WordPress 漏洞综述:2020 年 3 月,第 2 部分

已发表: 2020-08-18

3 月下半月披露了新的 WordPress 插件和主题漏洞,因此我们希望让您了解。 在这篇文章中,我们介绍了最近的 WordPress 插件、主题和核心漏洞,以及如果您在网站上运行易受攻击的插件或主题之一该怎么办。

WordPress 漏洞综述分为四个不同的类别:

  1. WordPress 核心
  2. WordPress 插件
  3. WordPress 主题

WordPress 核心漏洞

2020 年没有任何公开的 WordPress 漏洞。

WordPress 插件漏洞

到目前为止,本月已经发现了几个新的 WordPress 插件漏洞。 请确保按照以下建议的操作更新插件或完全卸载它。

1 – 7. 多个插件

Buddypress Component Stats、摘要提交、WP 电子商务商店样式、web-portal-lite-client、post-pdf-export、blogtopdf 和 gboutique 都具有未经身份验证的 Dompdf 本地文件包含漏洞。

删除插件,它们已在 WordPress.org 插件存储库中关闭。

8. WordPress 文件上传

低于 4.13.0 的 WordPress 文件上传版本存在远程代码执行漏洞。

这些漏洞已被修补,您应该更新到 4.13.0 版。

9. 通讯

低于 6.5.4 的时事通讯版本存在 CSV 注入漏洞。

这些漏洞已被修补,您应该更新到 6.5.4 版。

10.LearnPress

低于 3.2.6.7 的 LearnPress 版本具有提权漏洞。

这些漏洞已被修补,您应该更新到版本 3.2.6.7。

11.自定义帖子类型用户界面

低于 1.7.4 的自定义帖子类型 UI 版本具有跨站点请求伪造和存储跨站点脚本漏洞。

这些漏洞已被修补,您应该更新到 1.7.4 版。

12. 响应式 Gutenberg 和 Elementor 模板导入器

Gutenberg 和 Elementor Templates Importer For Responsive 版本低于 2.2.6 有一个不受保护的 AJAX Endpoints 漏洞。

这些漏洞已被修补,您应该更新到 2.2.6 版。

13. 高级广告 – Ad Manager 和 AdSense

高级广告 – 低于 1.17.4 的 Ad Manager 和 AdSense 版本具有经过身份验证的反射跨站点脚本漏洞。

这些漏洞已被修补,您应该更新到 1.17.4 版。

14. 迁移和备份 WordPress – WPvivid 备份插件

迁移和备份 WordPress – 低于 0.9.36 的 WPvivid 备份插件版本缺少授权导致数据库泄漏漏洞。

这些漏洞已被修补,您应该更新到 0.9.36 版。

15. 饼干机器人

低于 3.6.1 的 Cookiebot 版本具有 Authenticated Reflected Cross-Site Scripting 漏洞。

这些漏洞已被修补,您应该更新到 3.6.1 版。

16. Supsystic 的数据表生成器

低于 1.9.92 的 Supsystic 版本的数据表生成器存在多个漏洞。

这些漏洞已被修补,您应该更新到 1.9.92 版。

17. product-lister-walmart

product-lister-walmart 有一个未经身份验证的远程执行代码漏洞。

删除插件,它已在 WordPress.org 插件存储库中关闭,等待审核。

18.多合一WP迁移

7.15以下的多合一WP迁移版本存在任意备份下载漏洞。

这些漏洞已被修补,您应该更新到 7.15 版。

WordPress 主题

1. 硕果累累

低于 3.8.2 的富有成果的主题版本有一个 Authenticated Stored Cross-Site Scripting 漏洞。

这些漏洞已被修补,您应该更新到版本 3.8.2。

如何积极应对 WordPress 主题和插件漏洞

运行过时的软件是 WordPress 网站被黑的第一大原因。 拥有更新程序对于 WordPress 网站的安全性至关重要。 您应该每周至少登录一次您的站点以执行更新。

自动更新可以提供帮助

对于不经常更改的 WordPress 网站,自动更新是一个不错的选择。 缺乏关注往往会使这些网站被忽视并容易受到攻击。 即使采用推荐的安全设置,在您的站点上运行易受攻击的软件也会为攻击者提供进入您站点的入口点。

使用 iThemes Security Pro 插件的版本管理功能,您可以启用自动 WordPress 更新以确保您获得最新的安全补丁。 这些设置可以通过选项自动更新到新版本或在站点软件过时时提高用户安全性,从而帮助保护您的站点。

版本管理更新选项
  • WordPress 更新– 自动安装最新的 WordPress 版本。
  • 插件自动更新- 自动安装最新的插件更新。 除非您每天积极维护此站点并在更新发布后不久手动安装更新,否则应启用此功能。
  • 主题自动更新- 自动安装最新的主题更新。 除非您的主题具有文件自定义,否则应启用此功能。
  • 对插件和主题更新的精细控制——您可能有想要手动更新的插件/主题,或者延迟更新直到版本有时间证明稳定。 您可以选择自定义,以便将每个插件或主题分配为立即更新 ( Enable )、根本不自动更新 ( Disable ) 或延迟指定天数 ( Delay ) 进行更新。
加强和提醒关键问题
  • 运行过时软件时加强站点 - 当一个月未安装可用更新时,自动为站点添加额外保护。 当一个月未安装更新时,iThemes Security 插件将自动启用更严格的安全性。 首先,它将强制所有未启用双因素的用户在重新登录之前提供发送到其电子邮件地址的登录代码。其次,它将禁用 WP 文件编辑器(以阻止人们编辑插件或主题代码) 、XML-RPC pingbacks 并阻止每个 XML-RPC 请求的多次身份验证尝试(这两者都将使 XML-RPC 更强大地抵御攻击,而不必完全关闭它)。
  • 扫描其他旧的 WordPress 站点- 这将检查您的主机帐户上是否有其他过时的 WordPress 安装。 一个存在漏洞的过时 WordPress 站点可能允许攻击者破坏同一托管帐户上的所有其他站点。
  • 发送电子邮件通知– 对于需要干预的问题,会向管理员级别用户发送电子邮件。

管理多个 WP 站点? 从 iThemes 同步仪表板一次更新插件、主题和核心

iThemes Sync 是我们的中央仪表板,可帮助您管理多个 WordPress 站点。 从同步仪表板,您可以查看所有站点的可用更新,然后一键更新插件、主题和 WordPress 核心。 当有新版本更新可用时,您还可以收到每日电子邮件通知

试用 30 天免费同步了解更多

WordPress 安全插件可以帮助保护您的网站

iThemes Security Pro 是我们的 WordPress 安全插件,提供 30 多种方法来保护您的网站免受常见 WordPress 安全漏洞的侵害。 借助 WordPress、双因素身份验证、强力保护、强密码强制执行等,您可以为您的网站增加一层额外的安全性。

通过 10 个关键提示了解有关 WordPress 安全性的更多信息。 立即下载电子书: WordPress 安全指南
现在就下载