WordPress Vulnerability Roundup: มีนาคม 2020 ตอนที่ 2

เผยแพร่แล้ว: 2020-08-18

ช่องโหว่ใหม่ของปลั๊กอิน WordPress และธีมได้รับการเปิดเผยในช่วงครึ่งหลังของเดือนมีนาคม ดังนั้น เราจึงต้องการแจ้งให้คุณทราบ ในบทความนี้ เราจะพูดถึงปลั๊กอิน WordPress ธีมและช่องโหว่หลัก และสิ่งที่ควรทำหากคุณใช้งานปลั๊กอินหรือธีมที่มีช่องโหว่บนเว็บไซต์ของคุณ

สรุปช่องโหว่ของ WordPress แบ่งออกเป็นสี่ประเภทที่แตกต่างกัน:

  1. เวิร์ดเพรสคอร์
  2. ปลั๊กอิน WordPress
  3. ธีมเวิร์ดเพรส

ช่องโหว่หลักของ WordPress

ยังไม่มีการเปิดเผยช่องโหว่ของ WordPress ในปี 2020

ช่องโหว่ของปลั๊กอิน WordPress

มีการค้นพบช่องโหว่ปลั๊กอิน WordPress ใหม่หลายรายการในเดือนนี้ อย่าลืมปฏิบัติตามคำแนะนำด้านล่างเพื่ออัปเดตปลั๊กอินหรือถอนการติดตั้งอย่างสมบูรณ์

1 – 7. ปลั๊กอินหลายตัว

Buddypress Component Stats, abstract-submission, WP e-Commerce Shop Styling, web-portal-lite-client, post-pdf-export, blogtopdf และ gboutique ล้วนมีช่องโหว่ Dompdf Local File Inclusion ที่ไม่ได้รับอนุญาต

ลบปลั๊กอิน พวกมันถูกปิดในที่เก็บปลั๊กอิน WordPress.org

8. WordPress ไฟล์อัพโหลด

WordPress File Upload เวอร์ชันต่ำกว่า 4.13.0 มีช่องโหว่ Remote Code Execution

ช่องโหว่ได้รับการแก้ไขแล้ว และคุณควรอัปเดตเป็นเวอร์ชัน 4.13.0

9. จดหมายข่าว

จดหมายข่าวเวอร์ชันที่ต่ำกว่า 6.5.4 มีช่องโหว่ในการฉีด CSV

ช่องโหว่ได้รับการแก้ไขแล้ว และคุณควรอัปเดตเป็นเวอร์ชัน 6.5.4

10. LearnPress

LearnPress เวอร์ชันที่ต่ำกว่า 3.2.6.7 มีช่องโหว่ในการยกระดับสิทธิ์

ช่องโหว่ได้รับการแก้ไขแล้ว และคุณควรอัปเดตเป็นเวอร์ชัน 3.2.6.7

11. UI ของประเภทโพสต์ที่กำหนดเอง

Custom Post Type UI เวอร์ชันที่ต่ำกว่า 1.7.4 มีช่องโหว่ Cross-Site Request Forgery และ Stored Cross-Site Scripting

ช่องโหว่ได้รับการแก้ไขแล้ว และคุณควรอัปเดตเป็นเวอร์ชัน 1.7.4

12. ตัวนำเข้าเทมเพลต Gutenberg & Elementor สำหรับการตอบสนอง

ตัวนำเข้าเทมเพลต Gutenberg & Elementor สำหรับเวอร์ชันที่ตอบสนองต่ำกว่า 2.2.6 มีช่องโหว่ AJAX Endpoints ที่ไม่มีการป้องกัน

ช่องโหว่ได้รับการแก้ไขแล้ว และคุณควรอัปเดตเป็นเวอร์ชัน 2.2.6

13. โฆษณาขั้นสูง – Ad Manager & AdSense

โฆษณาขั้นสูง – เวอร์ชัน Ad Manager และ AdSense ที่ต่ำกว่า 1.17.4 มีช่องโหว่ของ Authenticated Cross-Site Scripting

ช่องโหว่ได้รับการแก้ไขแล้ว และคุณควรอัปเดตเป็นเวอร์ชัน 1.17.4

14. โยกย้าย & สำรอง WordPress – ปลั๊กอินสำรอง WPvivid

โยกย้าย & สำรอง WordPress - ปลั๊กอินสำรอง WPvivid เวอร์ชันต่ำกว่า 0.9.36 ไม่มีการอนุญาตซึ่งนำไปสู่ช่องโหว่ฐานข้อมูลรั่ว

ช่องโหว่ได้รับการแก้ไขแล้ว และคุณควรอัปเดตเป็นเวอร์ชัน 0.9.36

15. คุกกี้บอท

Cookiebot เวอร์ชันต่ำกว่า 3.6.1 มีช่องโหว่ Authenticated Reflected Cross-Site Scripting

ช่องโหว่ได้รับการแก้ไขแล้ว และคุณควรอัปเดตเป็นเวอร์ชัน 3.6.1

16. เครื่องมือสร้างตารางข้อมูลโดย Supsystic

เครื่องมือสร้างตารางข้อมูลตามเวอร์ชัน Supsystic ที่ต่ำกว่า 1.9.92 มีช่องโหว่หลายจุด

ช่องโหว่ได้รับการแก้ไขแล้ว และคุณควรอัปเดตเป็นเวอร์ชัน 1.9.92

17. สินค้า lister-walmart

product-lister-walmart มีช่องโหว่ Unauthenticated Remote Code Execution

ลบปลั๊กอิน มันถูกปิดในที่เก็บปลั๊กอิน WordPress.org ที่รอการตรวจสอบ

18. การโยกย้าย WP แบบ All-in-One

All-in-One WP Migration เวอร์ชันที่ต่ำกว่า 7.15 มีช่องโหว่ดาวน์โหลดสำรองโดยพลการ

ช่องโหว่ได้รับการแก้ไขแล้ว และคุณควรอัปเดตเป็นเวอร์ชัน 7.15

ธีมเวิร์ดเพรส

1. มีผล

เวอร์ชันของธีมที่มีผลต่ำกว่า 3.8.2 มีช่องโหว่ Authenticated Stored Cross-Site Scripting

ช่องโหว่ได้รับการแก้ไขแล้ว และคุณควรอัปเดตเป็นเวอร์ชัน 3.8.2

วิธีการเชิงรุกเกี่ยวกับธีม WordPress & ช่องโหว่ของปลั๊กอิน

การใช้ซอฟต์แวร์ที่ล้าสมัยเป็นสาเหตุอันดับหนึ่งที่ทำให้ไซต์ WordPress ถูกแฮ็ก เป็นสิ่งสำคัญสำหรับความปลอดภัยของไซต์ WordPress ที่คุณมีรูทีนการอัปเดต คุณควรลงชื่อเข้าใช้ไซต์ของคุณอย่างน้อยสัปดาห์ละครั้งเพื่อทำการอัปเดต

การอัปเดตอัตโนมัติสามารถช่วยได้

การอัปเดตอัตโนมัติเป็นตัวเลือกที่ยอดเยี่ยมสำหรับเว็บไซต์ WordPress ที่ไม่เปลี่ยนแปลงบ่อยนัก การขาดความสนใจมักจะทำให้ไซต์เหล่านี้ถูกละเลยและเสี่ยงต่อการถูกโจมตี แม้จะมีการตั้งค่าความปลอดภัยที่แนะนำ การเรียกใช้ซอฟต์แวร์ที่มีช่องโหว่บนไซต์ของคุณสามารถให้ผู้โจมตีเข้าสู่ไซต์ของคุณได้

การใช้ คุณลักษณะการจัดการเวอร์ชัน ของปลั๊กอิน iThemes Security Pro คุณสามารถเปิดใช้งานการอัปเดต WordPress อัตโนมัติเพื่อให้แน่ใจว่าคุณได้รับแพตช์ความปลอดภัยล่าสุด การตั้งค่าเหล่านี้ช่วยปกป้องไซต์ของคุณด้วยตัวเลือกในการอัปเดตเป็นเวอร์ชันใหม่โดยอัตโนมัติ หรือเพื่อเพิ่มความปลอดภัยให้กับผู้ใช้เมื่อซอฟต์แวร์ของไซต์ล้าสมัย

ตัวเลือกการอัปเดตการจัดการเวอร์ชัน
  • อัปเดต WordPress –ติดตั้ง WordPress รุ่นล่าสุดโดยอัตโนมัติ
  • การอัปเดตปลั๊กอินอัตโนมัติ – ติดตั้งการอัปเดตปลั๊กอินล่าสุดโดยอัตโนมัติ ควรเปิดใช้งานสิ่งนี้เว้นแต่คุณจะดูแลไซต์นี้เป็นประจำทุกวันและติดตั้งการอัปเดตด้วยตนเองหลังจากเปิดตัวไม่นาน
  • การอัปเดตธีมอัตโนมัติ - ติดตั้งการอัปเดตธีมล่าสุดโดยอัตโนมัติ ควรเปิดใช้งานเว้นแต่ธีมของคุณจะมีการปรับแต่งไฟล์
  • การควบคุมแบบละเอียดสำหรับการอัปเดตปลั๊กอินและธีม – คุณอาจมีปลั๊กอิน/ธีมที่คุณต้องการอัปเดตด้วยตนเอง หรือชะลอการอัปเดตจนกว่าการเผยแพร่จะมีเวลาที่จะพิสูจน์ว่าเสถียร คุณสามารถเลือก กำหนดเอง สำหรับโอกาสในการกำหนดปลั๊กอินหรือธีมแต่ละรายการให้อัปเดตทันที ( Enable ) ไม่อัปเดตโดยอัตโนมัติเลย ( Disable ) หรืออัปเดตด้วยความล่าช้าตามจำนวนวันที่ระบุ ( Delay )
การเสริมสร้างความเข้มแข็งและการแจ้งเตือนปัญหาวิกฤต
  • เสริมความแข็งแกร่งให้กับไซต์เมื่อใช้งานซอฟต์แวร์ที่ล้าสมัย – เพิ่มการป้องกันเพิ่มเติมให้กับไซต์โดยอัตโนมัติเมื่อไม่ได้ติดตั้งการอัปเดตที่พร้อมใช้งานเป็นเวลาหนึ่งเดือน ปลั๊กอิน iThemes Security จะเปิดใช้งานการรักษาความปลอดภัยที่เข้มงวดขึ้นโดยอัตโนมัติเมื่อไม่ได้ติดตั้งการอัปเดตเป็นเวลาหนึ่งเดือน ขั้นแรก จะบังคับผู้ใช้ทั้งหมดที่ไม่ได้เปิดใช้งานสองปัจจัยเพื่อให้รหัสการเข้าสู่ระบบที่ส่งไปยังที่อยู่อีเมลของตนก่อนที่จะลงชื่อเข้าใช้อีกครั้ง ประการที่สอง จะปิดใช้งานตัวแก้ไขไฟล์ WP (เพื่อบล็อกไม่ให้ผู้อื่นแก้ไขปลั๊กอินหรือโค้ดธีม) , XML-RPC pingbacks และบล็อกการพยายามตรวจสอบสิทธิ์หลายครั้งต่อคำขอ XML-RPC (ซึ่งทั้งสองอย่างนี้จะทำให้ XML-RPC แข็งแกร่งขึ้นจากการโจมตีโดยไม่ต้องปิดการทำงานทั้งหมด)
  • สแกนหาไซต์ WordPress เก่าอื่น ๆ – สิ่งนี้จะตรวจสอบการติดตั้ง WordPress ที่ล้าสมัยอื่น ๆ ในบัญชีโฮสติ้งของคุณ ไซต์ WordPress ที่ล้าสมัยเพียงไซต์เดียวที่มีช่องโหว่อาจทำให้ผู้โจมตีสามารถประนีประนอมกับไซต์อื่น ๆ ทั้งหมดในบัญชีโฮสติ้งเดียวกันได้
  • ส่งการแจ้งเตือนทางอีเมล – สำหรับปัญหาที่ต้องมีการแทรกแซง อีเมลจะถูกส่งไปยังผู้ใช้ระดับผู้ดูแลระบบ

การจัดการไซต์ WP หลายไซต์? อัปเดตปลั๊กอิน ธีม & Core พร้อมกันจาก iThemes Sync Dashboard

iThemes Sync เป็นแดชบอร์ดส่วนกลางของเราที่จะช่วยคุณจัดการไซต์ WordPress หลายแห่ง จากแดชบอร์ดการซิงค์ คุณสามารถดูการอัปเดตที่มีให้สำหรับไซต์ทั้งหมดของคุณ จากนั้น อัปเดตปลั๊กอิน ธีม และแกน WordPress ได้ด้วยคลิก เดียว คุณยังสามารถรับการ แจ้งเตือนทางอีเมลทุกวัน เมื่อมีการอัปเดตเวอร์ชันใหม่

ลองซิงค์ฟรี 30 วันเรียนรู้เพิ่มเติม

ปลั๊กอินความปลอดภัย WordPress สามารถช่วยให้เว็บไซต์ของคุณปลอดภัย

iThemes Security Pro ปลั๊กอินความปลอดภัย WordPress ของเรามีมากกว่า 30 วิธีในการรักษาความปลอดภัยและปกป้องเว็บไซต์ของคุณจากช่องโหว่ด้านความปลอดภัยทั่วไปของ WordPress ด้วย WordPress การตรวจสอบสิทธิ์แบบสองปัจจัย การป้องกันแบบเดรัจฉาน การบังคับใช้รหัสผ่านที่รัดกุม และอื่นๆ คุณสามารถเพิ่มระดับการรักษาความปลอดภัยเพิ่มเติมให้กับเว็บไซต์ของคุณได้

เรียนรู้เพิ่มเติมเกี่ยวกับความปลอดภัยของ WordPress พร้อมเคล็ดลับสำคัญ 10 ข้อ ดาวน์โหลด ebook ทันที: A Guide to WordPress Security
ดาวน์โหลดเดี๋ยวนี้