WordPress 漏洞综述:2020 年 5 月,第 2 部分

已发表: 2020-08-18

5 月下半月披露了新的 WordPress 插件和主题漏洞,因此我们希望让您了解。 在这篇文章中,我们介绍了最近的 WordPress 插件、主题和核心漏洞,以及如果您在网站上运行易受攻击的插件或主题之一该怎么办。

4 月下半月披露了新的 WordPress 插件和主题漏洞,因此我们希望让您了解。 在这篇文章中,我们介绍了最近的 WordPress 插件、主题和核心漏洞,以及如果您在网站上运行易受攻击的插件或主题之一该怎么办。

WordPress 漏洞综述分为四个不同的类别:

  1. WordPress 核心
  2. WordPress 插件
  3. WordPress 主题

每个漏洞的威胁等级为严重

WordPress 核心漏洞

2020 年 5 月尚未披露任何 WordPress 漏洞。

WordPress 插件漏洞

到目前为止,本月已经发现了几个新的 WordPress 插件漏洞。 请确保按照以下建议的操作更新插件或完全卸载它。

1. 谷歌的站点工具包——关键

低于 1.8.0 的 Google Site Kit 版本有一个提权漏洞,攻击者可以利用该漏洞成为 Search Console 所有者。

该漏洞已修补,您应该更新到 1.8.0 版。

2. 简单的推荐 -关键

低于 3.6 的 Easy Testimonials 版本有一个 Authenticated Stored Cross-Site Scripting 漏洞。

该漏洞已修补,您应该更新到 3.6 版。

3. WP 产品评论 –

低于 3.7.6 的 WP Product Review 版本具有未经身份验证的存储跨站点脚本漏洞。

该漏洞已修补,您应该更新到版本 3.7.6。

4. 登录/注册弹出窗口 -关键

低于 1.5 的 Login/Signup Popup 版本有一个 Authenticated Stored Cross-Site Scripting 漏洞。

该漏洞已修补,您应该更新到 1.5 版。

5. 10Web 的照片库 –关键

低于 1.5.55 的 10Web 版本的 Photo Gallery 具有未经身份验证的 SQL 注入漏洞。

该漏洞已修补,您应该更新到 1.5.55 版。

6. 团队成员 –关键

低于 5.0.4 的团队成员版本有一个 Authenticated Stored Cross-Site Scripting 漏洞。

该漏洞已修补,您应该更新到 5.0.4 版。

7. Visual Composer 网站生成器 –

低于 27.0 的 Visual Composer 网站生成器版本具有多个 Authenticated Cross-Site Scripting 漏洞。

该漏洞已修补,您应该更新到版本 27.0。

8. WordPress Infinite Scroll –关键

低于 5.3.2 的 WordPress Infinite Scroll 版本有一个 Authenticated SQL Injection 漏洞。

该漏洞已修补,您应该更新到版本 5.3.2。

9. WP 前端配置文件 –

低于 1.2.2 的 WP 前端配置文件版本具有跨站点请求伪造漏洞。

该漏洞已修补,您应该更新到 1.2.2 版。

10. 付费会员 Pro – Medium

付费会员专业徽标

低于 2.3.3 的付费会员专业版有一个 Authenticated SQL Injection 漏洞。

该漏洞已修补,您应该更新到 2.3.3 版。

11. ThirstyAffiliates Affiliate Link Manager – Medium

ThirstyAffiliates Affiliate Link Manager 版本低于 3.9.3 有一个 Authenticated Stored Criss-Site Scripting 漏洞。

该漏洞已修补,您应该更新到版本 3.9.3。

12. 官方 MailerLite 注册表单——关键

低于 1.4.5 的官方 MailerLite 注册表单版本存在多个 CSRF 漏洞。

该漏洞已修补,您应该更新到 1.4.5 版。

13. 附加 SweetAlert 联系表 7 –

1.0.8 以下的附加 SweetAlert Contact Form 7 版本有一个 Authenticated Stored Cross-Site Scripting 漏洞。

该漏洞已修补,您应该更新到 1.0.8 版。

14. Form Maker by 10Web –

以下 10Web 版本的 Form Maker 有 1.13.36 一个 Authenticated SQL Injection 漏洞。

该漏洞已修补,您应该更新到版本 1.13.36。

WordPress 主题

5 月下半月没有披露 WordPress 主题漏洞。

如何积极应对 WordPress 主题和插件漏洞

运行过时的软件是 WordPress 网站被黑的第一大原因。 拥有更新程序对于 WordPress 网站的安全性至关重要。 您应该每周至少登录一次您的站点以执行更新。

自动更新可以提供帮助

对于不经常更改的 WordPress 网站,自动更新是一个不错的选择。 缺乏关注往往会使这些网站被忽视并容易受到攻击。 即使采用推荐的安全设置,在您的站点上运行易受攻击的软件也会为攻击者提供进入您站点的入口点。

使用 iThemes Security Pro 插件的版本管理功能,您可以启用自动 WordPress 更新以确保您获得最新的安全补丁。 这些设置可以通过选项自动更新到新版本或在站点软件过时时提高用户安全性,从而帮助保护您的站点。

版本管理更新选项
  • WordPress 更新– 自动安装最新的 WordPress 版本。
  • 插件自动更新- 自动安装最新的插件更新。 除非您每天积极维护此站点并在更新发布后不久手动安装更新,否则应启用此功能。
  • 主题自动更新- 自动安装最新的主题更新。 除非您的主题具有文件自定义,否则应启用此功能。
  • 对插件和主题更新的精细控制——您可能有想要手动更新的插件/主题,或者延迟更新直到版本有时间证明稳定。 您可以选择自定义,以便将每个插件或主题分配为立即更新 ( Enable )、根本不自动更新 ( Disable ) 或延迟指定天数 ( Delay ) 进行更新。
加强和提醒关键问题
  • 运行过时软件时加强站点 - 当一个月未安装可用更新时,自动为站点添加额外保护。 当一个月未安装更新时,iThemes Security 插件将自动启用更严格的安全性。 首先,它将强制所有未启用双因素的用户在重新登录之前提供发送到其电子邮件地址的登录代码。其次,它将禁用 WP 文件编辑器(以阻止人们编辑插件或主题代码) 、XML-RPC pingbacks 并阻止每个 XML-RPC 请求的多次身份验证尝试(这两者都将使 XML-RPC 更强大地抵御攻击,而不必完全关闭它)。
  • 扫描其他旧的 WordPress 站点- 这将检查您的主机帐户上是否有其他过时的 WordPress 安装。 一个存在漏洞的过时 WordPress 站点可能允许攻击者破坏同一托管帐户上的所有其他站点。
  • 发送电子邮件通知– 对于需要干预的问题,会向管理员级别用户发送电子邮件。

管理多个 WP 站点? 从 iThemes 同步仪表板一次更新插件、主题和核心

iThemes Sync 是我们的中央仪表板,可帮助您管理多个 WordPress 站点。 从同步仪表板,您可以查看所有站点的可用更新,然后一键更新插件、主题和 WordPress 核心。 当有新版本更新可用时,您还可以收到每日电子邮件通知

免费试用 30 天同步

WordPress 安全插件可以帮助保护您的网站

iThemes Security Pro 是我们的 WordPress 安全插件,提供 30 多种方法来保护您的网站免受常见 WordPress 安全漏洞的侵害。 借助 WordPress、双因素身份验证、强力保护、强密码强制执行等,您可以为您的网站增加一层额外的安全性。

通过 10 个关键提示了解有关 WordPress 安全性的更多信息。 立即下载电子书: WordPress 安全指南
现在就下载