WordPress 漏洞综述：2020 年 1 月，第 2 部分

1. CarSpot

CarSpot 2.2.0 及以下版本有多个漏洞，包括 2 个单独的 Authenticated Persistent Cross-Site Scripting 漏洞和一个不安全的直接对象引用漏洞。

你应该做什么

运行过时的软件是 WordPress 网站被黑的第一大原因。 拥有更新程序对于 WordPress 网站的安全性至关重要。 您应该每周至少登录一次您的站点以执行更新。

自动更新如何提供帮助

对于不经常更改的 WordPress 网站，自动更新是一个不错的选择。 缺乏关注往往会使这些网站被忽视并容易受到攻击。 即使采用推荐的安全设置，在您的站点上运行易受攻击的软件也会为攻击者提供进入您站点的入口点。

使用 iThemes Security Pro 插件的版本管理功能，您可以启用自动 WordPress 更新以确保您获得最新的安全补丁。 这些设置可以通过选项自动更新到新版本或在站点软件过时时提高用户安全性，从而帮助保护您的站点。

版本管理更新选项

• WordPress 更新– 自动安装最新的 WordPress 版本。
• 插件自动更新- 自动安装最新的插件更新。 除非您每天积极维护此站点并在更新发布后不久手动安装更新，否则应启用此功能。
• 主题自动更新- 自动安装最新的主题更新。 除非您的主题具有文件自定义，否则应启用此功能。
• 对插件和主题更新的精细控制——您可能有想要手动更新的插件/主题，或者延迟更新直到版本有时间证明稳定。 您可以选择自定义，以便将每个插件或主题分配为立即更新 ( Enable )、根本不自动更新 ( Disable ) 或延迟指定天数 ( Delay ) 进行更新。

加强和提醒关键问题

• 运行过时软件时加强站点 - 当一个月未安装可用更新时，自动为站点添加额外保护。 当一个月未安装更新时，iThemes Security 插件将自动启用更严格的安全性。 首先，它将强制所有未启用双因素的用户在重新登录之前提供发送到其电子邮件地址的登录代码。其次，它将禁用 WP 文件编辑器（以阻止人们编辑插件或主题代码） 、XML-RPC pingbacks 并阻止每个 XML-RPC 请求的多次身份验证尝试（这两者都将使 XML-RPC 更强大地抵御攻击，而不必完全关闭它）。
• 扫描其他旧的 WordPress 站点- 这将检查您的主机帐户上是否有其他过时的 WordPress 安装。 一个存在漏洞的过时 WordPress 站点可能允许攻击者破坏同一托管帐户上的所有其他站点。
• 发送电子邮件通知– 对于需要干预的问题，会向管理员级别用户发送电子邮件。

管理多个 WP 站点？ 从 iThemes 同步仪表板一次跨多个站点更新插件、主题和 WP 核心

iThemes Sync 是我们的中央仪表板，可帮助您管理多个 WordPress 站点。 从同步仪表板，您可以查看所有站点的可用更新，然后一键更新插件、主题和 WordPress 核心。 当有新版本更新可用时，您还可以收到每日电子邮件通知。

试用 30 天免费同步了解更多

来自网络的漏洞

我们将网络上的漏洞包括在内，因为了解 WordPress 生态系统之外的漏洞也很重要。 对服务器软件的利用可能会暴露敏感数据。 数据库泄露可能会暴露您站点上用户的凭据，从而为攻击者访问您的站点打开大门。

1.缩放

Zoom 修复了一个可以向黑客开放会议的缺陷。 每个 Zoom 会议都会分配一个随机生成的 9-10 位会议 ID。 Check Point 安全研究人员能够正确猜测一些会议 ID 并成功加入一些 Zoom 通话。

Check Point 向 Zoom 披露了该漏洞，通过使用加密强 ID 替换随机生成的会议 ID 号、为会议 ID 号添加更多数字以及将密码要求设为更改计划的默认选项，从而修复了该缺陷

WordPress 安全插件可以帮助保护您的网站

iThemes Security Pro 是我们的 WordPress 安全插件，提供 30 多种方法来保护您的网站免受常见 WordPress 安全漏洞的侵害。 借助 WordPress、双因素身份验证、强力保护、强密码强制执行等，您可以为您的网站增加一层额外的安全性。

获取 iThemes 安全性