WordPress 漏洞报告:2021 年 12 月,第 3 部分

已发表: 2021-12-16

易受攻击的插件和主题是 WordPress 网站被黑客入侵的第一大原因。 由 WPScan 提供支持的每周 WordPress 漏洞报告涵盖最近的 WordPress 插件、主题和核心漏洞,以及如果您在网站上运行易受攻击的插件或主题之一该怎么办。

每个漏洞的严重性等级为“”、 “中” 、“”或“严重” 。 负责任地披露和报告漏洞是保持 WordPress 社区安全的一个组成部分。 本报告中的新内容:漏洞现在按活动安装数量而不是披露日期排列。

请与您的朋友分享这篇文章,以帮助宣传并让每个人都更安全地使用 WordPress。

希望每周将此报告发送到您的收件箱吗?
订阅每周电子邮件

WordPress新闻

随着一年中最繁忙的在线购物时间如火如荼,网络犯罪分子一直忙于“入侵地球”的尝试。 Wordfence 最近报告了在短短 36 小时内针对 160 万个 WordPress 网站的大规模攻击!

最后,BleepingComputer 最近报道称,黑客一直在将 skimmer 代码安装到随机插件中。 为了加强电子商务网站的安全性,我们建议要求对所有管理员用户进行双重身份验证、激活受信任的设备、文件更改检测,并定期阅读和审查 WordPress 安全日志。

WordPress 核心漏洞

最新版本的 WordPress 核心是 5.8.2。 作为最佳实践,请始终确保运行最新版本的 WordPress 核心!

WordPress 插件漏洞

在本节中,已经披露了最新的 WordPress 插件漏洞。 每个插件列表都包括漏洞类型、补丁版本号和严重等级。

1.元素

插件:元素
漏洞:DOM 跨站脚本
活跃安装: 5+ 百万
补丁版本:3.4.8
严重性评分

该漏洞已修复,因此您应该更新到版本 3.4.8。

2.UpdraftPlus

插件: UpdraftPlus
漏洞:反射跨站脚本
活跃安装: 3+ 百万
补丁版本:1.16.66
严重性评分

该漏洞已修复,因此您应该更新到版本 1.16.66。

3. WooCommerce PDF 发票和装箱单

插件: WooCommerce PDF 发票和装箱单
漏洞:反射跨站脚本
活跃安装:300,000+
补丁版本:2.10.5
严重性评分

该漏洞已修复,因此您应该更新到版本 2.10.5。

4. PublishPress 功能

插件: PublishPress 功能
漏洞:未经身份验证的任意选项更新到博客妥协
活跃安装:100,000+
补丁版本:2.3.1
严重性评分严重

该漏洞已修复,因此您应该更新到版本 2.3.1。

插件: PublishPress Capabilities Pro
漏洞:未经身份验证的任意选项更新到博客妥协
补丁版本:2.3.1
严重性评分严重

该漏洞已修复,因此您应该更新到版本 2.3.1。

5. 闲聊

插件:免费聊天
漏洞:反射跨站脚本
活跃安装:100,000+
补丁版本:2.8.3
严重性评分

该漏洞已修复,因此您应该更新到版本 2.8.3。

插件: Chaty Pro
漏洞:反射跨站脚本
补丁版本:2.8.2
严重性评分

该漏洞已修补,因此您应该更新到版本 2.8.2。

6. Elementor 的 PowerPack 插件

插件: Elementor 的 PowerPack 插件
漏洞:反射跨站脚本
活跃安装:60,000+
补丁版本:2.6.2
严重性评分

该漏洞已修复,因此您应该更新到版本 2.6.2。

7. 预订日历

插件:预订日历
漏洞:反射跨站脚本
活跃安装:60,000+
补丁版本:8.9.2
严重性评分

该漏洞已修复,因此您应该更新到版本 8.9.2。

8. 10Web 社交照片供稿

插件: 10Web 社交照片供稿
漏洞:反射跨站脚本(XSS)
活跃安装:60,000+
补丁版本:1.4.29
严重性评分

该漏洞已修复,因此您应该更新到版本 1.4.29。

9. 网站评论

插件:网站评论
漏洞:未经身份验证的存储跨站脚本
活跃安装:40,000+
补丁版本:5.17.3
严重性评分

该漏洞已修复,因此您应该更新到版本 5.17.3。

10. 加速包

插件:速度助推器包
漏洞:Admin+ SQL 注入
活跃安装:30,000+
补丁版本:4.3.3.1
严重性评分

该漏洞已修复,因此您应该更新到版本 4.3.3.1。

11. WooCommerce 的多供应商市场解决方案

插件: WooCommerce 的多供应商市场解决方案
漏洞:未经身份验证的 AJAX 调用
活跃安装:10,000+
补丁版本:3.8.4
严重性评分

该漏洞已修补,因此您应该更新到版本 3.8.4。

12. 模态窗口

插件:模态窗口
漏洞:RFI 通过 CSRF 导致 RCE
活跃安装:10,000+
补丁版本:5.2.2
严重性评分

该漏洞已修复,因此您应该更新到版本 5.2.2。

13.WP编码器

插件: WP编码器
漏洞:RFI 通过 CSRF 导致 RCE
活跃安装:10,000+
补丁版本:2.5.2
严重性评分

该漏洞已修复,因此您应该更新到版本 2.5.2。

14.注册魔术

插件: RegistrationMagic
漏洞:Admin+ SQL 注入
活跃安装:10,000+
补丁版本:5.0.1.6
严重性评分

该漏洞已修复,因此您应该更新到版本 5.0.1.6。

插件: RegistrationMagic
漏洞:身份验证绕过
活跃安装:10,000+
补丁版本:5.0.1.8
严重性评分严重

该漏洞已修复,因此您应该更新到版本 5.0.1.8。

15. 活动变得简单

插件:活动变得简单
漏洞:订阅者+ SQL 注入
活跃安装: 6,000+
补丁版本:2.2.36
严重性评分

该漏洞已修复,因此您应该更新到版本 2.2.36。

16. 按钮生成器

插件:按钮生成器
漏洞:RFI 通过 CSRF 导致 RCE
主动安装:5,000+
补丁版本:2.3.3
严重性评分

该漏洞已修复,因此您应该更新到版本 2.3.3。

17. Tab – 手风琴,常见问题

插件:选项卡 - 手风琴,常见问题解答
漏洞:未经身份验证的 AJAX 调用
主动安装:2000+
补丁版本:1.3.2
严重性评分严重

该漏洞已修补,因此您应该更新到版本 1.3.2。

18. 星级

插件:星级
漏洞:评论拒绝服务
主动安装:800+
补丁版本:3.5.1
严重性评分

该漏洞已修补,因此您应该更新到版本 1.3.2。

19. WPcalc

插件: WPcalc
漏洞:经过身份验证的 SQL 注入
修补版本无已知修复 - 插件已关闭
严重性评分

此漏洞尚未修补。 此插件已于 2021 年 12 月 9 日关闭。卸载并删除。

如何保护您的 WordPress 网站免受易受攻击的插件和主题的影响

从这份报告中可以看出,每周都会披露大量新的 WordPress 插件和主题漏洞。 我们知道很难掌握每个报告的漏洞披露,因此 iThemes Security Pro 插件可以轻松确保您的网站没有运行具有已知漏洞的主题、插件或 WordPress 核心版本。

1. 安装 iThemes Security Pro 插件

iThemes Security Pro 插件可强化您的 WordPress 网站,使其免受网站被黑客入侵的最常见方式。 通过 30 多种方法在一个易于使用的插件中保护您的网站。

2.启用站点扫描以检查已知漏洞

iThemes Security Pro 中的版本管理功能与站点扫描集成以保护您的站点。 易受攻击的主题、插件和 WordPress 核心版本将自动为您更新。

3.激活文件更改检测

快速发现安全漏洞的关键是监控您网站上的文件更改。 iThemes Security Pro 中的文件更改检测功能将扫描您网站的文件,并在您的网站发生更改时提醒您。

获取具有 24/7 网站安全监控的 iThemes Security Pro

iThemes Security Pro 是我们的 WordPress 安全插件,提供 50 多种方法来保护您的网站免受常见 WordPress 安全漏洞的侵害。 借助 WordPress、双重身份验证、暴力破解保护、强密码强制执行等功能,您可以为您的网站添加额外的安全层。

  • 插件和主题漏洞的站点扫描程序
  • 文件更改检测
  • 实时网站安全仪表板
  • WordPress 安全日志
  • 受信任的设备
  • 重新验证码
  • 蛮力保护
  • 两因素身份验证
  • 魔术登录链接
  • 权限提升
  • 泄露密码检查和拒绝

获取 iThemes 安全专业版