WordPress Vulnerability Roundup: กุมภาพันธ์ 2020 ตอนที่ 1

เผยแพร่แล้ว: 2020-08-18

ช่องโหว่ใหม่ของปลั๊กอิน WordPress และธีมได้รับการเปิดเผยในช่วงครึ่งแรกของเดือนกุมภาพันธ์ ดังนั้นเราจึงต้องการแจ้งให้คุณทราบ ในบทความนี้ เราจะพูดถึงปลั๊กอิน WordPress ธีมและช่องโหว่หลัก และสิ่งที่ควรทำหากคุณใช้งานปลั๊กอินหรือธีมที่มีช่องโหว่บนเว็บไซต์ของคุณ

สรุปช่องโหว่ของ WordPress แบ่งออกเป็นสี่ประเภทที่แตกต่างกัน:

  1. เวิร์ดเพรสคอร์
  2. ปลั๊กอิน WordPress
  3. ธีมเวิร์ดเพรส

ช่องโหว่หลักของ WordPress

ยังไม่มีการเปิดเผยช่องโหว่ของ WordPress ในปี 2020

ช่องโหว่ของปลั๊กอิน WordPress

มีการค้นพบช่องโหว่ปลั๊กอิน WordPress ใหม่หลายรายการในเดือนนี้ อย่าลืมปฏิบัติตามคำแนะนำด้านล่างเพื่ออัปเดตปลั๊กอินหรือถอนการติดตั้งอย่างสมบูรณ์

1. ตัวสร้างหน้าองค์ประกอบ

Elementor Page Builder เวอร์ชัน 2.8.4 และต่ำกว่ามีช่องโหว่ Authenticated Reflected Cross-Site Scripting

ช่องโหว่ได้รับการแก้ไขแล้ว ดังนั้นคุณควรอัปเดตเป็นเวอร์ชัน 2.8.5

2. ข้อความรับรองที่แข็งแกร่ง

โลโก้รับรองที่แข็งแกร่ง

ข้อความรับรองที่แข็งแกร่งเวอร์ชัน 2.40.0 และต่ำกว่ามีช่องโหว่ Stored Cross-Site Scripting

ช่องโหว่ได้รับการแก้ไขแล้ว ดังนั้นคุณควรอัปเดตเป็นเวอร์ชัน 2.40.0

3. คลังภาพตัวกรองผลงาน

โลโก้แกลเลอรีตัวกรองผลงาน

Portfolio Filter Gallery เวอร์ชัน 1.1.2 และต่ำกว่ามีช่องโหว่ Cross-Site Request Forgery ที่อาจนำไปสู่การโจมตี XSS แบบสะท้อน

ช่องโหว่ได้รับการแก้ไขแล้ว ดังนั้นคุณควรอัปเดตเป็นเวอร์ชัน 1.1.3

4. ติวเตอร์ LMS

Tutor LMS เวอร์ชัน 1.5.2 และต่ำกว่านั้นเสี่ยงต่อการโจมตี Cross-Site Request Forgery

ช่องโหว่ได้รับการแก้ไขแล้ว ดังนั้นคุณควรอัปเดตเป็นเวอร์ชัน 1.5.3

5. เข้าสู่ระบบโดย Auth0

เข้าสู่ระบบโดย Auth0 โลโก้

การเข้าสู่ระบบโดย Auth0 เวอร์ชัน 3.11.2 และต่ำกว่านั้นมีความเสี่ยงต่อการโจมตี XSS Unauthenticated Reflected

ช่องโหว่ได้รับการแก้ไขแล้ว ดังนั้นคุณควรอัปเดตเป็นเวอร์ชัน 3.11.3

6. Htaccess โดย BestWebSoft

Htaccess โดย BestWebSoft มีช่องโหว่ Cross-Site Request Forgery ซึ่งอาจทำให้ผู้โจมตีแก้ไข .htaccess

ลบปลั๊กอิน มันถูกปิดในที่เก็บปลั๊กอิน WordPress.org ที่รอการตรวจสอบ

7. สุดยอดสมาชิก Pro

Ultimate Membership Pro

Ultimate Membership Pro เวอร์ชันที่ต่ำกว่า 8.6.1 มีช่องโหว่หลายจุดที่สามารถนำไปสู่ผู้ใช้ระดับต่ำที่ทำการโจมตี Remote Code Execution

ช่องโหว่ได้รับการแก้ไขแล้ว ดังนั้นคุณควรอัปเดตเป็นเวอร์ชัน 8.6.1

8. ผู้จัดการกิจกรรม & ผู้จัดการกิจกรรม Pro

โลโก้ตัวจัดการกิจกรรม Pro

Events Manager ต่ำกว่าเวอร์ชัน 5.9.7.2 และ Events Manager Pro ต่ำกว่าเวอร์ชัน 2.6.7.2 เสี่ยงต่อการถูกโจมตีด้วย CSV Injection

ช่องโหว่ได้รับการแก้ไขแล้ว และคุณควรอัปเดตเป็น Events Manager เวอร์ชัน 5.9.7.2 และ Events Manager Pro เวอร์ชัน 2.6.7.2

9. ตัวสร้างโปรไฟล์และตัวสร้างโปรไฟล์ Pro

ตัวสร้างโปรไฟล์และตัวสร้างโปรไฟล์ Pro ด้านล่างเวอร์ชัน 3.1.1 มีช่องโหว่ในการตรวจสอบสิทธิ์ที่ใช้งานไม่ได้ ทำให้ผู้ใช้ที่ไม่ผ่านการตรวจสอบสิทธิ์สามารถลงทะเบียนหรือแก้ไขบัญชีของตนและรับบทบาทผู้ดูแลระบบโดยใช้แบบฟอร์มของปลั๊กอิน

ช่องโหว่ได้รับการแก้ไขแล้ว และคุณควรอัปเดตเป็นเวอร์ชัน 3.1.1

10. ฐานข้อมูลผู้เข้าร่วม

ฐานข้อมูลผู้เข้าร่วมเวอร์ชัน 1.9.5.5 และต่ำกว่ามีความเสี่ยงต่อการโจมตี Authenticated SQL Injection

ช่องโหว่ได้รับการแก้ไขแล้ว และคุณควรอัปเดตเป็นเวอร์ชัน 1.9.5.6

11. ความยินยอมของคุกกี้ GDPR

ความยินยอมของคุกกี้ GDPR เวอร์ชัน 1.8.2 และต่ำกว่ามีช่องโหว่ในการควบคุมการเข้าถึงที่ไม่เหมาะสม ซึ่งอาจทำให้ผู้ใช้ระดับต่ำเปลี่ยนสถานะของโพสต์หรือเพจ และอาจนำไปสู่การโจมตีแบบ Cross-Site Scripting

ช่องโหว่ได้รับการแก้ไขแล้ว ดังนั้นคุณควรอัปเดตเป็นเวอร์ชัน 1.8.3

ธีมเวิร์ดเพรส

1. ธีมความเป็นจริง

Reality Theme เวอร์ชัน 2.5.1 และต่ำกว่านั้นมีความเสี่ยงต่อการโจมตี Unauthenticated Reflected Cross-Site Scripting

ช่องโหว่ได้รับการแก้ไขแล้ว ดังนั้นคุณควรอัปเดตเป็นเวอร์ชัน 2.5.2

วิธีการเชิงรุกเกี่ยวกับธีม WordPress & ช่องโหว่ของปลั๊กอิน

การใช้ซอฟต์แวร์ที่ล้าสมัยเป็นสาเหตุอันดับหนึ่งที่ทำให้ไซต์ WordPress ถูกแฮ็ก เป็นสิ่งสำคัญสำหรับความปลอดภัยของไซต์ WordPress ที่คุณมีรูทีนการอัปเดต คุณควรลงชื่อเข้าใช้ไซต์ของคุณอย่างน้อยสัปดาห์ละครั้งเพื่อทำการอัปเดต

การอัปเดตอัตโนมัติสามารถช่วยได้

การอัปเดตอัตโนมัติเป็นตัวเลือกที่ยอดเยี่ยมสำหรับเว็บไซต์ WordPress ที่ไม่เปลี่ยนแปลงบ่อยนัก การขาดความสนใจมักจะทำให้ไซต์เหล่านี้ถูกละเลยและเสี่ยงต่อการถูกโจมตี แม้จะมีการตั้งค่าความปลอดภัยที่แนะนำ การเรียกใช้ซอฟต์แวร์ที่มีช่องโหว่บนไซต์ของคุณสามารถให้ผู้โจมตีเข้าสู่ไซต์ของคุณได้

การใช้ คุณลักษณะการจัดการเวอร์ชัน ของปลั๊กอิน iThemes Security Pro คุณสามารถเปิดใช้งานการอัปเดต WordPress อัตโนมัติเพื่อให้แน่ใจว่าคุณได้รับแพตช์ความปลอดภัยล่าสุด การตั้งค่าเหล่านี้ช่วยปกป้องไซต์ของคุณด้วยตัวเลือกในการอัปเดตเป็นเวอร์ชันใหม่โดยอัตโนมัติ หรือเพื่อเพิ่มความปลอดภัยให้กับผู้ใช้เมื่อซอฟต์แวร์ของไซต์ล้าสมัย

ตัวเลือกการอัปเดตการจัดการเวอร์ชัน
  • อัปเดต WordPress –ติดตั้ง WordPress รุ่นล่าสุดโดยอัตโนมัติ
  • การอัปเดตปลั๊กอินอัตโนมัติ – ติดตั้งการอัปเดตปลั๊กอินล่าสุดโดยอัตโนมัติ ควรเปิดใช้งานสิ่งนี้เว้นแต่คุณจะดูแลไซต์นี้เป็นประจำทุกวันและติดตั้งการอัปเดตด้วยตนเองหลังจากเปิดตัวไม่นาน
  • การอัปเดตธีมอัตโนมัติ - ติดตั้งการอัปเดตธีมล่าสุดโดยอัตโนมัติ ควรเปิดใช้งานเว้นแต่ธีมของคุณจะมีการปรับแต่งไฟล์
  • การควบคุมแบบละเอียดสำหรับการอัปเดตปลั๊กอินและธีม – คุณอาจมีปลั๊กอิน/ธีมที่คุณต้องการอัปเดตด้วยตนเอง หรือชะลอการอัปเดตจนกว่าการเผยแพร่จะมีเวลาที่จะพิสูจน์ว่าเสถียร คุณสามารถเลือก กำหนดเอง สำหรับโอกาสในการกำหนดปลั๊กอินหรือธีมแต่ละรายการให้อัปเดตทันที ( Enable ) ไม่อัปเดตโดยอัตโนมัติเลย ( Disable ) หรืออัปเดตด้วยความล่าช้าตามจำนวนวันที่ระบุ ( Delay )
การเสริมสร้างความเข้มแข็งและการแจ้งเตือนปัญหาวิกฤต
  • เสริมความแข็งแกร่งให้กับไซต์เมื่อใช้งานซอฟต์แวร์ที่ล้าสมัย – เพิ่มการป้องกันเพิ่มเติมให้กับไซต์โดยอัตโนมัติเมื่อไม่ได้ติดตั้งการอัปเดตที่พร้อมใช้งานเป็นเวลาหนึ่งเดือน ปลั๊กอิน iThemes Security จะเปิดใช้งานการรักษาความปลอดภัยที่เข้มงวดขึ้นโดยอัตโนมัติเมื่อไม่ได้ติดตั้งการอัปเดตเป็นเวลาหนึ่งเดือน ขั้นแรก จะบังคับผู้ใช้ทั้งหมดที่ไม่ได้เปิดใช้งานสองปัจจัยเพื่อให้รหัสการเข้าสู่ระบบที่ส่งไปยังที่อยู่อีเมลของตนก่อนที่จะลงชื่อเข้าใช้อีกครั้ง ประการที่สอง จะปิดใช้งานตัวแก้ไขไฟล์ WP (เพื่อบล็อกไม่ให้ผู้อื่นแก้ไขปลั๊กอินหรือโค้ดธีม) , XML-RPC pingbacks และบล็อกการพยายามตรวจสอบสิทธิ์หลายครั้งต่อคำขอ XML-RPC (ซึ่งทั้งสองอย่างนี้จะทำให้ XML-RPC แข็งแกร่งขึ้นจากการโจมตีโดยไม่ต้องปิดการทำงานทั้งหมด)
  • สแกนหาไซต์ WordPress เก่าอื่น ๆ – สิ่งนี้จะตรวจสอบการติดตั้ง WordPress ที่ล้าสมัยอื่น ๆ ในบัญชีโฮสติ้งของคุณ ไซต์ WordPress ที่ล้าสมัยเพียงไซต์เดียวที่มีช่องโหว่อาจทำให้ผู้โจมตีสามารถประนีประนอมกับไซต์อื่น ๆ ทั้งหมดในบัญชีโฮสติ้งเดียวกันได้
  • ส่งการแจ้งเตือนทางอีเมล – สำหรับปัญหาที่ต้องมีการแทรกแซง อีเมลจะถูกส่งไปยังผู้ใช้ระดับผู้ดูแลระบบ

การจัดการไซต์ WP หลายไซต์? อัปเดตปลั๊กอิน ธีม & Core พร้อมกันจาก iThemes Sync Dashboard

iThemes Sync เป็นแดชบอร์ดส่วนกลางของเราที่จะช่วยคุณจัดการไซต์ WordPress หลายแห่ง จากแดชบอร์ดการซิงค์ คุณสามารถดูการอัปเดตที่มีให้สำหรับไซต์ทั้งหมดของคุณ จากนั้น อัปเดตปลั๊กอิน ธีม และแกน WordPress ได้ด้วยคลิก เดียว คุณยังสามารถรับการ แจ้งเตือนทางอีเมลทุกวัน เมื่อมีการอัปเดตเวอร์ชันใหม่

ลองซิงค์ฟรี 30 วันเรียนรู้เพิ่มเติม

ปลั๊กอินความปลอดภัย WordPress สามารถช่วยให้เว็บไซต์ของคุณปลอดภัย

iThemes Security Pro ปลั๊กอินความปลอดภัย WordPress ของเรามีมากกว่า 30 วิธีในการรักษาความปลอดภัยและปกป้องเว็บไซต์ของคุณจากช่องโหว่ด้านความปลอดภัยทั่วไปของ WordPress ด้วย WordPress การตรวจสอบสิทธิ์แบบสองปัจจัย การป้องกันแบบเดรัจฉาน การบังคับใช้รหัสผ่านที่รัดกุม และอื่นๆ คุณสามารถเพิ่มระดับการรักษาความปลอดภัยเพิ่มเติมให้กับเว็บไซต์ของคุณได้

เรียนรู้เพิ่มเติมเกี่ยวกับความปลอดภัยของ WordPress พร้อมเคล็ดลับสำคัญ 10 ข้อ ดาวน์โหลด ebook ทันที: A Guide to WordPress Security
ดาวน์โหลดเดี๋ยวนี้

รับ iThemes Security