WordPress Vulnerability Roundup: มีนาคม 2020 ตอนที่ 1

เผยแพร่แล้ว: 2020-11-22

ช่องโหว่ใหม่ของปลั๊กอิน WordPress และธีมได้รับการเปิดเผยในช่วงครึ่งแรกของเดือนมีนาคม เราจึงต้องการแจ้งให้คุณทราบ ในบทความนี้ เราจะพูดถึงปลั๊กอิน WordPress ธีมและช่องโหว่หลัก และสิ่งที่ควรทำหากคุณใช้งานปลั๊กอินหรือธีมที่มีช่องโหว่บนเว็บไซต์ของคุณ

สรุปช่องโหว่ของ WordPress แบ่งออกเป็นสี่ประเภทที่แตกต่างกัน:

  1. เวิร์ดเพรสคอร์
  2. ปลั๊กอิน WordPress
  3. ธีมเวิร์ดเพรส

ช่องโหว่หลักของ WordPress

ข่าวดี! จนถึงขณะนี้ยังไม่มีการเปิดเผยช่องโหว่หลักของ WordPress ในปี 2020

ช่องโหว่ของปลั๊กอิน WordPress

มีการค้นพบช่องโหว่ปลั๊กอิน WordPress ใหม่หลายรายการในเดือนนี้ อย่าลืมปฏิบัติตามคำแนะนำด้านล่างเพื่ออัปเดตปลั๊กอินหรือถอนการติดตั้งอย่างสมบูรณ์

1. ตารางราคาโดย Supsystic

ตารางราคาตาม Supsystic เวอร์ชัน 1.8.1 และต่ำกว่ามีช่องโหว่หลายจุด

ช่องโหว่ได้รับการแก้ไขแล้ว และคุณควรอัปเดตเป็นเวอร์ชัน 1.8.2

2. ช่องชำระเงินที่ยืดหยุ่นสำหรับ WooCommerce

ช่องชำระเงินที่ยืดหยุ่นสำหรับ WooCommerce เวอร์ชัน 2.3.1 และด้านล่างมีช่องโหว่ในการอัปเดตการตั้งค่าที่ไม่ผ่านการตรวจสอบสิทธิ์ ปลั๊กอินกำลังถูกใช้งานในทางที่ผิด และแทรกสคริปต์ที่เป็นอันตรายลงในหน้าชำระเงินของ WooCommerce

ช่องโหว่ได้รับการแก้ไขแล้ว และคุณควรอัปเดตเป็นเวอร์ชัน 2.3.2

3. ส่งออกผู้ใช้

Export-Users เวอร์ชัน 1.4.2 และต่ำกว่านั้นเสี่ยงต่อการถูกโจมตีด้วย CSV Injection

ปลั๊กอินปิดอยู่ในที่เก็บปลั๊กอิน WordPress.org และควรลบออก

4. แผนที่ฮีโร่

Hero Maps เวอร์ชัน 2.2.1 และต่ำกว่ามีช่องโหว่ Unauthenticated Cross-Site Scripting

ช่องโหว่ได้รับการแก้ไขแล้ว และคุณควรอัปเดตเป็นเวอร์ชัน 2.2.3

5. การชำระเงินด้วย CardGate สำหรับ WooCommerce

การชำระเงิน CardGate สำหรับ WooCommerce เวอร์ชัน 3.1.15 และต่ำกว่ามีช่องโหว่การจี้การชำระเงินที่ไม่ได้รับอนุญาตและการปลอมแปลงสถานะคำสั่งซื้อ

ช่องโหว่ได้รับการแก้ไขแล้ว และคุณควรอัปเดตเป็นเวอร์ชัน 3.1.16

6. Async JavaScript

Async JavaScript เวอร์ชัน 2.19.07.14 และต่ำกว่ามีช่องโหว่ Unauthenticated Stored Cross-Site Scripting

ช่องโหว่ได้รับการแก้ไขแล้ว และคุณควรอัปเดตเป็นเวอร์ชัน 2.20.02.27

7. 10 ตัวสร้างแผนที่เว็บสำหรับ Google Maps

10Web Map Builder สำหรับ Google Maps เวอร์ชัน 1.0.63 และต่ำกว่ามีช่องโหว่ Cross-Site Scripting ที่จัดเก็บไว้โดยไม่ได้รับอนุญาต

ช่องโหว่ได้รับการแก้ไขแล้ว และคุณควรอัปเดตเป็นเวอร์ชัน 1.0.64

8. ปฏิทินกิจกรรมสมัยใหม่ Lite

Modern Events Calendar Lite เวอร์ชัน 5.1.6 และต่ำกว่ามีช่องโหว่ Cross-Site Scripting ที่จัดเก็บไว้

ช่องโหว่ได้รับการแก้ไขแล้ว และคุณควรอัปเดตเป็นเวอร์ชัน 5.1.7

9. ปฏิทินการจองนัดหมาย

ปฏิทินการนัดหมายในเวอร์ชัน 1.3.34 และต่ำกว่ามีช่องโหว่ของ Cross-Site Scripting ที่รับรองความถูกต้องแล้ว

ช่องโหว่ได้รับการแก้ไขแล้ว และคุณควรอัปเดตเป็นเวอร์ชัน 1.3.35

10. WPForms

WPForms เวอร์ชัน 1.5.8.2 และต่ำกว่ามีช่องโหว่ Authenticated Cross Site Scripting

ช่องโหว่ได้รับการแก้ไขแล้ว และคุณควรอัปเดตเป็นเวอร์ชัน 1.5.9

11. WordPress WP-Advanced-Search

WordPress WP-Advanced-Search เวอร์ชัน 3.3.3 และต่ำกว่ามีช่องโหว่การเข้าถึงฐานข้อมูลโดยไม่ได้รับอนุญาตและการดำเนินการโค้ดจากระยะไกล

ช่องโหว่ได้รับการแก้ไขแล้ว และคุณควรอัปเดตเป็นเวอร์ชัน 3.3.4

12. การลงทะเบียนเวทย์มนตร์

RegistrationMagic เวอร์ชัน 4.6.0.1 และต่ำกว่ามีช่องโหว่ด้านความปลอดภัยหลายจุด

ช่องโหว่ได้รับการแก้ไขแล้ว และคุณควรอัปเดตเป็นเวอร์ชัน 4.6.0.4

13. Brizy – ตัวสร้างเพจ

Brizy – Page Builder เวอร์ชัน 1.0.113 และต่ำกว่ามีช่องโหว่การอัปเดตการตั้งค่าไซต์ที่ไม่ได้รับอนุญาต

ช่องโหว่ได้รับการแก้ไขแล้ว และคุณควรอัปเดตเป็นเวอร์ชัน 1.0.114

14. ระบบป้อนข้อมูลที่ค้นหาได้เอง

Custom Searchable Data Entry System เวอร์ชัน 1.7.1 และต่ำกว่ามีช่องโหว่ในการแก้ไขและลบข้อมูลที่ไม่ผ่านการตรวจสอบสิทธิ์ ช่องโหว่นี้กำลังถูกใช้อย่างแข็งขัน

แพตช์ความปลอดภัยยังไม่เผยแพร่ และคุณควรลบปลั๊กอินออก

15. บันทึกการตรวจสอบความปลอดภัย WP

บันทึกการตรวจสอบความปลอดภัย WP เวอร์ชัน 4.0.1 และต่ำกว่าช่องโหว่ของ Broke Access Control

ช่องโหว่ได้รับการแก้ไขแล้ว และคุณควรอัปเดตเป็นเวอร์ชัน 4.0.2

ธีมเวิร์ดเพรส

ยังไม่มีการเปิดเผยช่องโหว่ของธีมในเดือนมีนาคม 2020

วิธีการเชิงรุกเกี่ยวกับธีม WordPress & ช่องโหว่ของปลั๊กอิน

การใช้ซอฟต์แวร์ที่ล้าสมัยเป็นสาเหตุอันดับหนึ่งที่ทำให้ไซต์ WordPress ถูกแฮ็ก เป็นสิ่งสำคัญสำหรับความปลอดภัยของไซต์ WordPress ที่คุณมีรูทีนการอัปเดต คุณควรลงชื่อเข้าใช้ไซต์ของคุณอย่างน้อยสัปดาห์ละครั้งเพื่อทำการอัปเดต

การอัปเดตอัตโนมัติสามารถช่วยได้

การอัปเดตอัตโนมัติเป็นตัวเลือกที่ยอดเยี่ยมสำหรับเว็บไซต์ WordPress ที่ไม่เปลี่ยนแปลงบ่อยนัก การขาดความสนใจมักจะทำให้ไซต์เหล่านี้ถูกละเลยและเสี่ยงต่อการถูกโจมตี แม้จะมีการตั้งค่าความปลอดภัยที่แนะนำ การเรียกใช้ซอฟต์แวร์ที่มีช่องโหว่บนไซต์ของคุณสามารถให้ผู้โจมตีเข้าสู่ไซต์ของคุณได้

การใช้ คุณลักษณะการจัดการเวอร์ชัน ของปลั๊กอิน iThemes Security Pro คุณสามารถเปิดใช้งานการอัปเดต WordPress อัตโนมัติเพื่อให้แน่ใจว่าคุณได้รับแพตช์ความปลอดภัยล่าสุด การตั้งค่าเหล่านี้ช่วยปกป้องไซต์ของคุณด้วยตัวเลือกในการอัปเดตเป็นเวอร์ชันใหม่โดยอัตโนมัติ หรือเพื่อเพิ่มความปลอดภัยให้กับผู้ใช้เมื่อซอฟต์แวร์ของไซต์ล้าสมัย

ตัวเลือกการอัปเดตการจัดการเวอร์ชัน
  • อัปเดต WordPress –ติดตั้ง WordPress รุ่นล่าสุดโดยอัตโนมัติ
  • การอัปเดตปลั๊กอินอัตโนมัติ – ติดตั้งการอัปเดตปลั๊กอินล่าสุดโดยอัตโนมัติ ควรเปิดใช้งานสิ่งนี้เว้นแต่คุณจะดูแลไซต์นี้เป็นประจำทุกวันและติดตั้งการอัปเดตด้วยตนเองหลังจากเปิดตัวไม่นาน
  • การอัปเดตธีมอัตโนมัติ - ติดตั้งการอัปเดตธีมล่าสุดโดยอัตโนมัติ ควรเปิดใช้งานเว้นแต่ธีมของคุณจะมีการปรับแต่งไฟล์
  • การควบคุมแบบละเอียดสำหรับการอัปเดตปลั๊กอินและธีม – คุณอาจมีปลั๊กอิน/ธีมที่คุณต้องการอัปเดตด้วยตนเอง หรือชะลอการอัปเดตจนกว่าการเผยแพร่จะมีเวลาที่จะพิสูจน์ว่าเสถียร คุณสามารถเลือก กำหนดเอง สำหรับโอกาสในการกำหนดปลั๊กอินหรือธีมแต่ละรายการให้อัปเดตทันที ( Enable ) ไม่อัปเดตโดยอัตโนมัติเลย ( Disable ) หรืออัปเดตด้วยความล่าช้าตามจำนวนวันที่ระบุ ( Delay )
การเสริมสร้างความเข้มแข็งและการแจ้งเตือนปัญหาวิกฤต
  • เสริมความแข็งแกร่งให้กับไซต์เมื่อใช้งานซอฟต์แวร์ที่ล้าสมัย – เพิ่มการป้องกันเพิ่มเติมให้กับไซต์โดยอัตโนมัติเมื่อไม่ได้ติดตั้งการอัปเดตที่พร้อมใช้งานเป็นเวลาหนึ่งเดือน ปลั๊กอิน iThemes Security จะเปิดใช้งานการรักษาความปลอดภัยที่เข้มงวดขึ้นโดยอัตโนมัติเมื่อไม่ได้ติดตั้งการอัปเดตเป็นเวลาหนึ่งเดือน ขั้นแรก จะบังคับผู้ใช้ทั้งหมดที่ไม่ได้เปิดใช้งานสองปัจจัยเพื่อให้รหัสการเข้าสู่ระบบที่ส่งไปยังที่อยู่อีเมลของตนก่อนที่จะลงชื่อเข้าใช้อีกครั้ง ประการที่สอง จะปิดใช้งานตัวแก้ไขไฟล์ WP (เพื่อบล็อกไม่ให้ผู้อื่นแก้ไขปลั๊กอินหรือโค้ดธีม) , XML-RPC pingbacks และบล็อกการพยายามตรวจสอบสิทธิ์หลายครั้งต่อคำขอ XML-RPC (ซึ่งทั้งสองอย่างนี้จะทำให้ XML-RPC แข็งแกร่งขึ้นจากการโจมตีโดยไม่ต้องปิดการทำงานทั้งหมด)
  • สแกนหาไซต์ WordPress เก่าอื่น ๆ – สิ่งนี้จะตรวจสอบการติดตั้ง WordPress ที่ล้าสมัยอื่น ๆ ในบัญชีโฮสติ้งของคุณ ไซต์ WordPress ที่ล้าสมัยเพียงไซต์เดียวที่มีช่องโหว่อาจทำให้ผู้โจมตีสามารถประนีประนอมกับไซต์อื่น ๆ ทั้งหมดในบัญชีโฮสติ้งเดียวกันได้
  • ส่งการแจ้งเตือนทางอีเมล – สำหรับปัญหาที่ต้องมีการแทรกแซง อีเมลจะถูกส่งไปยังผู้ใช้ระดับผู้ดูแลระบบ

การจัดการไซต์ WP หลายไซต์? อัปเดตปลั๊กอิน ธีม & Core พร้อมกันจาก iThemes Sync Dashboard

iThemes Sync เป็นแดชบอร์ดส่วนกลางของเราที่จะช่วยคุณจัดการไซต์ WordPress หลายแห่ง จากแดชบอร์ดการซิงค์ คุณสามารถดูการอัปเดตที่มีให้สำหรับไซต์ทั้งหมดของคุณ จากนั้น อัปเดตปลั๊กอิน ธีม และแกน WordPress ได้ด้วยคลิก เดียว คุณยังสามารถรับการ แจ้งเตือนทางอีเมลทุกวัน เมื่อมีการอัปเดตเวอร์ชันใหม่

ลองซิงค์ฟรี 30 วันเรียนรู้เพิ่มเติม

ปลั๊กอินความปลอดภัย WordPress สามารถช่วยให้เว็บไซต์ของคุณปลอดภัย

iThemes Security Pro ปลั๊กอินความปลอดภัย WordPress ของเรามีมากกว่า 30 วิธีในการรักษาความปลอดภัยและปกป้องเว็บไซต์ของคุณจากช่องโหว่ด้านความปลอดภัยทั่วไปของ WordPress ด้วย WordPress การตรวจสอบสิทธิ์แบบสองปัจจัย การป้องกันแบบเดรัจฉาน การบังคับใช้รหัสผ่านที่รัดกุม และอื่นๆ คุณสามารถเพิ่มระดับการรักษาความปลอดภัยเพิ่มเติมให้กับเว็บไซต์ของคุณได้

เรียนรู้เพิ่มเติมเกี่ยวกับความปลอดภัยของ WordPress พร้อมเคล็ดลับสำคัญ 10 ข้อ ดาวน์โหลด ebook ทันที: A Guide to WordPress Security
ดาวน์โหลดเดี๋ยวนี้