WordPress 漏洞综述:2020 年 4 月,第 1 部分

已发表: 2020-08-18

4 月上半月披露了新的 WordPress 插件和主题漏洞,因此我们希望让您了解。 在这篇文章中,我们介绍了最近的 WordPress 插件、主题和核心漏洞,以及如果您在网站上运行易受攻击的插件或主题之一该怎么办。

WordPress 漏洞综述分为四个不同的类别:

  1. WordPress 核心
  2. WordPress 插件
  3. WordPress 主题

WordPress 核心漏洞

2020 年没有任何公开的 WordPress 漏洞。

WordPress 插件漏洞

到目前为止,本月已经发现了几个新的 WordPress 插件漏洞。 请确保按照以下建议的操作更新插件或完全卸载它。

1. IMPress for IDX Broker

IMPress for IDX Broker 低于 2.6.2 版本具有通过未受保护的“idx_update_recaptcha_key”漏洞进行身份验证后创建、修改/删除和身份验证存储跨站点脚本 (XSS)。

这些漏洞已被修补,您应该更新到 2.6.2 版。

2. 用于 WordPress 的 CM 弹出横幅

低于 1.4.11 的 WordPress 版本的 CM 弹出横幅具有 Authenticated Stored XSS 漏洞。

该漏洞已被修补,您应该更新到 1.4.11 版。

3. 排名数学

低于 1.0.4.1 的 Rank Math 版本具有重定向创建和权限提升漏洞。

这些漏洞已被修补,您应该更新到 1.4.1 版。

4. 升降机LMS

3.37.15 以下的 LifterLMS 版本存在任意文件写入漏洞。

该漏洞已被修补,您应该更新到版本 3.37.15。

5. 元素页面构建器

低于 2.9.6 的 Elementor Page Builder 版本有一个 Authenticated Safe Mode Privilege Escalation 漏洞。

该漏洞已被修补,您应该更新到版本 2.9.6。

6.LearnDash

低于 3.1.6 的 LearnDash 版本具有未经身份验证的 SQL 注入漏洞。

该漏洞已被修补,您应该更新到版本 3.1.6。

7. Auth0登录

4.0.0以下的Auth0版本登录存在多个漏洞。

该漏洞已被修补,您应该更新到 4.0.0 版。

8. WordPress WP-高级搜索

低于 3.3.6 的 WordPress WP-Advanced-Search 版本存在未经身份验证的 SQL 注入漏洞。

该漏洞已被修补,您应该更新到版本 3.3.6。

9. 联系表格 7 日期选择器

Contact Form 7 Datepicker 的所有版本都有一个 Authenticated Stored Cross-Site Scripting 漏洞。

删除插件,它已在 WordPress.org 插件存储库中关闭,等待审核。

10. 艺术-图片-画廊

所有版本的 Art-Picture-Gallery 都存在未经身份验证的任意文件上传漏洞。

删除插件,它已在 WordPress.org 插件存储库中关闭,等待审核。

11. WP 上次修改信息

低于 1.6.6 的 WP Last Modified Info 版本有一个 Authenticated Stored XSS 漏洞。

该漏洞已被修补,您应该更新到 1.6.6 版。

12. WP 铅加 X

WP Lead Plus X 的所有版本都存在跨站请求伪造漏洞。

删除插件,直到发布补丁。

13. 古腾堡的终极插件

1.14.8 以下 Gutenberg 版本的 Ultimate Addons 有一个 Authenticated Settings Change 漏洞。

该漏洞已被修补,您应该更新到 1.14.8 版。

14. WooCommerce 的 Klarna Checkout

低于 2.0.10 的 WooCommerce 版本的 Klarna Checkout 有一个 Authenticated Arbitrary Plugin Deactivation, Activation and Installation 漏洞。

15. Tickera – WordPress 活动票务

Tickera – 低于 3.4.6.9 的 WordPress Event Ticketing 版本存在未经身份验证的敏感数据暴露漏洞。

该漏洞已被修补,您应该更新到版本 3.4.6.9。

16. 响应式投票

所有版本的 Responsive Poll 都对 AJAX 调用进行了损坏的身份验证和缺失的功能检查。

删除插件,它已在 WordPress.org 插件存储库中关闭,等待审核。

17. 媒体库助理

低于 2.82 的媒体库助手版本有一个 Authenticated Stored Cross-Site Scripting 和 Unauthenticated Limited Local File Inclusion 漏洞。

该漏洞已被修补,您应该更新到 2.82 版。

WordPress 主题

2020 年 4 月尚未披露任何主题漏洞。

如何积极应对 WordPress 主题和插件漏洞

运行过时的软件是 WordPress 网站被黑的第一大原因。 拥有更新程序对于 WordPress 网站的安全性至关重要。 您应该每周至少登录一次您的站点以执行更新。

自动更新可以提供帮助

对于不经常更改的 WordPress 网站,自动更新是一个不错的选择。 缺乏关注往往会使这些网站被忽视并容易受到攻击。 即使采用推荐的安全设置,在您的站点上运行易受攻击的软件也会为攻击者提供进入您站点的入口点。

使用 iThemes Security Pro 插件的版本管理功能,您可以启用自动 WordPress 更新以确保您获得最新的安全补丁。 这些设置可以通过选项自动更新到新版本或在站点软件过时时提高用户安全性,从而帮助保护您的站点。

版本管理更新选项
  • WordPress 更新– 自动安装最新的 WordPress 版本。
  • 插件自动更新- 自动安装最新的插件更新。 除非您每天积极维护此站点并在更新发布后不久手动安装更新,否则应启用此功能。
  • 主题自动更新- 自动安装最新的主题更新。 除非您的主题具有文件自定义,否则应启用此功能。
  • 对插件和主题更新的精细控制——您可能有想要手动更新的插件/主题,或者延迟更新直到版本有时间证明稳定。 您可以选择自定义,以便将每个插件或主题分配为立即更新 ( Enable )、根本不自动更新 ( Disable ) 或延迟指定天数 ( Delay ) 进行更新。
加强和提醒关键问题
  • 运行过时软件时加强站点 - 当一个月未安装可用更新时,自动为站点添加额外保护。 当一个月未安装更新时,iThemes Security 插件将自动启用更严格的安全性。 首先,它将强制所有未启用双因素的用户在重新登录之前提供发送到其电子邮件地址的登录代码。其次,它将禁用 WP 文件编辑器(以阻止人们编辑插件或主题代码) 、XML-RPC pingbacks 并阻止每个 XML-RPC 请求的多次身份验证尝试(这两者都将使 XML-RPC 更强大地抵御攻击,而不必完全关闭它)。
  • 扫描其他旧的 WordPress 站点- 这将检查您的主机帐户上是否有其他过时的 WordPress 安装。 一个存在漏洞的过时 WordPress 站点可能允许攻击者破坏同一托管帐户上的所有其他站点。
  • 发送电子邮件通知– 对于需要干预的问题,会向管理员级别用户发送电子邮件。

管理多个 WP 站点? 从 iThemes 同步仪表板一次更新插件、主题和核心

iThemes Sync 是我们的中央仪表板,可帮助您管理多个 WordPress 站点。 从同步仪表板,您可以查看所有站点的可用更新,然后一键更新插件、主题和 WordPress 核心。 当有新版本更新可用时,您还可以收到每日电子邮件通知

试用 30 天免费同步了解更多

WordPress 安全插件可以帮助保护您的网站

iThemes Security Pro 是我们的 WordPress 安全插件,提供 30 多种方法来保护您的网站免受常见 WordPress 安全漏洞的侵害。 借助 WordPress、双因素身份验证、强力保护、强密码强制执行等,您可以为您的网站增加一层额外的安全性。

通过 10 个关键提示了解有关 WordPress 安全性的更多信息。 立即下载电子书: WordPress 安全指南
现在就下载