สรุปช่องโหว่ของ WordPress: เมษายน 2020 ตอนที่ 2

เผยแพร่แล้ว: 2020-08-18

ช่องโหว่ใหม่ของปลั๊กอิน WordPress และธีมได้รับการเปิดเผยในช่วงครึ่งหลังของเดือนเมษายน ดังนั้น เราจึงต้องการแจ้งให้คุณทราบ ในบทความนี้ เราจะพูดถึงปลั๊กอิน WordPress ธีมและช่องโหว่หลัก และสิ่งที่ควรทำหากคุณใช้งานปลั๊กอินหรือธีมที่มีช่องโหว่บนเว็บไซต์ของคุณ

สรุปช่องโหว่ของ WordPress แบ่งออกเป็นสี่ประเภทที่แตกต่างกัน:

  1. เวิร์ดเพรสคอร์
  2. ปลั๊กอิน WordPress
  3. ธีมเวิร์ดเพรส

ช่องโหว่แต่ละจุดจะมีระดับการคุกคาม ต่ำ ปานกลาง สูง หรือ วิกฤต

ช่องโหว่หลักของ WordPress

WordPress เวอร์ชันต่ำกว่า 5.4.1 มีช่องโหว่หลายจุด

  1. โทเค็นการรีเซ็ตรหัสผ่านไม่ถูกต้อง
  2. ผู้ใช้ที่ไม่ผ่านการตรวจสอบสิทธิ์สามารถดูโพสต์ส่วนตัวได้
  3. ช่องโหว่การเขียนสคริปต์ข้ามไซต์ในเครื่องมือปรับแต่ง
  4. ช่องโหว่การเขียนสคริปต์ข้ามไซต์ในบล็อกการค้นหา
  5. ช่องโหว่การเขียนสคริปต์ข้ามไซต์ใน wp-object-cache
  6. ช่องโหว่การเขียนสคริปต์ข้ามไซต์ในการอัปโหลดไฟล์
  7. ช่องโหว่การเขียนสคริปต์ข้ามไซต์ที่เก็บไว้ในเครื่องมือปรับแต่ง
ช่องโหว่ได้รับการแก้ไขแล้ว และคุณควรอัปเดตเป็นเวอร์ชัน 5.4.1

ช่องโหว่ของปลั๊กอิน WordPress

มีการค้นพบช่องโหว่ปลั๊กอิน WordPress ใหม่หลายรายการในเดือนนี้ อย่าลืมปฏิบัติตามคำแนะนำด้านล่างเพื่ออัปเดตปลั๊กอินหรือถอนการติดตั้งอย่างสมบูรณ์

1. หีบเพลง ขนาดกลาง

หีบเพลงเวอร์ชันที่ต่ำกว่า 2.2.9 มีช่องโหว่ AJAX Action ที่ไม่มีการป้องกันเพื่อจัดเก็บและสะท้อนกลับ XSS

ช่องโหว่ได้รับการแก้ไขแล้ว และคุณควรอัปเดตเป็นเวอร์ชัน 2.2.9

2. ตัวนำเข้า/ส่งออกการตั้งค่าวิดเจ็ต สูง

ผู้นำเข้า/ส่งออกการตั้งค่าวิดเจ็ตทุกเวอร์ชันมีช่องโหว่ XSS ที่จัดเก็บที่รับรองความถูกต้องแล้ว

ลบปลั๊กอิน มันถูกปิดบน WordPress.org อยู่ระหว่างการพิจารณา

3. Media Library Assistant Critical

Media Library Assistant เวอร์ชันที่ต่ำกว่า 2.82 มีช่องโหว่การเรียกใช้โค้ดจากระยะไกลที่รับรองความถูกต้อง

ช่องโหว่ได้รับการแก้ไขแล้ว และคุณควรอัปเดตเป็นเวอร์ชัน 2.82

4. GTranslate สื่อ

GTranslate เวอร์ชันที่ต่ำกว่า 2.8.52 มีช่องโหว่ Reflected Cross Site Scripting

ช่องโหว่ได้รับการแก้ไขแล้ว และคุณควรอัปเดตเป็นเวอร์ชัน 2.8.52

5. จับเบรดครัมบ์ ขนาดกลาง

Catch Breadcrumb ทุกเวอร์ชันมีช่องโหว่ XSS ที่สะท้อนโดยไม่ได้ตรวจสอบสิทธิ์

ลบปลั๊กอิน มันถูกปิดบน WordPress.org อยู่ระหว่างการพิจารณา

6. WP GDPR Core สูง

WP GDPR Core ทุกเวอร์ชันมีช่องโหว่ที่ไม่ผ่านการตรวจสอบสิทธิ์หลายจุด

ลบปลั๊กอิน มันถูกปิดบน WordPress.org อยู่ระหว่างการพิจารณา

7. MapPress Maps สำหรับ WordPress Critical

MapPress Maps สำหรับ WordPress เวอร์ชันต่ำกว่า 2.53.9 มีการดำเนินการโค้ดจากระยะไกลและการสร้าง/การลบแผนที่ที่ตรวจสอบความถูกต้องซึ่งนำไปสู่ช่องโหว่ของการเขียนสคริปต์ข้ามไซต์ที่เก็บไว้

ช่องโหว่ได้รับการแก้ไขแล้ว และคุณควรอัปเดตเป็นเวอร์ชัน 2.2.9

8. โพล YOP ต่ำ

YOP Poll เวอร์ชันที่ต่ำกว่า 6.1.5 มีช่องโหว่ XSS ที่จัดเก็บโดยพิสูจน์ตัวตนแล้ว

ช่องโหว่ได้รับการแก้ไขแล้ว และคุณควรอัปเดตเป็นเวอร์ชัน 6.1.5

9. หน้าซ้ำและโพสต์ สูง

เวอร์ชันของเพจและโพสต์ที่ซ้ำกันที่ต่ำกว่า 2.5.7 มีการแทรก SQL เนื่องจากช่องโหว่ของข้อมูลโค้ดซ้ำ

ช่องโหว่ได้รับการแก้ไขแล้ว และคุณควรอัปเดตเป็นเวอร์ชัน 2.5.7

10. WP หน้าโพสต์โคลน สูง

ทุกเวอร์ชันของ WP Post Page Clone มี SQL Injections เนื่องจากช่องโหว่ Duplicated Snippets

ลบปลั๊กอิน มันถูกปิดบน WordPress.org อยู่ระหว่างการพิจารณา

11. รายการไฟล์อย่างง่ายที่ สำคัญ

Simple File List เวอร์ชันที่ต่ำกว่า 4.2.3 มีช่องโหว่ในการเรียกใช้โค้ดจากระยะไกล

ช่องโหว่ได้รับการแก้ไขแล้ว และคุณควรอัปเดตเป็นเวอร์ชัน 4.2.3

12. ค้นหาแบบเรียลไทม์และแทนที่ สูง

เวอร์ชันการค้นหาและแทนที่ตามเวลาจริงที่ต่ำกว่า 4.0.2 มีช่องโหว่การร้องขอข้ามไซต์เพื่อจัดเก็บสคริปต์ข้ามไซต์

ช่องโหว่ได้รับการแก้ไขแล้ว และคุณควรอัปเดตเป็นเวอร์ชัน 4.0.2

ธีมเวิร์ดเพรส

1. OneTone High

OneTone ทุกเวอร์ชันมีช่องโหว่ Cross-Site Scripting ที่จัดเก็บไว้โดยไม่ได้รับอนุญาต

นำธีมออก มันถูกปิดบน WordPress.org อยู่ระหว่างการพิจารณา

วิธีการเชิงรุกเกี่ยวกับธีม WordPress & ช่องโหว่ของปลั๊กอิน

การใช้ซอฟต์แวร์ที่ล้าสมัยเป็นสาเหตุอันดับหนึ่งที่ทำให้ไซต์ WordPress ถูกแฮ็ก เป็นสิ่งสำคัญสำหรับความปลอดภัยของไซต์ WordPress ที่คุณมีรูทีนการอัปเดต คุณควรลงชื่อเข้าใช้ไซต์ของคุณอย่างน้อยสัปดาห์ละครั้งเพื่อทำการอัปเดต

การอัปเดตอัตโนมัติสามารถช่วยได้

การอัปเดตอัตโนมัติเป็นตัวเลือกที่ยอดเยี่ยมสำหรับเว็บไซต์ WordPress ที่ไม่เปลี่ยนแปลงบ่อยนัก การขาดความสนใจมักจะทำให้ไซต์เหล่านี้ถูกละเลยและเสี่ยงต่อการถูกโจมตี แม้จะมีการตั้งค่าความปลอดภัยที่แนะนำ การเรียกใช้ซอฟต์แวร์ที่มีช่องโหว่บนไซต์ของคุณสามารถให้ผู้โจมตีเข้าสู่ไซต์ของคุณได้

การใช้ คุณลักษณะการจัดการเวอร์ชัน ของปลั๊กอิน iThemes Security Pro คุณสามารถเปิดใช้งานการอัปเดต WordPress อัตโนมัติเพื่อให้แน่ใจว่าคุณได้รับแพตช์ความปลอดภัยล่าสุด การตั้งค่าเหล่านี้ช่วยปกป้องไซต์ของคุณด้วยตัวเลือกในการอัปเดตเป็นเวอร์ชันใหม่โดยอัตโนมัติ หรือเพื่อเพิ่มความปลอดภัยให้กับผู้ใช้เมื่อซอฟต์แวร์ของไซต์ล้าสมัย

ตัวเลือกการอัปเดตการจัดการเวอร์ชัน
  • อัปเดต WordPress –ติดตั้ง WordPress รุ่นล่าสุดโดยอัตโนมัติ
  • การอัปเดตปลั๊กอินอัตโนมัติ – ติดตั้งการอัปเดตปลั๊กอินล่าสุดโดยอัตโนมัติ ควรเปิดใช้งานสิ่งนี้เว้นแต่คุณจะดูแลไซต์นี้เป็นประจำทุกวันและติดตั้งการอัปเดตด้วยตนเองหลังจากเปิดตัวไม่นาน
  • การอัปเดตธีมอัตโนมัติ - ติดตั้งการอัปเดตธีมล่าสุดโดยอัตโนมัติ ควรเปิดใช้งานเว้นแต่ธีมของคุณจะมีการปรับแต่งไฟล์
  • การควบคุมแบบละเอียดสำหรับการอัปเดตปลั๊กอินและธีม – คุณอาจมีปลั๊กอิน/ธีมที่คุณต้องการอัปเดตด้วยตนเอง หรือชะลอการอัปเดตจนกว่าการเผยแพร่จะมีเวลาที่จะพิสูจน์ว่าเสถียร คุณสามารถเลือก กำหนดเอง สำหรับโอกาสในการกำหนดปลั๊กอินหรือธีมแต่ละรายการให้อัปเดตทันที ( Enable ) ไม่อัปเดตโดยอัตโนมัติเลย ( Disable ) หรืออัปเดตด้วยความล่าช้าตามจำนวนวันที่ระบุ ( Delay )
การเสริมสร้างความเข้มแข็งและการแจ้งเตือนปัญหาวิกฤต
  • เสริมความแข็งแกร่งให้กับไซต์เมื่อใช้งานซอฟต์แวร์ที่ล้าสมัย – เพิ่มการป้องกันเพิ่มเติมให้กับไซต์โดยอัตโนมัติเมื่อไม่ได้ติดตั้งการอัปเดตที่พร้อมใช้งานเป็นเวลาหนึ่งเดือน ปลั๊กอิน iThemes Security จะเปิดใช้งานการรักษาความปลอดภัยที่เข้มงวดขึ้นโดยอัตโนมัติเมื่อไม่ได้ติดตั้งการอัปเดตเป็นเวลาหนึ่งเดือน ขั้นแรก จะบังคับผู้ใช้ทั้งหมดที่ไม่ได้เปิดใช้งานสองปัจจัยเพื่อให้รหัสการเข้าสู่ระบบที่ส่งไปยังที่อยู่อีเมลของตนก่อนที่จะลงชื่อเข้าใช้อีกครั้ง ประการที่สอง จะปิดใช้งานตัวแก้ไขไฟล์ WP (เพื่อบล็อกไม่ให้ผู้อื่นแก้ไขปลั๊กอินหรือโค้ดธีม) , XML-RPC pingbacks และบล็อกการพยายามตรวจสอบสิทธิ์หลายครั้งต่อคำขอ XML-RPC (ซึ่งทั้งสองอย่างนี้จะทำให้ XML-RPC แข็งแกร่งขึ้นจากการโจมตีโดยไม่ต้องปิดการทำงานทั้งหมด)
  • สแกนหาไซต์ WordPress เก่าอื่น ๆ – สิ่งนี้จะตรวจสอบการติดตั้ง WordPress ที่ล้าสมัยอื่น ๆ ในบัญชีโฮสติ้งของคุณ ไซต์ WordPress ที่ล้าสมัยเพียงไซต์เดียวที่มีช่องโหว่อาจทำให้ผู้โจมตีสามารถประนีประนอมกับไซต์อื่น ๆ ทั้งหมดในบัญชีโฮสติ้งเดียวกันได้
  • ส่งการแจ้งเตือนทางอีเมล – สำหรับปัญหาที่ต้องมีการแทรกแซง อีเมลจะถูกส่งไปยังผู้ใช้ระดับผู้ดูแลระบบ

การจัดการไซต์ WP หลายไซต์? อัปเดตปลั๊กอิน ธีม & Core พร้อมกันจาก iThemes Sync Dashboard

iThemes Sync เป็นแดชบอร์ดส่วนกลางของเราที่จะช่วยคุณจัดการไซต์ WordPress หลายแห่ง จากแดชบอร์ดการซิงค์ คุณสามารถดูการอัปเดตที่มีให้สำหรับไซต์ทั้งหมดของคุณ จากนั้น อัปเดตปลั๊กอิน ธีม และแกน WordPress ได้ด้วยคลิก เดียว คุณยังสามารถรับการ แจ้งเตือนทางอีเมลทุกวัน เมื่อมีการอัปเดตเวอร์ชันใหม่

ลองซิงค์ฟรี 30 วันเรียนรู้เพิ่มเติม

ปลั๊กอินความปลอดภัย WordPress สามารถช่วยให้เว็บไซต์ของคุณปลอดภัย

iThemes Security Pro ปลั๊กอินความปลอดภัย WordPress ของเรามีมากกว่า 30 วิธีในการรักษาความปลอดภัยและปกป้องเว็บไซต์ของคุณจากช่องโหว่ด้านความปลอดภัยทั่วไปของ WordPress ด้วย WordPress การตรวจสอบสิทธิ์แบบสองปัจจัย การป้องกันแบบเดรัจฉาน การบังคับใช้รหัสผ่านที่รัดกุม และอื่นๆ คุณสามารถเพิ่มระดับการรักษาความปลอดภัยเพิ่มเติมให้กับเว็บไซต์ของคุณได้

เรียนรู้เพิ่มเติมเกี่ยวกับความปลอดภัยของ WordPress พร้อมเคล็ดลับสำคัญ 10 ข้อ ดาวน์โหลด ebook ทันที: A Guide to WordPress Security
ดาวน์โหลดเดี๋ยวนี้