WordPress Vulnerability Roundup: มิถุนายน 2020 ตอนที่ 1

เผยแพร่แล้ว: 2020-08-18

ช่องโหว่ใหม่ของปลั๊กอิน WordPress และธีมได้รับการเปิดเผยในช่วงครึ่งแรกของเดือนมิถุนายน เราจึงต้องการแจ้งให้คุณทราบ ในบทความนี้ เราจะพูดถึงปลั๊กอิน WordPress ธีมและช่องโหว่หลัก และสิ่งที่ควรทำหากคุณใช้งานปลั๊กอินหรือธีมที่มีช่องโหว่บนเว็บไซต์ของคุณ

สรุปช่องโหว่ของ WordPress แบ่งออกเป็นสามประเภทที่แตกต่างกัน:

เวิร์ดเพรสคอร์
ปลั๊กอิน WordPress
ธีมเวิร์ดเพรส

ช่องโหว่แต่ละจุดจะมีระดับการคุกคาม ต่ำ ปานกลาง สูง หรือ วิกฤต

ช่องโหว่หลักของ WordPress

1. อัปเดตเป็น WordPress 5.4.2 – สำคัญ

WordPress เวอร์ชัน 5.4.2 พร้อมใช้งานแล้ว นี่เป็นรุ่นความปลอดภัยและการบำรุงรักษาที่สำคัญ เวอร์ชันก่อนหน้าได้รับผลกระทบจากจุดบกพร่องด้านความปลอดภัยหลายจุด ซึ่งได้รับการแก้ไขแล้วในเวอร์ชัน 5.4.2 หากคุณยังไม่ได้อัปเดตเป็น 5.4 ก็ยังมีเวอร์ชันอัปเดตของ 5.3 และก่อนหน้าที่แก้ไขปัญหาด้านความปลอดภัยได้

คุณสามารถดาวน์โหลด WordPress 5.4.2 จาก WordPress.org หรือไปที่ WP Admin Dashboard > Updates แล้วคลิก Update Now หากคุณมีไซต์ที่สนับสนุนการอัปเดตพื้นหลังอัตโนมัติ ไซต์เหล่านั้นควรอัปเดตแล้ว

ช่องโหว่ได้รับการแก้ไขแล้ว และคุณควรอัปเดตเป็น WordPress 5.4.2

ช่องโหว่ของปลั๊กอิน WordPress

มีการค้นพบช่องโหว่ปลั๊กอิน WordPress ใหม่หลายรายการในเดือนนี้ อย่าลืมปฏิบัติตามคำแนะนำด้านล่างเพื่ออัปเดตปลั๊กอินหรือถอนการติดตั้งอย่างสมบูรณ์

1. ลากและวางการอัปโหลดไฟล์หลายไฟล์สำหรับแบบฟอร์มการติดต่อ 7 – Critical

ลากและวางการอัปโหลดไฟล์หลายไฟล์สำหรับแบบฟอร์มการติดต่อ 7 เวอร์ชันด้านล่าง 1.3.3.3 มีช่องโหว่ข้ามการอัปโหลดไฟล์ที่ไม่ได้รับการพิสูจน์ตัวตน

ช่องโหว่ได้รับการแก้ไขแล้ว และคุณควรอัปเดตเป็นเวอร์ชัน 1.3.3.3

2. ตัวสร้างหน้า: PageLayer – ตัวสร้างเว็บไซต์ลากและวาง – สูง

ตัวสร้างหน้า: PageLayer – เวอร์ชันของตัวสร้างเว็บไซต์แบบลากและวางที่ต่ำกว่า 1.1.2 มี AJAX ที่ไม่มีการป้องกันซึ่งนำไปสู่ XSS และ CSRF ที่นำไปสู่ช่องโหว่ XSS

ช่องโหว่ได้รับการแก้ไขแล้ว และคุณควรอัปเดตเป็นเวอร์ชัน 1.1.2

3. แผนที่ MapPress – สำคัญ

MapPress Maps เวอร์ชันต่ำกว่า 2.54.6 มีการตรวจสอบความสามารถที่ไม่เหมาะสมในช่องโหว่ AJAX Calls

ช่องโหว่ได้รับการแก้ไขแล้ว และคุณควรอัปเดตเป็นเวอร์ชัน 2.54.6

4. แกลลอรี่รูปภาพ ตารางไทล์สุดท้าย - สำคัญ

Image Photo Gallery Final Tiles Grid เวอร์ชันต่ำกว่า 3.4.19 มีช่องโหว่ Cross-Site Scripting ที่จัดเก็บไว้ซึ่งรับรองความถูกต้องแล้ว

ช่องโหว่ได้รับการแก้ไขแล้ว และคุณควรอัปเดตเป็นเวอร์ชัน 3.4.19

5. bbPress – วิกฤต

bbPress เวอร์ชันที่ต่ำกว่า 2.6.5 มีช่องโหว่ Unauthenticated Privilege Escalation เมื่อเปิดใช้งานการลงทะเบียนผู้ใช้ใหม่

ช่องโหว่ได้รับการแก้ไขแล้ว และคุณควรอัปเดตเป็นเวอร์ชัน 2.6.5

6. Multi Scheduler – สูง

Multi Scheduler ทุกรุ่นมี Arbitrary Record Deletion ผ่านช่องโหว่ CSRF

นำปลั๊กอินออกจนกว่าจะมีการแก้ไขความปลอดภัย

7. ค้นหางาน – สูง

JobSearch เวอร์ชันที่ต่ำกว่า 1.5.1 มีช่องโหว่ Unauthenticated Reflected Cross-Site Scripting

ช่องโหว่ได้รับการแก้ไขแล้ว และคุณควรอัปเดตเป็นเวอร์ชัน 1.5.1

8. AdRotate – ปานกลาง

AdRotate เวอร์ชันที่ต่ำกว่า 5.8.4 มีช่องโหว่ของ Authenticated SQL Injection

ช่องโหว่ได้รับการแก้ไขแล้ว และคุณควรอัปเดตเป็นเวอร์ชัน 5.8.4

9. Elementor Page Builder – สูง

Elementor Page Builder เวอร์ชันที่ต่ำกว่า 2.9.10 มีช่องโหว่ XSS ที่จัดเก็บโดยพิสูจน์ตัวตนแล้ว

ช่องโหว่ได้รับการแก้ไขแล้ว และคุณควรอัปเดตเป็นเวอร์ชัน 2.9.10

10. SportsPress – สูง

SportsPress เวอร์ชันที่ต่ำกว่า 2.7.2 มีช่องโหว่ Cross-Site Scripting ที่จัดเก็บไว้ซึ่งรับรองความถูกต้องแล้ว

ช่องโหว่ได้รับการแก้ไขแล้ว และคุณควรอัปเดตเป็นเวอร์ชัน 2.7.2

ธีมเวิร์ดเพรส

1. Careerfy – สูง

Careerfy เวอร์ชันที่ต่ำกว่า 3.9.0 มีช่องโหว่ Unauthenticated Reflected Cross-Site Scripting

ช่องโหว่ได้รับการแก้ไขแล้ว และคุณควรอัปเดตเป็นเวอร์ชัน 3.9.0

2. หนังสือพิมพ์ – สูง

หนังสือพิมพ์เวอร์ชันต่ำกว่า 10.3.4 มีช่องโหว่ Authenticated Reflected Cross-Site Scripting

ช่องโหว่ได้รับการแก้ไขแล้ว และคุณควรอัปเดตเป็นเวอร์ชัน 10.3.4

ใหม่! ปกป้องเว็บไซต์ WordPress ของคุณด้วยการสแกนไซต์ความปลอดภัยของ iThemes

คุณรู้หรือไม่ว่า 60% ของการละเมิดเว็บไซต์ เกี่ยวข้องกับช่องโหว่ที่มีโปรแกรมแก้ไขแต่ไม่ได้นำไปใช้ ซึ่งหมายความว่าการติดตั้งซอฟต์แวร์ที่มีช่องโหว่ที่เป็นที่รู้จักบนไซต์ของคุณจะช่วยให้แฮกเกอร์มีพิมพ์เขียวที่จำเป็นเพื่อเข้าควบคุมไซต์ของคุณ

ทุกๆ วัน การติดตามช่องโหว่ของ WordPress ที่ถูกเปิดเผย นั้น ยากขึ้นเรื่อย ๆ คุณต้องเปรียบเทียบรายการนั้นกับเวอร์ชันของปลั๊กอินและธีมที่คุณติดตั้งบนไซต์ของคุณ... และตรวจดูให้แน่ใจว่าคุณกำลังอัปเดตอยู่ตลอดเวลา

เพื่อแก้ปัญหานี้ วันนี้เรารู้สึกตื่นเต้นที่จะประกาศว่าปลั๊กอิน iThemes Security Pro กำลังเปิด ตัววิธีที่ดีกว่าในการปกป้องไซต์ของคุณจากช่องโหว่ของซอฟต์แวร์ ซึ่งเป็นผู้ร้ายอันดับหนึ่งของไซต์ WordPress ที่ถูกแฮ็กและถูกบุกรุก

การสแกนไซต์ WordPress Security Site ที่ได้รับการปรับปรุงใหม่ซึ่งขับเคลื่อนโดย iThemes จะทำการ ตรวจสอบช่องโหว่ของเว็บไซต์ที่รู้จักโดยอัตโนมัติ และหากมีแพตช์ให้ใช้งานได้ ตอนนี้ iThemes Security Pro จะใช้การแก้ไขให้คุณโดยอัตโนมัติ... ดังนั้นคุณไม่จำเป็นต้องทำ ว้าย นั่นคือความสงบของจิตใจ

ปลั๊กอินความปลอดภัย WordPress สามารถช่วยให้เว็บไซต์ของคุณปลอดภัย

iThemes Security Pro ปลั๊กอินความปลอดภัย WordPress ของเรามีมากกว่า 30 วิธีในการรักษาความปลอดภัยและปกป้องเว็บไซต์ของคุณจากช่องโหว่ด้านความปลอดภัยทั่วไปของ WordPress ด้วย WordPress การตรวจสอบสิทธิ์แบบสองปัจจัย การป้องกันแบบเดรัจฉาน การบังคับใช้รหัสผ่านที่รัดกุม และอื่นๆ คุณสามารถเพิ่มระดับการรักษาความปลอดภัยเพิ่มเติมให้กับเว็บไซต์ของคุณได้

เรียนรู้เพิ่มเติมเกี่ยวกับความปลอดภัยของ WordPress พร้อมเคล็ดลับสำคัญ 10 ข้อ ดาวน์โหลด ebook ทันที: A Guide to WordPress Security

ดาวน์โหลดเดี๋ยวนี้

ไมเคิล มัวร์

ในแต่ละสัปดาห์ Michael จะรวบรวมรายงานช่องโหว่ของ WordPress เพื่อช่วยให้เว็บไซต์ของคุณปลอดภัย ในฐานะผู้จัดการผลิตภัณฑ์ที่ iThemes เขาช่วยเราปรับปรุงรายการผลิตภัณฑ์ iThemes ต่อไป เขาเป็นคนเนิร์ดยักษ์และชอบเรียนรู้เกี่ยวกับเทคโนโลยีทุกอย่าง ทั้งเก่าและใหม่ คุณสามารถหาไมเคิลไปเที่ยวกับภรรยาและลูกสาว อ่านหนังสือหรือฟังเพลงเมื่อไม่ได้ทำงาน