WordPress 漏洞综述:2020 年 12 月,第 1 部分

已发表: 2020-12-09

12 月上半月披露了新的 WordPress 插件和主题漏洞。 这篇文章涵盖了最近的 WordPress 插件、主题和核心漏洞,以及如果您在网站上运行易受攻击的插件或主题之一该怎么办。

WordPress 漏洞综述分为三个不同的类别:WordPress 核心、WordPress 插件和 WordPress 主题。

在 12 月,第 1 部分报告

    WordPress 核心漏洞

    本月没有披露任何新的 WordPress 核心漏洞。

    然而,一个新的主要版本的 WordPress 核心昨天刚刚发布。 WordPress 5.6 包含多项新功能和改进,因此请务必更新。

    WordPress 插件漏洞

    1.WPJobBoard

    低于 5.7.0 的 WPJobBoard 版本具有未经身份验证的 SQL 注入、反射型 XSS 和 XFS 漏洞。

    该漏洞已修补,您应该更新到 5.7.0 版。

    2. WP 谷歌地图插件

    低于 4.1.4 的 WP Google Map Plugin 版本有一个 Authenticated SQL Injection 漏洞。

    该漏洞已修补,您应该更新到版本 4.1.4。

    3. 好友出版社

    BuddyPress 版本低于 6.4.0 缺乏能力检查漏洞。

    该漏洞已修补,您应该更新到 6.4.0 版。

    4. 活动经理

    低于 5.9.8 的事件管理器版本具有跨站点脚本和 SQL 注入漏洞。

    该漏洞已修补,您应该更新到版本 5.9.8。

    5. 年龄门

    低于 2.13.5 的 Age Gate 版本具有未经身份验证的开放重定向漏洞。

    该漏洞已修补,您应该更新到版本 2.13.5。

    6. 粤语

    所有版本的 Canto 都有一个未经身份验证的盲 SSRF 漏洞。

    删除插件,直到发布安全修复程序。

    7. 配置文件生成器

    低于 3.3.3 的 Profile Builder 版本有一个 Authenticated Blind SQL Injection 漏洞。

    该漏洞已修补,您应该更新到 2.2.9 版。

    8.付费会员专业版

    低于 2.5.1 的付费会员专业版有一个 Authenticated Cross-Site Scripting 漏洞。

    该漏洞已修补,您应该更新到 2.5.1 版。

    9. Themify Portfolio Post

    Themify Portfolio Post 版本低于 1.1.6 一个经过身份验证的存储跨站点脚本漏洞。

    该漏洞已修补,您应该更新到 1.1.6 版。

    10.简单的WP SMTP

    低于 1.4.3 的 Easy WP SMTP 版本有一个调试日志泄露漏洞。

    该漏洞已修补,您应该更新到 1.4.3 版。

    WordPress 主题漏洞

    1. 威霸

    低于 1.2.1 的 Wibar 版本有一个 Authenticated Stored Cross-Site Scripting 漏洞。

    该漏洞已修补,您应该更新到 1.2.1 版。

    十二月安全提示:为什么需要通用用户支持

    每当您在网站上创建新用户时,您都在添加黑客可以利用的另一个入口点。 但有时您可能需要为您的网站提供一些外部帮助,例如当您寻求支持或雇用独立承包商后。 您需要一种安全可靠的方式来为您的网站添加临时管理员访问权限。

    授予外部访问您的网站:您典型的错误选择

    通常,您有两种选择来提供对您网站的外部访问...... 两者都不是很好

    1. 共享您的管理员用户的凭据

    您的第一个也是最糟糕的选择是共享您的 WordPress 管理员用户的用户名和密码。

    为什么共享您的管理员凭据是一个糟糕的主意

    • 降低安全性– 如果您共享用户的凭据,则必须禁用双因素身份验证以允许使用您的凭据的人登录。 谷歌在其博客上分享说,使用两步验证或两步验证可以阻止 100% 的自动机器人攻击。 禁用双因素身份验证,即使是很短的时间,也会大大降低您网站的安全性。
    • 不方便– 共享您的凭据需要您更改密码。 如果您忘记更改密码,则有一个或多个人可以随时访问您的网站。

    2. 为支持技术创建一个单独的用户

    虽然为支持专家创建一个全新的管理员用户比共享您的管理员凭据更好,但它仍然不是很好。

    为什么为支持技术创建用户是可怕的

    • 增加的漏洞——创建一个新的管理员用户会增加另一个可以被利用的入口点。 如果您没有适当的密码策略,支持技术人员可能会选择弱密码,使您的 WordPress 登录更容易受到攻击。
    • 不方便– 在需要外部帮助的任何时候完成设置新用户的过程非常耗时。 您必须创建新用户,然后记住在用户不再需要访问您的网站时将其删除。 从您的网站中删除任何未使用的用户是 WordPress 安全最佳实践。

    授予外部访问您网站的权限:更好的方法

    iThemes Security Pro 权限提升功能允许您临时授予用户额外的权限。

    权限提升使创建通用用户变得容易且安全,您可以将其提供给需要临时访问您网站的任何外部开发人员或支持技术人员。

    使用权限提升,您可以创建一个新用户并将其命名为 Support 并为其授予订阅者用户角色。 下次您需要提供对网站的临时访问权限时,您可以将支持用户从订阅者提升为管理员。 我们将在后面的文章中介绍如何执行此操作,但首先,让我们谈谈为什么权限提升是授予对您网站的访问权限的更好方法。

    为什么提权更好

    • 简单– 您无需在每次需要授予网站访问权限时都创建新用户。
    • 自动– 权限提升仅持续 24 小时。 24 小时后,用户将自动失去所有附加权限。 您不必记得删除用户或更改任何密码。
    • 不牺牲安全性– 您仍然可以要求此通用支持用户使用双因素电子邮件方法登录,这意味着您拥有与其他管理员用户相同的安全级别。 由于实际用户角色是订阅者,因此将其留在网站上不会带来任何实际风险。

    如何在 iThemes Security Pro 中使用权限提升

    首先,在安全设置的主页上启用权限提升

    您可以创建一个新用户并将其命名为 Support 并为其授予订阅者用户角色。 下次您需要临时访问您的网站时,请导航到您的支持用户的个人资料页面。

    更新电子邮件地址以允许外部支持人员请求新密码。 然后向下滚动,直到看到临时权限提升设置。 单击设置临时角色切换按钮,然后选择管理员。 用户现在将在接下来的 24 小时内拥有管理员访问权限。

    如果他们不需要完整的 24 小时,您可以从用户配置文件页面撤销权限提升。 如果您需要超过 24 小时,您可以在天数字段中设置您需要的确切天

    看看它怎么运作

    WordPress 安全插件可以帮助保护您的网站

    iThemes Security Pro 是我们的 WordPress 安全插件,提供 50 多种方法来保护您的网站免受常见 WordPress 安全漏洞的侵害。 借助 WordPress、双因素身份验证、强力保护、强密码强制执行等,您可以为您的网站增加一层额外的安全性。

    获取 iThemes 安全专业版

    漏洞综述