราบวิธีแก้ไข
คะแนน ความรุนแรง : สูง
28. รางวัลวีแชท
ปลั๊กอิน: รางวัล Wechat
ช่องโหว่ : CSRF ไปยัง Stored Cross-Site Scripting
แพทช์ในเวอร์ชัน : ไม่ทราบวิธีแก้ไข
คะแนน ความรุนแรง : สูง
29. เข้ากับคนง่าย
ปลั๊กอิน: เข้ากับคนง่าย
ช่องโหว่ : Admin+ Stored Cross-Site Scripting
แพทช์ในเวอร์ชัน : ไม่ทราบวิธีแก้ไข
คะแนน ความรุนแรง : ต่ำ
30. BetterDocs
ปลั๊กอิน: BetterDocs
ช่องโหว่ : Reflected Cross-Site Scripting
แพตช์ในเวอร์ชัน : 1.9.2
คะแนน ความรุนแรง : สูง
31. ส่วนเสริม WooCommerce หลายตัว – ปลั๊กอินหลายตัว
ปลั๊กอิน: ตัวกรองผลิตภัณฑ์สำหรับ WooCommerce
ช่องโหว่ : Low Priv Arbitrary Blog Options Update/Access/Deletion & Plugin's Settings Update/Export/Import
แพตช์ ในเวอร์ชัน : 8.2.0
คะแนน ความรุนแรง : สูง
ปลั๊กอิน: ปรับปรุง-ตัวแปร-ผลิตภัณฑ์-แอตทริบิวต์
ช่องโหว่ : Low Priv Arbitrary Blog Options Update/Access/Deletion & Plugin's Settings Update/Export/Import
แพตช์ในเวอร์ชัน : 5.3.0
คะแนน ความรุนแรง : สูง
ปลั๊กอิน: ปรับปรุง-ขาย-ป้าย
ช่องโหว่ : Low Priv Arbitrary Blog Options Update/Access/Deletion & Plugin's Settings Update/Export/Import
แพตช์ในเวอร์ชัน : 4.4.0
คะแนน ความรุนแรง : สูง
ปลั๊กอิน: share-print-pdf-woocommerce
ช่องโหว่ : Low Priv Arbitrary Blog Options Update/Access/Deletion & Plugin's Settings Update/Export/Import
แพตช์ในเวอร์ชัน : 2.8.0
คะแนน ความรุนแรง : สูง
ปลั๊กอิน: ผลิตภัณฑ์ลูป
ช่องโหว่ : Low Priv Arbitrary Blog Options Update/Access/Deletion & Plugin's Settings Update/Export/Import
แพตช์ในเวอร์ชัน : 1.7.0
คะแนน ความรุนแรง : สูง
ปลั๊กอิน: XforWooCommerce
ช่องโหว่ : Low Priv Arbitrary Blog Options Update/Access/Deletion & Plugin's Settings Update/Export/Import
แพตช์ในเวอร์ชัน : 1.7.0
คะแนน ความรุนแรง : สูง
ปลั๊กอิน: package-quantity-xforwc
ช่องโหว่ : Low Priv Arbitrary Blog Options Update/Access/Deletion & Plugin's Settings Update/Export/Import
แพตช์ในเวอร์ชัน : 1.2.0
คะแนน ความรุนแรง : สูง
ปลั๊กอิน: price-commander-xforwc
ช่องโหว่ : Low Priv Arbitrary Blog Options Update/Access/Deletion & Plugin's Settings Update/Export/Import
แพตช์ในเวอร์ชัน : 1.3.0
คะแนน ความรุนแรง : สูง
ปลั๊กอิน: spam-control-xforwc
ช่องโหว่ : Low Priv Arbitrary Blog Options Update/Access/Deletion & Plugin's Settings Update/Export/Import
แพตช์ในเวอร์ชัน : 1.5.0
คะแนน ความรุนแรง : สูง
ปลั๊กอิน: add-tabs-xforwc
ช่องโหว่ : Low Priv Arbitrary Blog Options Update/Access/Deletion & Plugin's Settings Update/Export/Import
แพตช์ในเวอร์ชัน : 1.5.0
คะแนน ความรุนแรง : สูง
32. ตัวเลือกคุกกี้ WP
ปลั๊กอิน: ตัว เลือกคุกกี้ WP
ช่องโหว่ : CSRF ไปยัง Stored Cross-Site Scripting
แพทช์ในเวอร์ชัน : ไม่ทราบวิธีแก้ไข
คะแนน ความรุนแรง : สูง
33. ฟีด Twitter ง่าย ๆ
ปลั๊กอิน: ฟีด Twitter อย่างง่าย
ช่องโหว่ : Contributor+ Stored Cross-Site Scripting
แพตช์ในเวอร์ชัน : 1.2
คะแนน ความรุนแรง : ปานกลาง
34. เครื่องเล่นเสียง Html5
ปลั๊กอิน: เครื่องเล่นเสียง Html5
ช่องโหว่ : Contributor+ Stored Cross-Site Scripting
แพตช์ในเวอร์ชัน : 2.1.3
คะแนน ความรุนแรง : ปานกลาง
35. แกลเลอรีวิดีโอโปโล
ปลั๊กอิน: แกลเลอรีวิดีโอโปโล
ช่องโหว่ : Contributor+ Stored Cross-Site Scripting
แก้ไขแล้วในเวอร์ชัน : ไม่ทราบวิธีแก้ไข – ปิดปลั๊กอินแล้ว
คะแนน ความรุนแรง : ปานกลาง
36. StreamCast
ปลั๊กอิน: StreamCast
ช่องโหว่ : Contributor+ Stored Cross-Site Scripting
แพตช์ในเวอร์ชัน : 2.1.1
คะแนน ความรุนแรง : ปานกลาง
37. PDF Light Viewer
ปลั๊กอิน: PDF Light Viewer
ช่องโหว่ : Authenticated Command Injection
แพตช์ในเวอร์ชัน : 1.4.12
คะแนน ความรุนแรง : ต่ำ
38. รายงานลูก MainWP
ปลั๊กอิน: MainWP Child Reports
ช่องโหว่ : Admin+ SQL Injection
แพตช์ในเวอร์ชัน : 2.0.8
คะแนน ความรุนแรง : ปานกลาง
39. LearnPress
ปลั๊กอิน: LearnPress
ช่องโหว่ : การเปลี่ยนแปลงการตั้งค่าของปลั๊กอินที่ไม่ได้รับอนุญาต
แพตช์ในเวอร์ชัน : 4.1.3.1
คะแนน ความรุนแรง : ต่ำ
ปลั๊กอิน: LearnPress
ช่องโหว่ : ผู้ดูแลระบบหลายคน + การเขียนสคริปต์ข้ามไซต์ที่เก็บไว้
แพตช์ในเวอร์ชัน : 4.1.3.1
คะแนน ความรุนแรง : ต่ำ
40. OptinMonster
ปลั๊กอิน: OptinMonster
ช่องโหว่ : Reflected Cross-Site Scripting (XSS)
แพตช์ในเวอร์ชัน : 2.6.1
คะแนน ความรุนแรง : ปานกลาง
41. ตัวอัปโหลดส่วนหน้า
ปลั๊กอิน: Frontend Uploader
ช่องโหว่ : Unauthenticated Stored Cross-Site Scripting
แก้ไขแล้วในเวอร์ชัน : ไม่ทราบวิธีแก้ไข – ปิดปลั๊กอินแล้ว
คะแนน ความรุนแรง : ปานกลาง
42. อนุญาต REL= และ HTML ในผู้เขียน Bios
ปลั๊กอิน: อนุญาต REL= และ HTML ใน Author Bios – ปลั๊กอิน WordPress | WordPress.org
ช่องโหว่ : Author+ Stored Cross-Site Scripting
แก้ไขแล้วในเวอร์ชัน : ไม่ทราบวิธีแก้ไข – ปิดปลั๊กอินแล้ว
คะแนน ความรุนแรง : ปานกลาง
43. ประวัติผู้เขียน WP HTML
ปลั๊กอิน: ประวัติผู้เขียน WP HTML
ช่องโหว่ : Author+ Stored Cross-Site Scripting
แก้ไขแล้วในเวอร์ชัน : ไม่ทราบวิธีแก้ไข – ปิดปลั๊กอินแล้ว
คะแนน ความรุนแรง : ปานกลาง
44. jQuery ตอบกลับความคิดเห็น
ปลั๊กอิน: jQuery ตอบกลับความคิดเห็น
ช่องโหว่ : CSRF ไปยัง Stored Cross-Site Scripting
แก้ไขแล้วในเวอร์ชัน : ไม่ทราบวิธีแก้ไข – ปิดปลั๊กอินแล้ว
คะแนน ความรุนแรง : สูง
45. คลังวิดีโอ – Vimeo และ YouTube Gallery
ปลั๊กอิน: แกลเลอรีวิดีโอ – แกลเลอรี Vimeo และ YouTube
ช่องโหว่ : Admin+ Stored Cross-Site Scripting
แก้ไขแล้วในเวอร์ชัน : ไม่ทราบวิธีแก้ไข – ปิดปลั๊กอินแล้ว
คะแนน ความรุนแรง : ต่ำ
46. ขอใบเสนอราคา
ปลั๊กอิน: ขอใบเสนอราคา
ช่องโหว่ : Admin+ Stored Cross-Site Scripting
แพตช์ในเวอร์ชัน : 2.3.5
คะแนน ความรุนแรง : ต่ำ
47. เคล็ดลับประจำวันเซนต์
ปลั๊กอิน: St Daily Tip
ช่องโหว่ : CSRF ไปยัง Stored Cross-Site Scripting
แก้ไขแล้วในเวอร์ชัน : ไม่ทราบวิธีแก้ไข – ปิดปลั๊กอินแล้ว
คะแนน ความรุนแรง : สูง
48. ค้นหาล่วงหน้า
ปลั๊กอิน: การ ค้นหาขั้นสูง
ช่องโหว่ : Reflected Cross-Site Scripting
แพตช์ในเวอร์ชัน : 1.1.3
คะแนน ความรุนแรง : ปานกลาง
49. WP เมก้า เมนู
ปลั๊กอิน: WP Mega Menu
ช่องโหว่ : Subscriber+ Arbitrary Post Access
แพตช์ในเวอร์ชัน : 1.4.1
คะแนน ความรุนแรง : ปานกลาง
ปลั๊กอิน: WP Mega Menu
ช่องโหว่ : Unauthenticated Arbitrary Post Access
แพตช์ในเวอร์ชัน : 1.4.0
คะแนน ความรุนแรง : สูง
50. ปลั๊กอินเชอร์รี่
ปลั๊กอิน: ปลั๊กอินเชอร์รี่
ช่องโหว่ : Unauthenticated Arbitrary File Upload and Download
แพตช์ในเวอร์ชัน : 1.2.7
คะแนน ความรุนแรง : วิกฤต
51. ผู้จัดการงาน WP
ปลั๊กอิน: WP Job Manager – ปลั๊กอิน WordPress | WordPress.org
ช่องโหว่ : Phar Deserialization
แพตช์ ในเวอร์ชัน : 1.31.3
คะแนน ความรุนแรง :
ปลั๊กอิน: WP Job Manager – ปลั๊กอิน WordPress | WordPress.org
ช่องโหว่ : Unauthenticated Object Injection
แพตช์ ในเวอร์ชัน : 1.29.3
คะแนน ความรุนแรง : ปานกลาง
ปลั๊กอิน: WP Job Manager – ปลั๊กอิน WordPress | WordPress.org
ช่องโหว่ : Unauthenticated Arbitrary File Upload
แพตช์ ในเวอร์ชัน : 1.26.2
คะแนน ความรุนแรง : วิกฤต
ปลั๊กอิน: WP Job Manager – ปลั๊กอิน WordPress | WordPress.org
ช่องโหว่ : Reflected Cross-Site Scripting (XSS)
แพตช์ ในเวอร์ชัน : 1.23.8
คะแนน ความรุนแรง : สูง
52. WP มือถือเครื่องตรวจจับ
ปลั๊กอิน: WP Mobile Detector
ช่องโหว่ : Unauthenticated Arbitrary File Upload
แพตช์ในเวอร์ชัน : 3.6
คะแนน ความรุนแรง : วิกฤต
53. เทเลฟิเคชั่น
ปลั๊กอิน: Telefication
ช่องโหว่ : Open Relay & Server-Side Request Forgery
แก้ไขแล้วในเวอร์ชัน : ไม่ทราบวิธีแก้ไข – ปิดปลั๊กอินแล้ว
คะแนน ความรุนแรง : ปานกลาง
54. สถานะเซิร์ฟเวอร์เกม
ปลั๊กอิน: สถานะเซิร์ฟเวอร์เกม
ช่องโหว่ : Contributor+ SQL Injection
แก้ไขแล้วในเวอร์ชัน : ไม่ทราบวิธีแก้ไข – ปิดปลั๊กอินแล้ว
คะแนน ความรุนแรง : สูง
ปลั๊กอิน: สถานะเซิร์ฟเวอร์เกม
ช่องโหว่ : Admin+ SQL Injection
แก้ไขแล้วในเวอร์ชัน : ไม่ทราบวิธีแก้ไข – ปิดปลั๊กอินแล้ว
คะแนน ความรุนแรง : ปานกลาง
ปลั๊กอิน: สถานะเซิร์ฟเวอร์เกม
ช่องโหว่ : Admin+ Stored Cross-Site Scripting
แก้ไขแล้วในเวอร์ชัน : ไม่ทราบวิธีแก้ไข – ปิดปลั๊กอินแล้ว
คะแนน ความรุนแรง : ต่ำ
55. ตัวเลื่อน WordPress ที่ตอบสนอง
ปลั๊กอิน: ตัว เลื่อน WordPress ที่ตอบสนอง
ช่องโหว่ : Subscriber+ Stored Cross-Site Scripting
แก้ไขแล้วในเวอร์ชัน : ไม่ทราบวิธีแก้ไข – ปิดปลั๊กอินแล้ว
คะแนน ความรุนแรง : วิกฤต
ปลั๊กอิน: ตัว เลื่อน WordPress ที่ตอบสนอง
ช่องโหว่ : Reflected Cross-Site Scripting
แก้ไขแล้วในเวอร์ชัน : ไม่ทราบวิธีแก้ไข – ปิดปลั๊กอินแล้ว
คะแนน ความรุนแรง : วิกฤต
56. Fetch Tweets
ปลั๊กอิน: Fetch Tweets
ช่องโหว่ : Reflected Cross-Site Scripting
แก้ไขแล้วในเวอร์ชัน : ไม่ทราบวิธีแก้ไข – ปิดปลั๊กอินแล้ว
คะแนน ความรุนแรง : สูง
57. WooCommerce
ปลั๊กอิน: WooCommerce
ช่องโหว่ : Analytics รายงานการรั่วไหล
แพตช์ในเวอร์ชัน : 5.7.0
คะแนน ความรุนแรง : ปานกลาง
58. ผู้ดูแลระบบ WooCommerce
ปลั๊กอิน: ผู้ ดูแลระบบ WooCommerce
ช่องโหว่ : Analytics รายงานการรั่วไหล
แพตช์ในเวอร์ชัน : 2.6.0
คะแนน ความรุนแรง : ปานกลาง
59. ผู้เล่น YT
ปลั๊กอิน: YT Player
ช่องโหว่ : Contributor+ Stored Cross-Site Scripting
แพตช์ในเวอร์ชัน : 1.4
คะแนน ความรุนแรง : ปานกลาง
60. คุกกี้บาร์
ปลั๊กอิน: คุกกี้บาร์
ช่องโหว่ : Admin+ Stored Cross-Site Scripting
แก้ไขแล้วในเวอร์ชัน : ไม่ทราบวิธีแก้ไข – ปิดปลั๊กอินแล้ว
คะแนน ความรุนแรง : ต่ำ
61. ตัวจัดการผู้ใช้ WP
ปลั๊กอิน: ตัวจัดการผู้ใช้ WP
ช่องโหว่ : รหัสผ่านผู้ใช้โดยพลการ รีเซ็ตเป็นบัญชีประนีประนอม
แพตช์ในเวอร์ชัน : 2.6.3
คะแนน ความรุนแรง : สูง
62. ดาวน์โหลดสื่ออย่างง่าย
ปลั๊กอิน: ดาวน์โหลดสื่ออย่างง่าย
ช่องโหว่ : Contributor+ Stored Cross-Site Scripting
แพตช์ในเวอร์ชัน : 1.1.7
คะแนน ความรุนแรง : ปานกลาง
63. แบบฟอร์มนินจา
ปลั๊กอิน: แบบฟอร์มนินจา
ช่องโหว่ : REST-API ที่ไม่มีการป้องกันต่อการเปิดเผยข้อมูลที่ละเอียดอ่อน
แพตช์ในเวอร์ชัน : 3.5.8
คะแนน ความรุนแรง : ปานกลาง
ปลั๊กอิน: แบบฟอร์มนินจา
ช่องโหว่ : REST-API ที่ไม่มีการป้องกันสำหรับการฉีดอีเมล
แพตช์ในเวอร์ชัน : 3.5.8
คะแนน ความรุนแรง : ปานกลาง
ปลั๊กอิน: แบบฟอร์มนินจา
ช่องโหว่ : Admin+ Stored Cross-Site Scripting
แพตช์ ในเวอร์ชัน : 3.5.8.2
คะแนน ความรุนแรง : ต่ำ
64. 3DPrint Lite
ปลั๊กอิน: 3DPrint Lite
ช่องโหว่ : Unauthenticated Arbitrary File Upload
แก้ไขแล้วในเวอร์ชัน : ไม่ทราบวิธีแก้ไข – ปิดปลั๊กอินแล้ว
คะแนน ความรุนแรง : วิกฤต
65. ประเทศที่ถูกบล็อก iQ
ปลั๊กอิน: iQ Block Country
ช่องโหว่ : Admin+ Stored Cross-Site Scripting
แพตช์ในเวอร์ชัน : 1.2.12
คะแนน ความรุนแรง : ต่ำ
66. WordPress โพสต์ยอดนิยม
ปลั๊กอิน: WordPress โพสต์ยอดนิยม
ช่องโหว่ : Admin+ Stored Cross-Site Scripting
แพตช์ในเวอร์ชัน : 5.3.4
คะแนน ความรุนแรง : ต่ำ
67. แดชบอร์ดที่กำหนดเอง & หน้าเข้าสู่ระบบ
ปลั๊กอิน: แดชบอร์ดที่กำหนดเอง & หน้าเข้าสู่ระบบ
ช่องโหว่ : Admin+ Stored Cross-Site Scripting
แพตช์ ในเวอร์ชัน : 6.9.2
คะแนน ความรุนแรง : ต่ำ
68. ห้องสมุดบั๊ก
ปลั๊กอิน: Bug Library
ช่องโหว่ : Reflected Cross-Site Scripting
แพตช์ในเวอร์ชัน : 2.0.4
คะแนน ความรุนแรง : ปานกลาง
หมายเหตุเกี่ยวกับการเปิดเผยข้อมูลอย่างมีความรับผิดชอบ
คุณอาจสงสัยว่าเหตุใดช่องโหว่จึงถูกเปิดเผยหากช่องโหว่นั้นทำให้แฮ็กเกอร์สามารถโจมตีได้ เป็นเรื่องปกติมากที่นักวิจัยด้านความปลอดภัยจะค้นหาและรายงานช่องโหว่ไปยังผู้พัฒนาซอฟต์แวร์เป็นการส่วนตัว
ด้วย การเปิดเผยอย่าง มี ความรับผิดชอบ รายงานเบื้องต้นของผู้วิจัยจะจัดทำขึ้นเป็นการส่วนตัวสำหรับนักพัฒนาของบริษัทที่เป็นเจ้าของซอฟต์แวร์ แต่ด้วยข้อตกลงว่ารายละเอียดทั้งหมดจะถูกเผยแพร่เมื่อมีการเผยแพร่แพตช์แล้ว สำหรับช่องโหว่ด้านความปลอดภัยที่สำคัญ อาจมีความล่าช้าเล็กน้อยในการเปิดเผยช่องโหว่เพื่อให้ผู้คนมีเวลามากขึ้นในการแก้ไข
นักวิจัยด้านความปลอดภัยอาจกำหนดเส้นตายให้ผู้พัฒนาซอฟต์แวร์ตอบกลับรายงานหรือจัดเตรียมโปรแกรมแก้ไข หากไม่เป็นไปตามกำหนดเวลา ผู้วิจัยอาจเปิดเผยช่องโหว่ต่อสาธารณะเพื่อกดดันผู้พัฒนาให้ออกโปรแกรมแก้ไข
การเปิดเผยช่องโหว่ในที่สาธารณะและดูเหมือนว่าจะแนะนำช่องโหว่ Zero-Day ซึ่งเป็นช่องโหว่ประเภทหนึ่งที่ไม่มีโปรแกรมแก้ไขและกำลังถูกเอารัดเอาเปรียบในป่า อาจดูเหมือนเป็นการต่อต้าน แต่เป็นการใช้ประโยชน์เพียงอย่างเดียวที่นักวิจัยต้องกดดันนักพัฒนาให้แก้ไขช่องโหว่
หากแฮ็กเกอร์ค้นพบช่องโหว่ พวกเขาสามารถใช้ Exploit อย่างเงียบ ๆ และสร้างความเสียหายให้กับผู้ใช้ปลายทาง (นี่คือคุณ) ในขณะที่ผู้พัฒนาซอฟต์แวร์ยังคงเนื้อหาเกี่ยวกับการไม่แก้ไขช่องโหว่ดังกล่าว Project Zero ของ Google มีแนวทางที่คล้ายกันในการเปิดเผยช่องโหว่ พวกเขาเผยแพร่รายละเอียดทั้งหมดของช่องโหว่หลังจาก 90 วันว่าช่องโหว่นั้นได้รับการแก้ไขหรือไม่
วิธีป้องกันเว็บไซต์ WordPress ของคุณจากปลั๊กอินและธีมที่มีช่องโหว่
ดังที่คุณเห็นจากรายงานนี้ มีการเปิดเผยปลั๊กอิน WordPress และช่องโหว่ของธีมใหม่จำนวนมากในแต่ละสัปดาห์ เราทราบดีว่าการติดตามการเปิดเผยช่องโหว่ที่รายงานทุกครั้งอาจเป็นเรื่องยาก ดังนั้นปลั๊กอิน iThemes Security Pro ทำให้ง่ายต่อการตรวจสอบให้แน่ใจว่าไซต์ของคุณไม่ได้ใช้ธีม ปลั๊กอิน หรือเวอร์ชันหลักของ WordPress ที่มีช่องโหว่ที่ทราบ
1. เปิด iThemes Security Pro Site Scanner
เครื่องสแกนเว็บไซต์ของปลั๊กอิน iThemes Security Pro จะสแกนหาเหตุผลที่ #1 ไซต์ WordPress ถูกแฮ็ก: ปลั๊กอินและธีมที่ล้าสมัยพร้อมช่องโหว่ที่ทราบ Site Scanner จะตรวจสอบไซต์ของคุณเพื่อหาช่องโหว่ที่ทราบ และใช้โปรแกรมแก้ไขโดยอัตโนมัติหากมี
หากต้องการเปิดใช้งานการสแกนไซต์ในการติดตั้งใหม่ ให้ไปที่แท็บตรวจสอบไซต์บนเมนูคุณลักษณะภายในปลั๊กอิน และคลิกปุ่มสลับเพื่อเปิดใช้งานการ สแกนไซต์
หากต้องการเรียกใช้การสแกนไซต์ด้วยตนเอง ให้คลิกปุ่ม สแกนทันที บนการ์ดแดชบอร์ดความปลอดภัยการสแกนไซต์
หาก Site Scan ตรวจพบช่องโหว่ ให้คลิกลิงก์ช่องโหว่เพื่อดูหน้ารายละเอียด
ในหน้าช่องโหว่ของ Site Scan คุณจะเห็นว่ามีการแก้ไขสำหรับช่องโหว่หรือไม่ หากมีโปรแกรมแก้ไข คุณสามารถคลิกปุ่ม อัปเดตปลั๊กอิน เพื่อใช้การแก้ไขในเว็บไซต์ของคุณ
2. เปิดการจัดการเวอร์ชันเพื่ออัปเดตอัตโนมัติหากแก้ไขช่องโหว่
คุณลักษณะการจัดการเวอร์ชันใน iThemes Security Pro ทำงานร่วมกับ Site Scan เพื่อปกป้องไซต์ของคุณเมื่อซอฟต์แวร์ที่ล้าสมัยไม่ได้รับการอัปเดตอย่างรวดเร็วเพียงพอ แม้แต่มาตรการรักษาความปลอดภัยที่เข้มงวดที่สุดก็ยังล้มเหลวหากคุณใช้งานซอฟต์แวร์ที่มีช่องโหว่ในเว็บไซต์ของคุณ การตั้งค่าเหล่านี้ช่วยปกป้องไซต์ของคุณด้วยตัวเลือกในการอัปเดตเป็นเวอร์ชันใหม่โดยอัตโนมัติหากมีช่องโหว่ที่ทราบและมีโปรแกรมแก้ไข
จากหน้าการตั้งค่าใน iThemes Security Pro ให้ไปที่หน้าจอคุณสมบัติ คลิกแท็บตรวจสอบไซต์ จากที่นี่ ใช้สลับเพื่อเปิดใช้งานการจัดการเวอร์ชัน เมื่อใช้อุปกรณ์การตั้งค่า คุณสามารถกำหนดการตั้งค่าต่างๆ ได้มากขึ้น รวมถึงวิธีที่คุณต้องการให้ iThemes Security Pro จัดการกับการอัปเดต WordPress, ปลั๊กอิน, ธีม และการป้องกันเพิ่มเติม
ตรวจสอบให้แน่ใจว่าได้เลือก อัปเดตอัตโนมัติ หากแก้ไขช่องช่องโหว่ เพื่อให้ iThemes Security Pro อัปเดตปลั๊กอินหรือธีมโดยอัตโนมัติ หากแก้ไขช่องโหว่ที่ Site Scanner พบ
3. รับอีเมลแจ้งเตือนเมื่อ iThemes Security Pro พบช่องโหว่ที่รู้จักในเว็บไซต์ของคุณ
เมื่อคุณเปิดใช้งาน Site Scan Scheduling แล้ว ให้ไปที่ การ ตั้งค่า ศูนย์การแจ้งเตือน ของปลั๊กอิน ในหน้าจอนี้ ให้เลื่อนไปที่ส่วน ผลลัพธ์การสแกนไซต์
คลิกช่องเพื่อเปิดใช้อีเมลแจ้งเตือน จากนั้นคลิกปุ่ม บันทึกการตั้งค่า
ในระหว่างการสแกนไซต์ตามกำหนดเวลา คุณจะได้รับอีเมลหาก iThemes Security Pro ตรวจพบช่องโหว่ที่ทราบ อีเมลจะมีลักษณะดังนี้
รับ iThemes Security Pro และพักผ่อนให้ง่ายขึ้นในคืนนี้
iThemes Security Pro ปลั๊กอินความปลอดภัย WordPress ของเรามีมากกว่า 50 วิธีในการรักษาความปลอดภัยและปกป้องเว็บไซต์ของคุณจากช่องโหว่ด้านความปลอดภัยทั่วไปของ WordPress ด้วย WordPress การรับรองความถูกต้องด้วยสองปัจจัย การป้องกันแบบเดรัจฉาน การบังคับใช้รหัสผ่านที่รัดกุม และอื่นๆ คุณสามารถเพิ่มระดับการรักษาความปลอดภัยเพิ่มเติมให้กับเว็บไซต์ของคุณได้
รับ iThemes Security Pro
ในแต่ละสัปดาห์ Michael จะรวบรวมรายงานช่องโหว่ของ WordPress เพื่อช่วยให้เว็บไซต์ของคุณปลอดภัย ในฐานะผู้จัดการผลิตภัณฑ์ที่ iThemes เขาช่วยเราปรับปรุงรายการผลิตภัณฑ์ iThemes ต่อไป เขาเป็นคนเนิร์ดยักษ์และชอบเรียนรู้เกี่ยวกับเทคโนโลยีทุกอย่าง ทั้งเก่าและใหม่ คุณสามารถหาไมเคิลไปเที่ยวกับภรรยาและลูกสาว อ่านหนังสือหรือฟังเพลงเมื่อไม่ได้ทำงาน
