WordPress Vulnerability Roundup: สิงหาคม 2020 ตอนที่ 2

ช่องโหว่ใหม่ของปลั๊กอิน WordPress และธีมได้รับการเปิดเผยในช่วงครึ่งหลังของเดือนสิงหาคม ดังนั้นเราจึงต้องการแจ้งให้คุณทราบ ในบทความนี้ เราจะพูดถึงปลั๊กอิน WordPress ธีมและช่องโหว่หลัก และสิ่งที่ควรทำหากคุณใช้งานปลั๊กอินหรือธีมที่มีช่องโหว่บนเว็บไซต์ของคุณ

สรุปช่องโหว่ของ WordPress แบ่งออกเป็นสามประเภท: แกนหลักของ WordPress, ปลั๊กอิน WordPress และธีม WordPress

ช่องโหว่หลักของ WordPress

ไม่มีการเปิดเผยช่องโหว่หลักของ WordPress ในเดือนสิงหาคม อย่างไรก็ตาม สิงหาคมได้นำ WordPress เวอร์ชันหลักใหม่เข้ามา โปรดทราบว่าเราได้รับรายงานจำนวนมากเกี่ยวกับเว็บไซต์ที่มีปัญหาการอัปเดต 5.5 ดังนั้นนี่คือคำแนะนำเกี่ยวกับเว็บไซต์ WordPress 5.5 ตัวทำลาย: วิธีแก้ไข

ดูว่ามีอะไรใหม่ใน WordPress 5.5

WordPress 5.5 “Eckstine” ออกแล้ว! WordPress เวอร์ชันหลักนี้เน้นที่ "ความเร็ว การค้นหาและความปลอดภัย" รวมถึงการเปลี่ยนแปลงมากกว่า 1,500 รายการในอินเทอร์เฟซตัวแก้ไขบล็อก การปรับปรุง 150+ รายการและคำขอคุณสมบัติ การแก้ไขข้อบกพร่องมากกว่า 300 รายการ และอื่นๆ ดูว่ามีอะไรใหม่ใน WordPress 5.5

ช่องโหว่ของปลั๊กอิน WordPress

1. สมาชิกขั้นสุดยอด

Ultimate Member เวอร์ชันที่ต่ำกว่า 2.1.7 มีช่องโหว่ Open Redirect ที่ไม่ได้รับการพิสูจน์ตัวตน

2. แบบทดสอบและสำรวจปรมาจารย์

Quiz และ Survey Master เวอร์ชันที่ต่ำกว่า 7.0.1 มีช่องโหว่ Unauthenticated Arbitrary File Deletion และ Arbitrary File Upload

3. ขายสื่อ

ขายสื่อรุ่นต่ำกว่า 2.4.2 มีช่องโหว่ Unauthenticated Cross-Site Scripting

4. WordPress fancyBox ไลท์บ็อกซ์

WordPress fancyBox Lightbox เวอร์ชันที่ต่ำกว่า 1.0.2 มีช่องโหว่ในการเขียนสคริปต์ข้ามไซต์ที่รับรองความถูกต้องแล้ว

5. WordPress Colorbox Lightbox

WordPress Colorbox Lightbox เวอร์ชันที่ต่ำกว่า 1.1.3 มีช่องโหว่ในการเขียนสคริปต์ข้ามไซต์ที่รับรองความถูกต้องแล้ว

6. ขายรูปถ่าย

ช่องโหว่สคริปต์ข้ามไซต์ที่จัดเก็บไว้ซึ่งรับรองความถูกต้องของ Sell Photo ทุกเวอร์ชัน

7. ไลท์บ็อกซ์ที่ตอบสนอง2

ไลท์บ็อกซ์ 2 เวอร์ชันที่ตอบสนองต่ำกว่า 1.0.3 มีช่องโหว่สคริปต์ข้ามไซต์ที่รับรองความถูกต้องแล้ว

8. NextGEN แกลลอรี่ขายรูปภาพ

NextGEN Gallery Sell Photo ทุกรุ่นมีช่องโหว่ Cross-Site Scripting ที่จัดเก็บไว้ซึ่งรับรองความถูกต้องแล้ว

9. ดาวน์โหลดสื่ออย่างง่าย

Easy Media Download เวอร์ชันที่ต่ำกว่า 1.1.5 มีช่องโหว่ Cross-Site Scripting ที่จัดเก็บไว้ซึ่งรับรองความถูกต้องแล้ว

10. ตัวจัดการลิงค์ภายใน

Internal Links Manager ทุกรุ่นมีช่องโหว่ Cross-Site Scripting ที่จัดเก็บไว้ซึ่งรับรองความถูกต้องหลายรายการ

11. ข้อความรับรองที่หรูหรา

Elegant Testimonial ทุกรุ่นมีช่องโหว่ Cross-Site Scripting ที่ผ่านการตรวจสอบสิทธิ์แล้วหลายรายการ

12. คลิกด้านบน

Click to top เวอร์ชันที่ต่ำกว่า 1.2.7 มีช่องโหว่ Authenticated Stored Cross-Site Scripting

13. รีวิวลูกค้า WP

WP Customer Reviews เวอร์ชันที่ต่ำกว่า 3.4.3 มีช่องโหว่ XSS ที่จัดเก็บโดยไม่ได้รับการตรวจสอบสิทธิ์และมีสิทธิ์ต่ำหลายรายการ

14. กฎส่วนลดสำหรับ WooCommerce

กฎส่วนลดสำหรับ WooCommerce เวอร์ชันต่ำกว่า 2.1.0 มีช่องโหว่หลายจุด

15. ตัวจัดการการเข้าถึงขั้นสูง

Advanced Access Manager เวอร์ชันที่ต่ำกว่า 6.6.2 มีช่องโหว่ Authenticated Authorization Bypass และ Privilege Escalation

16. WooCommerce – NAB Transact

WooCommerce – NAB Transact เวอร์ชันที่ต่ำกว่า 2.1.2 มีช่องโหว่ Payment Bypass

17. แบบฟอร์มกาลี

Kali Forms เวอร์ชันต่ำกว่า 2.1.2 มีช่องโหว่หลายจุด

18. RSVPMaker

RSVPMaker เวอร์ชันต่ำกว่า 7.8.2 มีช่องโหว่ SQL Injection ที่ไม่ได้รับการพิสูจน์ตัวตน

19. เพิ่มประสิทธิภาพอัตโนมัติ

เวอร์ชันอัตโนมัติที่ต่ำกว่า 2.7.7 มีช่องโหว่ในการอัปโหลดไฟล์โดยพลการที่รับรองความถูกต้อง

ช่องโหว่ของธีม WordPress

1. ฟู้ดเบเกอรี่

FoodBakery เวอร์ชัน 1.9 และต่ำกว่ามีช่องโหว่ XSS ที่ไม่ผ่านการตรวจสอบสิทธิ์

2. คอนเซปต์

Konzept เวอร์ชันต่ำกว่า 2.5 มีช่องโหว่ XSS ที่ไม่ผ่านการตรวจสอบสิทธิ์

3. Nova Lite

Nova Lite เวอร์ชันต่ำกว่า 1.3.9 มีช่องโหว่ Unauthenticated Cross-Site Scripting

4. โฮมวิลล่า

โฮมวิลล่าทุกเวอร์ชันมีช่องโหว่ Cross-Site Scripting หลายจุด

5. นิตยสารภูมิศาสตร์

นิตยสาร Geo ทุกรุ่นมีช่องโหว่ XSS ที่ไม่ผ่านการตรวจสอบสิทธิ์

ปกป้อง WordPress ด้วย iThemes Security Site Scan

คุณรู้หรือไม่ว่า 60% ของการละเมิดเว็บไซต์ เกี่ยวข้องกับช่องโหว่ที่มีโปรแกรมแก้ไขแต่ไม่ได้นำไปใช้ ซึ่งหมายความว่าการติดตั้งซอฟต์แวร์ที่มีช่องโหว่ที่เป็นที่รู้จักบนไซต์ของคุณจะช่วยให้แฮกเกอร์มีพิมพ์เขียวที่จำเป็นเพื่อเข้าควบคุมไซต์ของคุณ

ทุกๆ วัน การติดตามช่องโหว่ของ WordPress ที่ถูกเปิดเผย นั้น ยากขึ้นเรื่อย ๆ คุณต้องเปรียบเทียบรายการนั้นกับเวอร์ชันของปลั๊กอินและธีมที่คุณติดตั้งบนไซต์ของคุณ... และตรวจดูให้แน่ใจว่าคุณกำลังอัปเดตอยู่ตลอดเวลา

เพื่อแก้ปัญหานี้ วันนี้เรารู้สึกตื่นเต้นที่จะประกาศว่าปลั๊กอิน iThemes Security Pro กำลังเปิด ตัววิธีที่ดีกว่าในการปกป้องไซต์ของคุณจากช่องโหว่ของซอฟต์แวร์ ซึ่งเป็นผู้ร้ายอันดับหนึ่งของไซต์ WordPress ที่ถูกแฮ็กและถูกบุกรุก

การสแกนไซต์ WordPress Security Site ที่ได้รับการปรับปรุงใหม่ซึ่งขับเคลื่อนโดย iThemes จะทำการ ตรวจสอบช่องโหว่ของเว็บไซต์ที่รู้จักโดยอัตโนมัติ และหากมีแพตช์ให้ใช้งานได้ ตอนนี้ iThemes Security Pro จะใช้การแก้ไขให้คุณโดยอัตโนมัติ... ดังนั้นคุณไม่จำเป็นต้องทำ ว้าย นั่นคือความสงบของจิตใจ

ปลั๊กอินความปลอดภัย WordPress สามารถช่วยให้เว็บไซต์ของคุณปลอดภัย

iThemes Security Pro ปลั๊กอินความปลอดภัย WordPress ของเรามีมากกว่า 50 วิธีในการรักษาความปลอดภัยและปกป้องเว็บไซต์ของคุณจากช่องโหว่ด้านความปลอดภัยทั่วไปของ WordPress ด้วย WordPress การตรวจสอบสิทธิ์แบบสองปัจจัย การป้องกันแบบเดรัจฉาน การบังคับใช้รหัสผ่านที่รัดกุม และอื่นๆ คุณสามารถเพิ่มระดับการรักษาความปลอดภัยเพิ่มเติมให้กับเว็บไซต์ของคุณได้

ไมเคิล มัวร์

ในแต่ละสัปดาห์ Michael จะรวบรวมรายงานช่องโหว่ของ WordPress เพื่อช่วยให้เว็บไซต์ของคุณปลอดภัย ในฐานะผู้จัดการผลิตภัณฑ์ที่ iThemes เขาช่วยเราปรับปรุงรายการผลิตภัณฑ์ iThemes ต่อไป เขาเป็นคนเนิร์ดยักษ์และชอบเรียนรู้เกี่ยวกับเทคโนโลยีทุกอย่าง ทั้งเก่าและใหม่ คุณสามารถหาไมเคิลไปเที่ยวกับภรรยาและลูกสาว อ่านหนังสือหรือฟังเพลงเมื่อไม่ได้ทำงาน