WordPress Vulnerability Roundup: พฤศจิกายน 2020 ตอนที่ 1

ปลั๊กอิน WordPress และช่องโหว่ของธีมใหม่บางส่วนถูกเปิดเผยในช่วงครึ่งแรกของเดือนพฤศจิกายน โพสต์นี้ครอบคลุมถึงปลั๊กอิน WordPress ธีมและช่องโหว่หลัก และจะทำอย่างไรหากคุณเรียกใช้ปลั๊กอินหรือธีมที่มีช่องโหว่บนเว็บไซต์ของคุณ

สรุปช่องโหว่ของ WordPress แบ่งออกเป็นสามประเภท: แกนหลักของ WordPress, ปลั๊กอิน WordPress และธีม WordPress

ช่องโหว่หลักของ WordPress

WordPress 5.5.2 เปิดตัวเมื่อวันที่ 29 ตุลาคม และรวมการแก้ไขความปลอดภัยหลัก 10 ประการของ WordPress

นี่คือรายการของการแก้ไขความปลอดภัยที่กล่าวถึงในโพสต์เผยแพร่ WordPress 5.5.2

• คำขอดีซีเรียลไลเซชันแบบแข็ง
• แก้ไขเพื่อปิดใช้งานการฝังสแปมจากไซต์ที่ถูกปิดใช้งานบนเครือข่ายหลายไซต์
• แก้ไขปัญหาด้านความปลอดภัยที่อาจนำไปสู่ ​​XSS จากตัวแปรส่วนกลาง
• แก้ไขปัญหาการยกระดับสิทธิ์ใน XML-RPC
• แก้ไขปัญหาเกี่ยวกับการยกระดับสิทธิ์ในการแสดงความคิดเห็นผ่าน XML-RPC
• แก้ไขปัญหาด้านความปลอดภัยที่การโจมตี DoS อาจนำไปสู่ ​​RCE
• ลบวิธีการเก็บ XSS ในโพสต์ทาก
• ลบวิธีการเพื่อเลี่ยงผ่านเมตาที่ได้รับการป้องกันที่อาจนำไปสู่การลบไฟล์โดยพลการ
• ลบวิธีการที่อาจนำไปสู่ ​​CSRF

ช่องโหว่ของปลั๊กอิน WordPress

1. SW Ajax WooCommerce ค้นหา

SW Ajax WooCommerce Search เวอร์ชันที่ต่ำกว่า 1.2.8 มีช่องโหว่ XSS & XFS ที่ไม่ผ่านการตรวจสอบสิทธิ์

2. AccessPress ไอคอนโซเชียล

AccessPress Social Icons เวอร์ชันต่ำกว่า 1.8.1 มีช่องโหว่ SQL Injection ที่ผ่านการตรวจสอบสิทธิ์

3. การสนับสนุนการปฏิบัติตามข้อกำหนดของ GDPR CCPA

การสนับสนุนการปฏิบัติตามข้อกำหนด GDPR CCPA เวอร์ชันที่ต่ำกว่า 2.4 มีช่องโหว่ PHP Object Injection ที่ไม่ได้รับการพิสูจน์ตัวตน

4. เพิ่มความเป็นจริง

Augmented Reality ทุกเวอร์ชันมีการอัปโหลดไฟล์ PHP ที่ไม่ได้รับอนุญาตซึ่งนำไปสู่ช่องโหว่ RCE

5. Wecart อีคอมเมิร์ซ

Welcart e-Commerce เวอร์ชันต่ำกว่า 1.9.36 มีช่องโหว่ PHP Object Injection ที่ผ่านการตรวจสอบสิทธิ์

6. WooCommerce

WooCommerce เวอร์ชันต่ำกว่า 4.6.2 มีช่องโหว่ในการสร้างบัญชีแขก

7. บล็อก WooCommerce

WooCommerce Blocks เวอร์ชันต่ำกว่า 3.7.1 มีช่องโหว่ในการสร้างบัญชีแขก

8. Abandoned Cart Lite สำหรับ WooCommerce

Abandoned Cart Lite สำหรับ WooCommerce เวอร์ชันต่ำกว่า 5.8.3 มีช่องโหว่ SQL Injection ที่ไม่ได้รับการพิสูจน์ตัวตน

9. บันทึกกิจกรรม WP

บันทึกกิจกรรม WP เวอร์ชันที่ต่ำกว่า 4.1.5 มีช่องโหว่ SQL Injection ในโมดูลฐานข้อมูลภายนอก

10. สุดยอดสมาชิก

Ultimate Member เวอร์ชันที่ต่ำกว่า 2.1.12 มีการยกระดับสิทธิ์โดยไม่ได้รับอนุญาตผ่านบทบาทของผู้ใช้ การอัปเดตโปรไฟล์ & ช่องโหว่ Meta ของผู้ใช้

11. รีวิวขั้นสุดยอด

Ultimate Reviews เวอร์ชันที่ต่ำกว่า 2.1.33 มีช่องโหว่ PHP Object Injection ที่ไม่ได้รับการพิสูจน์ตัวตน

ช่องโหว่ของธีม WordPress

1. กรีนมาร์ท

GreenMart เวอร์ชันต่ำกว่า 2.4.3 มีช่องโหว่ Reflected Cross-Site Scripting

เคล็ดลับความปลอดภัยเดือนพฤศจิกายน: ทำไมคุณต้องมีบันทึกการรักษาความปลอดภัยของ WordPress

การบันทึกเป็นส่วนสำคัญของกลยุทธ์การรักษาความปลอดภัยของ WordPress การบันทึกและการตรวจสอบไม่เพียงพออาจนำไปสู่ความล่าช้าในการตรวจจับการละเมิดความปลอดภัย การศึกษาการละเมิดส่วนใหญ่แสดงให้เห็นว่าเวลาในการตรวจจับการละเมิดนั้นเกิน 200 วัน! ระยะเวลาดังกล่าวทำให้ผู้โจมตีสามารถละเมิดระบบอื่น แก้ไข ขโมย หรือทำลายข้อมูลได้มากขึ้น ด้วยเหตุผลดังกล่าว การบันทึกที่ไม่เพียงพอจึงตกอยู่ในความเสี่ยงด้านความปลอดภัยของเว็บแอปพลิเคชัน 10 อันดับแรกของ OWASP

บันทึกการรักษาความปลอดภัยของ WordPress มีประโยชน์หลายประการในกลยุทธ์ความปลอดภัยโดยรวมของคุณ

1. ระบุตัวตนและหยุดพฤติกรรมที่เป็นอันตราย
2. ระบุกิจกรรมที่สามารถเตือนคุณถึงการละเมิด
3. ประเมินความเสียหายที่เกิดขึ้น
4. ช่วยในการซ่อมแซมไซต์ที่ถูกแฮ็ก

หากไซต์ของคุณถูกแฮ็ก คุณจะต้องมีข้อมูลที่ดีที่สุดเพื่อช่วยในการตรวจสอบและกู้คืนอย่างรวดเร็ว

บันทึกการรักษาความปลอดภัยของ WordPress คืออะไร?

WordPress Security Logs ใน iThemes Security Pro จะคอยติดตามเหตุการณ์ความปลอดภัยที่สำคัญที่เกิดขึ้นบนเว็บไซต์ของคุณ เหตุการณ์เหล่านี้มีความสำคัญในการตรวจสอบเพื่อระบุว่ามีการละเมิดความปลอดภัยเกิดขึ้นหรือไม่

บันทึกการรักษาความปลอดภัยของเว็บไซต์ของคุณเป็นส่วนสำคัญของกลยุทธ์ด้านความปลอดภัยใดๆ ข้อมูลที่พบในบันทึกเหล่านี้สามารถใช้เพื่อปิดกั้นผู้ไม่ประสงค์ดี เน้นถึงการเปลี่ยนแปลงที่ไม่ต้องการบนไซต์ และช่วยในการระบุและแก้ไขจุดเข้าของการโจมตีที่ประสบความสำเร็จ

วิธีเพิ่มบันทึกการรักษาความปลอดภัยของ WordPress ไปยังเว็บไซต์ของคุณ

วิธีที่ง่ายที่สุดในการเพิ่มการบันทึกความปลอดภัยให้กับเว็บไซต์ของคุณคือการใช้ปลั๊กอิน เช่น iThemes Security Pro ทันทีที่มีการติดตั้งและเปิดใช้งาน iThemes Security Pro มันจะเริ่มตรวจสอบและบันทึกกิจกรรมความปลอดภัยที่สำคัญตามที่เกิดขึ้นบนเว็บไซต์ของคุณ

จากนั้น iThemes Security Pro จะเปลี่ยนข้อมูลจากบันทึกของคุณให้เป็นแดชบอร์ดความปลอดภัย WordPress แบบเรียลไทม์ เพื่อให้คุณได้มุมมองที่ดีขึ้นเกี่ยวกับกิจกรรมความปลอดภัยทั้งหมดที่เกิดขึ้นบนไซต์ของคุณ

ดูโพสต์ของเราเกี่ยวกับบันทึกการรักษาความปลอดภัยของ WordPress เพื่อเรียนรู้ว่าเหตุการณ์ด้านความปลอดภัยใดที่คุณควรตรวจสอบและวิธีบันทึก

ดูวิธีการทำงาน

ปลั๊กอินความปลอดภัย WordPress สามารถช่วยให้เว็บไซต์ของคุณปลอดภัย

iThemes Security Pro ปลั๊กอินความปลอดภัย WordPress ของเรามีมากกว่า 50 วิธีในการรักษาความปลอดภัยและปกป้องเว็บไซต์ของคุณจากช่องโหว่ด้านความปลอดภัยทั่วไปของ WordPress ด้วย WordPress การตรวจสอบสิทธิ์แบบสองปัจจัย การป้องกันแบบเดรัจฉาน การบังคับใช้รหัสผ่านที่รัดกุม และอื่นๆ คุณสามารถเพิ่มระดับการรักษาความปลอดภัยเพิ่มเติมให้กับเว็บไซต์ของคุณได้

รับ iThemes Security Pro

ไมเคิล มัวร์

ในแต่ละสัปดาห์ Michael จะรวบรวมรายงานช่องโหว่ของ WordPress เพื่อช่วยให้เว็บไซต์ของคุณปลอดภัย ในฐานะผู้จัดการผลิตภัณฑ์ที่ iThemes เขาช่วยเราปรับปรุงรายการผลิตภัณฑ์ iThemes ต่อไป เขาเป็นคนเนิร์ดยักษ์และชอบเรียนรู้เกี่ยวกับเทคโนโลยีทุกอย่าง ทั้งเก่าและใหม่ คุณสามารถหาไมเคิลไปเที่ยวกับภรรยาและลูกสาว อ่านหนังสือหรือฟังเพลงเมื่อไม่ได้ทำงาน