WordPress Vulnerability Roundup: ธันวาคม 2019

เผยแพร่แล้ว: 2020-01-16

ปลั๊กอิน WordPress และช่องโหว่ของธีมใหม่บางส่วนได้รับการเปิดเผยในช่วงครึ่งแรกของเดือนธันวาคม ดังนั้นเราจึงต้องการแจ้งให้คุณทราบ ในบทความนี้ เราจะพูดถึงปลั๊กอิน WordPress ธีมและช่องโหว่หลัก และสิ่งที่ควรทำหากคุณใช้งานปลั๊กอินหรือธีมที่มีช่องโหว่บนเว็บไซต์ของคุณ

สรุปช่องโหว่ของ WordPress แบ่งออกเป็นสี่ประเภทที่แตกต่างกัน:

  • 1. WordPress core
  • 2. ปลั๊กอิน WordPress
  • 3. ธีม WordPress
  • 4. การละเมิดจากในเว็บ

หมายเหตุ: คุณสามารถข้ามไปที่แผนภูมิสรุปช่องโหว่สำหรับส่วนแรกของเดือนธันวาคม 2019 ตามรายการด้านล่างได้

ช่องโหว่หลักของ WordPress

WordPress 5.3.1 ความปลอดภัยและรุ่นบำรุงรักษา

ทีมงาน WordPress เพิ่งเปิดเผยช่องโหว่สามประการใน WordPress เวอร์ชัน 5.3:

  • ผู้ใช้ที่ไม่มีสิทธิพิเศษสามารถสร้างโพสต์ที่ติดหนึบผ่าน REST API
  • ช่องโหว่ Cross-Site Scripting สามารถเก็บไว้ในลิงก์ได้
  • ช่องโหว่ของ Stored Crossed-Site Scripting โดยใช้เนื้อหาตัวแก้ไขบล็อก

รายละเอียดเพิ่มเติมสามารถพบได้ในโพสต์ WordPress 5.3.1 Security and Maintenance Release

สิ่งที่คุณควรทำ

ช่องโหว่เหล่านี้ได้รับการแก้ไขแล้ว และคุณควรอัปเดตเว็บไซต์ทั้งหมดของคุณวันนี้เป็น WordPress เวอร์ชัน 5.3.1

ช่องโหว่ของปลั๊กอิน WordPress

มีการค้นพบช่องโหว่ปลั๊กอิน WordPress ใหม่หลายรายการในเดือนนี้ อย่าลืมปฏิบัติตามคำแนะนำด้านล่างเพื่ออัปเดตปลั๊กอินหรือถอนการติดตั้งอย่างสมบูรณ์

1. WP ตรวจการสะกด

โลโก้ตรวจสอบการสะกด WP

WP Spell Check เวอร์ชัน 7.1.9 และต่ำกว่านั้นเสี่ยงต่อการโจมตี Cross-Site Request Forgery

สิ่งที่คุณควรทำ

ช่องโหว่ได้รับการแก้ไขแล้ว และคุณควรอัปเดตเป็นเวอร์ชัน 7.1.10

2. CSS ฮีโร่

โลโก้ CSS Hero

CSS Hero เวอร์ชัน 4.03 และต่ำกว่านั้นเสี่ยงต่อการโจมตี XSS ที่สะท้อนความถูกต้อง

สิ่งที่คุณควรทำ

ช่องโหว่ได้รับการแก้ไขแล้ว และคุณควรอัปเดตเป็นเวอร์ชัน 4.07

3. สุดยอดโปรแกรมเสริมสำหรับตัวสร้างบีเวอร์

โลโก้ส่วนเสริมขั้นสูง

Ultimate Addons สำหรับ Beaver Builder เวอร์ชัน 1.24.0 และต่ำกว่านั้นเสี่ยงต่อการถูกโจมตีจาก Authentication Bypass

สิ่งที่คุณควรทำ

ช่องโหว่ได้รับการแก้ไขแล้ว และคุณควรอัปเดตเป็นเวอร์ชัน 1.24.1

4. สุดยอดโปรแกรมเสริมสำหรับ Elementor

Ultimate Addon Elementor โลโก้

Ultimate Addons สำหรับ Elementor เวอร์ชัน 1.20.0 และต่ำกว่านั้นเสี่ยงต่อการถูกโจมตีจาก Authentication Bypass

สิ่งที่คุณควรทำ

ช่องโหว่ได้รับการแก้ไขแล้ว และคุณควรอัปเดตเป็นเวอร์ชัน 1.20.1

5. ปฏิทินลูกเสือ

โลโก้ลูกเสือ

Scoutnet Kalender เวอร์ชัน 1.1.0 และต่ำกว่านั้นมีความเสี่ยงต่อการโจมตี Stored Cross-Site Scripting

สิ่งที่คุณควรทำ

ลบ Scountet Kalendar เนื่องจากดูเหมือนว่าปลั๊กอินถูกละทิ้ง

ธีมเวิร์ดเพรส

1. สะกดจิต

โลโก้ที่ชวนให้หลงใหล

Mesmerize เวอร์ชัน 1.6.89 และต่ำกว่ามีช่องโหว่ Authenticated Options Update

สิ่งที่คุณควรทำ

ช่องโหว่ได้รับการแก้ไขแล้ว และคุณควรอัปเดตเป็นเวอร์ชัน 1.6.90

2. วัสดุ

โลโก้ Materialis

Materialis เวอร์ชัน 1.0.172 และต่ำกว่ามีช่องโหว่ Authenticated Options Update

สิ่งที่คุณควรทำ

ช่องโหว่ได้รับการแก้ไขแล้ว และคุณควรอัปเดตเป็นเวอร์ชัน 1.0.173

3. ListingPro

ListingPro โลโก้

ListingPro เวอร์ชัน 2.0.14.2 และต่ำกว่ามีช่องโหว่ Cross-Site Scripting แบบสะท้อนและถาวร

สิ่งที่คุณควรทำ

ช่องโหว่ได้รับการแก้ไขแล้ว และคุณควรอัปเดตเป็นเวอร์ชัน 2.0.14.5

4. ซูเปอร์ลิสต์

โลโก้ Superlist

Superlist เวอร์ชัน 2.9.2 และต่ำกว่ามีความเสี่ยงต่อการโจมตี Stored Cross-Site Scripting

สิ่งที่คุณควรทำ

ช่องโหว่นี้ยังไม่ได้รับการแก้ไข และคุณควรลบธีมออก คอยดูบันทึกการเปลี่ยนแปลงสำหรับการอัปเดตความปลอดภัย

วิธีการเชิงรุกเกี่ยวกับธีม WordPress & ช่องโหว่ของปลั๊กอิน

การใช้ซอฟต์แวร์ที่ล้าสมัยเป็นสาเหตุอันดับหนึ่งที่ทำให้ไซต์ WordPress ถูกแฮ็ก เป็นสิ่งสำคัญสำหรับความปลอดภัยของไซต์ WordPress ที่คุณมีรูทีนการอัปเดต คุณควรลงชื่อเข้าใช้ไซต์ของคุณอย่างน้อยสัปดาห์ละครั้งเพื่อทำการอัปเดต

การอัปเดตอัตโนมัติสามารถช่วยได้

การอัปเดตอัตโนมัติเป็นตัวเลือกที่ยอดเยี่ยมสำหรับเว็บไซต์ WordPress ที่ไม่เปลี่ยนแปลงบ่อยนัก การขาดความสนใจมักจะทำให้ไซต์เหล่านี้ถูกละเลยและเสี่ยงต่อการถูกโจมตี แม้จะมีการตั้งค่าความปลอดภัยที่แนะนำ การเรียกใช้ซอฟต์แวร์ที่มีช่องโหว่บนไซต์ของคุณสามารถให้ผู้โจมตีเข้าสู่ไซต์ของคุณได้

การใช้ คุณลักษณะการจัดการเวอร์ชัน ของปลั๊กอิน iThemes Security Pro คุณสามารถเปิดใช้งานการอัปเดต WordPress อัตโนมัติเพื่อให้แน่ใจว่าคุณได้รับแพตช์ความปลอดภัยล่าสุด การตั้งค่าเหล่านี้ช่วยปกป้องไซต์ของคุณด้วยตัวเลือกในการอัปเดตเป็นเวอร์ชันใหม่โดยอัตโนมัติ หรือเพื่อเพิ่มความปลอดภัยให้กับผู้ใช้เมื่อซอฟต์แวร์ของไซต์ล้าสมัย

ตัวเลือกการอัปเดตการจัดการเวอร์ชัน
  • อัปเดต WordPress –ติดตั้ง WordPress รุ่นล่าสุดโดยอัตโนมัติ
  • การอัปเดตปลั๊กอินอัตโนมัติ – ติดตั้งการอัปเดตปลั๊กอินล่าสุดโดยอัตโนมัติ ควรเปิดใช้งานสิ่งนี้เว้นแต่คุณจะดูแลไซต์นี้เป็นประจำทุกวันและติดตั้งการอัปเดตด้วยตนเองหลังจากเปิดตัวไม่นาน
  • การอัปเดตธีมอัตโนมัติ - ติดตั้งการอัปเดตธีมล่าสุดโดยอัตโนมัติ ควรเปิดใช้งานเว้นแต่ธีมของคุณจะมีการปรับแต่งไฟล์
  • การควบคุมแบบละเอียดสำหรับการอัปเดตปลั๊กอินและธีม – คุณอาจมีปลั๊กอิน/ธีมที่คุณต้องการอัปเดตด้วยตนเอง หรือชะลอการอัปเดตจนกว่าการเผยแพร่จะมีเวลาที่จะพิสูจน์ว่าเสถียร คุณสามารถเลือก กำหนดเอง สำหรับโอกาสในการกำหนดปลั๊กอินหรือธีมแต่ละรายการให้อัปเดตทันที ( Enable ) ไม่อัปเดตโดยอัตโนมัติเลย ( Disable ) หรืออัปเดตด้วยความล่าช้าตามจำนวนวันที่ระบุ ( Delay )
การเสริมสร้างความเข้มแข็งและการแจ้งเตือนปัญหาวิกฤต
  • เสริมความแข็งแกร่งให้กับไซต์เมื่อใช้งานซอฟต์แวร์ที่ล้าสมัย – เพิ่มการป้องกันเพิ่มเติมให้กับไซต์โดยอัตโนมัติเมื่อไม่ได้ติดตั้งการอัปเดตที่พร้อมใช้งานเป็นเวลาหนึ่งเดือน ปลั๊กอิน iThemes Security จะเปิดใช้งานการรักษาความปลอดภัยที่เข้มงวดขึ้นโดยอัตโนมัติเมื่อไม่ได้ติดตั้งการอัปเดตเป็นเวลาหนึ่งเดือน ขั้นแรก จะบังคับผู้ใช้ทั้งหมดที่ไม่ได้เปิดใช้งานสองปัจจัยเพื่อให้รหัสการเข้าสู่ระบบที่ส่งไปยังที่อยู่อีเมลของตนก่อนที่จะลงชื่อเข้าใช้อีกครั้ง ประการที่สอง จะปิดใช้งานตัวแก้ไขไฟล์ WP (เพื่อบล็อกไม่ให้ผู้อื่นแก้ไขปลั๊กอินหรือโค้ดธีม) , XML-RPC pingbacks และบล็อกการพยายามตรวจสอบสิทธิ์หลายครั้งต่อคำขอ XML-RPC (ซึ่งทั้งสองอย่างนี้จะทำให้ XML-RPC แข็งแกร่งขึ้นจากการโจมตีโดยไม่ต้องปิดการทำงานทั้งหมด)
  • สแกนหาไซต์ WordPress เก่าอื่น ๆ – สิ่งนี้จะตรวจสอบการติดตั้ง WordPress ที่ล้าสมัยอื่น ๆ ในบัญชีโฮสติ้งของคุณ ไซต์ WordPress ที่ล้าสมัยเพียงไซต์เดียวที่มีช่องโหว่อาจทำให้ผู้โจมตีสามารถประนีประนอมกับไซต์อื่น ๆ ทั้งหมดในบัญชีโฮสติ้งเดียวกันได้
  • ส่งการแจ้งเตือนทางอีเมล – สำหรับปัญหาที่ต้องมีการแทรกแซง อีเมลจะถูกส่งไปยังผู้ใช้ระดับผู้ดูแลระบบ

การจัดการไซต์ WP หลายไซต์? อัปเดตปลั๊กอิน ธีม & Core พร้อมกันจาก iThemes Sync Dashboard

iThemes Sync เป็นแดชบอร์ดส่วนกลางของเราที่จะช่วยคุณจัดการไซต์ WordPress หลายแห่ง จากแดชบอร์ดการซิงค์ คุณสามารถดูการอัปเดตที่มีให้สำหรับไซต์ทั้งหมดของคุณ จากนั้น อัปเดตปลั๊กอิน ธีม และแกน WordPress ได้ด้วยคลิก เดียว คุณยังสามารถรับการ แจ้งเตือนทางอีเมลทุกวัน เมื่อมีการอัปเดตเวอร์ชันใหม่

ลองซิงค์ฟรี 30 วันเรียนรู้เพิ่มเติม

การละเมิดจากทั่วเว็บ

เรารวมการละเมิดจากทั่วทั้งเว็บ เนื่องจากจำเป็นต้องตระหนักถึงช่องโหว่ภายนอกระบบนิเวศของ WordPress ด้วย การใช้ประโยชน์จากซอฟต์แวร์เซิร์ฟเวอร์สามารถเปิดเผยข้อมูลที่ละเอียดอ่อนได้ การละเมิดฐานข้อมูลสามารถเปิดเผยข้อมูลประจำตัวสำหรับผู้ใช้ในไซต์ของคุณ ซึ่งเป็นการเปิดประตูให้ผู้โจมตีเข้าถึงไซต์ของคุณ

1. แหวนแฮ็กกล้อง

กล้องวงแหวนในร่ม

น่าเสียดายที่บางครอบครัวกำลังรายงานตอนของการล่วงละเมิดหลังจากที่อุปกรณ์ Ring ของพวกเขาถูกแฮ็ก หากคุณกำลังใช้กล้องรักษาความปลอดภัยที่ช่วยให้คุณสามารถดูฟีดข้อมูลสดจากระยะไกลได้ คุณควรรู้ว่าแฮกเกอร์เจาะเข้าไปใน Ring Cameras ได้อย่างไร

ตามที่โฆษกของ Ring รายงานการแฮ็กเหล่านี้ถูกแยกออกและไม่เกี่ยวข้องกับการแฮ็กหรือการละเมิด Ring Security นั่นเป็นข่าวดี และหมายความว่าผู้กระทำผิดที่มีแนวโน้มว่าจะถูกแฮ็กคือรหัสผ่านที่ไม่รัดกุมและไม่ได้ใช้ 2FA การโจมตีแบบเดรัจฉาน เมื่อบอทที่เป็นอันตรายพยายามสุ่มชื่อผู้ใช้และรหัสผ่านจนกว่าจะสำเร็จ และพวกมันสามารถเข้าถึงบัญชีของคุณได้

โชคดีสำหรับเรา การปกป้องบัญชีของคุณจากการโจมตีแบบเดรัจฉานนั้นค่อนข้างง่าย จากการวิจัยด้านความปลอดภัยของ Google กล่าวว่าการใช้การรับรองความถูกต้องด้วยสองปัจจัยจะหยุดการโจมตีของบอทได้ 100% หากคุณกำลังติดตั้งอุปกรณ์ IoT โดยเฉพาะอย่างยิ่งอุปกรณ์ที่ช่วยให้คุณเห็นและได้ยินสิ่งที่เกิดขึ้นภายในบ้านของคุณ ให้แน่ใจว่าคุณปกป้องคุณและ ครอบครัวโดยใช้รหัสผ่านที่รัดกุมและการรับรองความถูกต้องด้วยสองปัจจัย

สรุปช่องโหว่ WordPress สำหรับ
ธันวาคม 2019 ตอนที่ 1

พิมพ์
ช่องโหว่
แก้ไข
แกน
ทีม WordPress เปิดเผย 3 ช่องโหว่ในเวอร์ชัน 5.3
ช่องโหว่เหล่านี้ได้รับการแก้ไขแล้ว และคุณควรอัปเดตเป็นเวอร์ชัน 5.3.1
ปลั๊กอิน

WP Spell Check เวอร์ชัน 7.1.9 และต่ำกว่านั้นเสี่ยงต่อการโจมตี Cross-Site Request Forgery

ช่องโหว่ได้รับการแก้ไขแล้ว และคุณควรอัปเดตเป็นเวอร์ชัน 7.1.10

Ultimate Addons สำหรับ Beaver Builder เวอร์ชัน 1.24.0 และต่ำกว่านั้นเสี่ยงต่อการถูกโจมตีจาก Authentication Bypass

ช่องโหว่ได้รับการแก้ไขแล้ว และคุณควรอัปเดตเป็นเวอร์ชัน 1.24.1

Ultimate Addons สำหรับ Elementor เวอร์ชัน 1.20.0 และต่ำกว่านั้นเสี่ยงต่อการถูกโจมตีจาก Authentication Bypass

ช่องโหว่ได้รับการแก้ไขแล้ว และคุณควรอัปเดตเป็นเวอร์ชัน 1.20.1

CSS Hero เวอร์ชัน 4.03 และต่ำกว่านั้นเสี่ยงต่อการโจมตี XSS ที่สะท้อนความถูกต้อง

ช่องโหว่ได้รับการแก้ไขแล้ว และคุณควรอัปเดตเป็นเวอร์ชัน 4.07

Scoutnet Kalender เวอร์ชัน 1.1.0 และต่ำกว่านั้นมีความเสี่ยงต่อการโจมตี Stored Cross-Site Scripting

คุณควรลบ Scountet Kalendar ดูเหมือนว่าปลั๊กอินถูกละทิ้งและไม่ได้รับการดูแลอีกต่อไป

ส่งออกผู้ใช้เป็น CSV เวอร์ชัน 1.3 และต่ำกว่ามีช่องโหว่การเข้าถึง CSV ที่ไม่ได้รับอนุญาต

ช่องโหว่ได้รับการแก้ไขแล้ว และคุณควรอัปเดตเป็นเวอร์ชัน 1.4
ธีม

Mesmerize เวอร์ชัน 1.6.89 และต่ำกว่ามีช่องโหว่ Authenticated Options Update

ช่องโหว่ได้รับการแก้ไขแล้ว และคุณควรอัปเดตเป็นเวอร์ชัน 1.6.90

Materialis เวอร์ชัน 1.0.172 และต่ำกว่ามีช่องโหว่ Authenticated Options Update

ช่องโหว่ได้รับการแก้ไขแล้ว และคุณควรอัปเดตเป็นเวอร์ชัน 1.0.173

Superlist เวอร์ชัน 2.9.2 และต่ำกว่ามีความเสี่ยงต่อการโจมตี Stored Cross-Site Scripting

ช่องโหว่ได้รับการแก้ไขแล้ว และคุณควรอัปเดตเป็นเวอร์ชัน 2.0.14.5

ListingPro เวอร์ชัน 2.0.14.2 และต่ำกว่ามีช่องโหว่ Cross-Site Scripting แบบสะท้อนและถาวร

ช่องโหว่ได้รับการแก้ไขแล้ว และคุณควรอัปเดตเป็นเวอร์ชัน 1.0.173

ปลั๊กอินความปลอดภัย WordPress สามารถช่วยให้เว็บไซต์ของคุณปลอดภัย

iThemes Security Pro ปลั๊กอินความปลอดภัย WordPress ของเรามีมากกว่า 30 วิธีในการรักษาความปลอดภัยและปกป้องเว็บไซต์ของคุณจากช่องโหว่ด้านความปลอดภัยทั่วไปของ WordPress ด้วย WordPress การตรวจสอบสิทธิ์แบบสองปัจจัย การป้องกันแบบเดรัจฉาน การบังคับใช้รหัสผ่านที่รัดกุม และอื่นๆ คุณสามารถเพิ่มระดับการรักษาความปลอดภัยเพิ่มเติมให้กับเว็บไซต์ของคุณได้

รับ iThemes Security