WordPress 漏洞综述:2019 年 11 月,第 1 部分

已发表: 2019-11-15

11 月上半月披露了几个新的 WordPress 插件和主题漏洞,因此我们希望让您了解。 在这篇文章中,我们介绍了最近的 WordPress 插件和主题漏洞,以及如果您在您的网站上运行易受攻击的插件或主题之一该怎么办。

我们将 WordPress 漏洞综述分为四个不同的类别:

  • 1. WordPress 核心
  • 2. WordPress 插件
  • 3. WordPress 主题
  • 4. 来自网络的漏洞

*我们将网络上的漏洞包括在内,因为了解 WordPress 生态系统之外的漏洞也很重要。 对服务器软件的利用可能会暴露敏感数据。 数据库泄露可能会暴露您站点上用户的凭据,从而为攻击者访问您的站点打开大门。

WordPress 核心安全更新

11 月上半月未披露任何新的 WordPress 漏洞。

WordPress 5.3 本周确实下降了,所以一定要尽快更新你的网站。 以下是 WordPress 5.3 中前 20 项新功能和改进的快速浏览。

WordPress 插件漏洞

今年 10 月发现了几个新的 WordPress 插件漏洞。 请确保按照以下建议的操作更新插件或完全卸载它。

1. 安全的SVG

安全 SVG 标志

Safe SVG 1.9.5 及以下版本容易受到跨站脚本绕过攻击。 该漏洞允许攻击者绕过 Safe SVG 添加的保护。

你应该做什么

该漏洞已被修补,您应该将其更新到 1.9.6 版。

2. WooCommerce 的货币切换器

WooCommerce 徽标的货币切换器

WooCommerce 版本 2.11.1 的货币切换器有一个安全限制绕过漏洞,允许攻击者启用当前未在设置中启用的货币。

你应该做什么

该漏洞已被修补,您应将其更新至 2.11.2 版。

3. Tidio 在线聊天

Tido 实时聊天徽标

Tidio Live Chat 4.1 及以下版本容易受到导致跨站点脚本攻击的跨站点请求伪造攻击。 该漏洞将允许攻击者诱骗管理员添加将呈现给所有访问者的恶意负载。

你应该做什么

该漏洞已被修补,您应该将其更新到 4.2 版。

4. IgniteUp – 即将推出和维护模式

IgniteUP 标志

IgniteUp – 即将推出,维护模式 3.4 及以下版本存在多个漏洞。

  • 任意文件删除
  • 电子邮件中的 HTML 注入和 CSRF
  • 存储跨站脚本
  • 披露订阅者的电子邮件地址
  • 任意删除订阅者
  • 任意插件的模板切换

你应该做什么

这些漏洞已被修补,您应该将其更新到 3.4.1 版。

5. Blog2Social:社交媒体自动发布和调度程序

Blog2Social 标志

Blog2Social:社交媒体自动发布和调度程序 5.8.1 版存在跨站点脚本漏洞。 该漏洞允许攻击者执行可以通过恶意链接执行的任意 HTML 和 JavaScript 代码。

你应该做什么

该漏洞已被修补,您应该将其更新到 5.9 版。

6. WP 谷歌评论滑块

WP Google Review Slide Logo

WP Google Review Slider 6.1 版容易受到 Authenticated SQL Injection 攻击。

你应该做什么

该漏洞已被修补,您应该将其更新到 6.2 版。

7. YITH 插件框架(39 个独立插件)

伊斯标志
WooCommerce 插件的 YITH 套件容易受到身份验证设置更改攻击。 该图表总结了所有 39 个易受攻击的 YITH 插件:

YITH插件漏洞总结

类型
漏洞
使固定
YITH 插件
YITH WooCommerce 愿望清单
该漏洞已被修补,您应该将其更新为
版本 2.2.14。
YITH CooCommerce 比较
该漏洞已被修补,您应该将其更新为
版本 2.3.15。
YITH WooCommerce 快速查看
该漏洞已被修补,您应该更新到版本
1.3.15.
YITH WooCommerce 缩放放大镜
该漏洞已被修补,您应该更新到版本
1.3.12.
WooCommerce Ajax 搜索
该漏洞已被修补,您应该更新到版本
1.7.1.
WooCommerce 徽章管理
该漏洞已被修补,您应该更新到版本
1.3.21.
WooCommerce 品牌附加组件
该漏洞已被修补,您应该将其更新为
版本 1.3.7。
WooCommerce 请求报价
该漏洞已被修补,您应该将其更新为
版本 1.4.9。
WooCommerce 社交登录
该漏洞已被修补,您应该将其更新为
版本 1.3.6。
WooCommerce 订单跟踪
该漏洞已被修补,您应该将其更新为
版本 1.2.11。
WooCommerce PDF 发票
该漏洞已被修补,您应该将其更新为
版本 1.2.13。
WooCommerce 预购
该漏洞已被修补,您应该将其更新为
版本 1.2.1。
WooCommerce 高级评论
该漏洞已被修补,您应该将其更新为
版本 1.2.1。
WooCommerce 产品附加组件
该漏洞已被修补,您应该将其更新为
版本 1.5.23。
WooCommerce 礼品卡
该漏洞已被修补,您应该将其更新为
版本 1.3.8。
WooCommerce 订阅
该漏洞已被修补,您应该更新它
到版本 1.3.6。
WooCommerce 附属公司
该漏洞已被修补,您应该更新它
到版本 1.6.3。
WooCommerce 购物车消息
该漏洞已被修补,您应该更新
它到版本 1.4.5。
WooCommerce 产品包
该漏洞已被修补,您应该
将其更新到 1.1.17 版。
WooCommerce 经常一起购买
该漏洞已被修补,您应该
将其更新到版本 1.2.14。
WooCommerce 多步骤结帐
该漏洞已被修补,您应该
将其更新到 1.7.5 版。
WooCommerce 的颜色和标签变化
该漏洞已被修补,您应该
将其更新到版本 1.8.13。
WooCommerce 的自定义感谢页面
该漏洞已被修补,您
应该将其更新到版本 1.1.8。
WooCommerce 的产品尺寸表
该漏洞已被修补,您
应该将其更新到版本 1.1.13。
WooCommerce 添加到购物车
该漏洞已被修补,您
应该将其更新到版本 1.3.13。
WooCommerce 批量产品编辑
该漏洞已被修补,并且
您应该将其更新到 1.2.15 版。
WooCommerce 条纹
该漏洞已被修补,并且
您应该将其更新到 2.0.2 版。
WooCommerce 等候名单
漏洞已修复,
你应该将它更新到版本
1.3.11.
WooCommerce 积分和奖励
漏洞已修复,
你应该将它更新到版本
1.3.6.
WooCommerce 高级评论
该漏洞已
打了补丁,你应该更新它
到版本 1.3.6。
高级退款系统
WooCommerce
该漏洞已
打了补丁,你应该更新
它到版本 1.0.12。
WooCommerce Authorize.net
支付网关
该漏洞已
打了补丁,你应该更新
它到版本 1.1.13。
WooCommerce 畅销书
该漏洞已
打了补丁,你应该
将其更新到版本 1.1.13。
WooCommerce MailChimp
该漏洞已
打了补丁,你应该
更新到版本
2.1.4.
WooCommerce 产品
供应商
该漏洞有
被修补了,而你
应该将其更新为
版本 3.4.1。
WooCommerce 问题
和答案
该漏洞有
被修补了,而你
应该将其更新为
版本 1.2.0。
WooCommerce 恢复
废弃的购物车
漏洞
已打补丁,
你应该
更新到版本
1.2.0.
贝宝快递
结帐
WooCommerce
漏洞
已打补丁,
你应该
将其更新为
版本 1.2.6。
桌面
通知
为了
WooCommerce

脆弱性
已经
打补丁,你
应该更新它
版本
1.2.8.

WordPress 主题

1. Zoner – 房地产主题

Zoner Real Estate Theme 4.1.1 及以下版本存在持久性跨站点脚本和不安全的直接对象引用漏洞。

你应该做什么

这些漏洞尚未修补。 请密切关注包含修复的更新的更新日志。

如何积极应对 WordPress 主题和插件漏洞

运行过时的软件是 WordPress 网站被黑的第一大原因。 拥有更新程序对于 WordPress 网站的安全性至关重要。 您应该每周至少登录一次您的站点以执行更新。

自动更新可以提供帮助

对于不经常更改的 WordPress 网站,自动更新是一个不错的选择。 缺乏关注往往会使这些网站被忽视并容易受到攻击。 即使采用推荐的安全设置,在您的站点上运行易受攻击的软件也会为攻击者提供进入您站点的入口点。

使用 iThemes Security Pro 插件的版本管理功能,您可以启用自动 WordPress 更新以确保您获得最新的安全补丁。 这些设置可以通过选项自动更新到新版本或在站点软件过时时提高用户安全性,从而帮助保护您的站点。

版本管理更新选项
  • WordPress 更新– 自动安装最新的 WordPress 版本。
  • 插件自动更新- 自动安装最新的插件更新。 除非您每天积极维护此站点并在更新发布后不久手动安装更新,否则应启用此功能。
  • 主题自动更新- 自动安装最新的主题更新。 除非您的主题具有文件自定义,否则应启用此功能。
  • 对插件和主题更新的精细控制——您可能有想要手动更新的插件/主题,或者延迟更新直到版本有时间证明稳定。 您可以选择自定义,以便将每个插件或主题分配为立即更新 ( Enable )、根本不自动更新 ( Disable ) 或延迟指定天数 ( Delay ) 进行更新。

加强和提醒关键问题
  • 运行过时软件时加强站点 - 当一个月未安装可用更新时,自动为站点添加额外保护。 当一个月未安装更新时,iThemes Security 插件将自动启用更严格的安全性。 首先,它将强制所有未启用双因素的用户在重新登录之前提供发送到其电子邮件地址的登录代码。其次,它将禁用 WP 文件编辑器(以阻止人们编辑插件或主题代码) 、XML-RPC pingbacks 并阻止每个 XML-RPC 请求的多次身份验证尝试(这两者都将使 XML-RPC 更强大地抵御攻击,而不必完全关闭它)。
  • 扫描其他旧的 WordPress 站点- 这将检查您的主机帐户上是否有其他过时的 WordPress 安装。 一个存在漏洞的过时 WordPress 站点可能允许攻击者破坏同一托管帐户上的所有其他站点。
  • 发送电子邮件通知– 对于需要干预的问题,会向管理员级别用户发送电子邮件。

来自网络的漏洞

1. WordPress 用户使用盗版插件和主题感染自己的网站

根据 WordFence 的说法,WP-VCD 恶意广告活动有所增加。 这种特殊的恶意软件非常令人讨厌,因为它很难从受感染的站点中完全删除,并且可以传播到服务器上的其他 WordPress 站点。 对于受 WP-VCD 恶意软件影响的网站所有者来说,最令人沮丧的是他们感染了自己的网站。 安装了付费插件和主题的免费和盗版版本的网站所有者得到的比他们讨价还价的要多一些。 盗版软件包含恶意代码,可创建带有 WP-VCD 病毒欢迎垫的后门。

在 iThemes WordPress 灾难周的第一天,我们介绍了如何防止安全灾难。 我们介绍的重要事情之一是通过仅安装来自可信来源的软件来限制 PHP 的利用机会。 当您知道它可以并且应该被阻止时,感染恶意软件的网站总是会变得更糟。

WordPress 漏洞摘要
2019 年 11 月,第 1 部分

类型
漏洞
使固定
    2019 年 11 月上半月未披露任何 WordPress Core 漏洞。
    插件

    Safe SVG 1.9.5 及以下版本容易受到跨站脚本绕过攻击。

    该漏洞已被修补,您应该将其更新到 1.9.6 版。

    WooCommerce 2.11.1 及以下版本的货币切换器容易受到安全限制绕过攻击。

    该漏洞已被修补,您应该将其更新到 2.11.2 版。

    Tidio Live Chat 4.1 及以下版本容易受到导致跨站点脚本攻击的跨站点请求伪造攻击。

    该漏洞已被修补,您应该更新到 4.2 版。

    IgniteUp – 即将推出,维护模式 3.4 及以下版本具有多个漏洞。

    该漏洞已被修补,您应该更新到版本 3.4.1。

    Blog2Social:社交媒体自动发布和调度程序 5.8.1 及以下版本容易受到跨站点脚本攻击。

    该漏洞已被修补,您应该更新到 5.9 版。

    WP Google Review Slider 6.1 及以下版本容易受到 Authenticated SQL Injectionattack 攻击。

    该漏洞已被修补,您应该更新到 6.2 版。

    YITH 插件框架 WooCommerce 插件的 YITH 套件容易受到身份验证设置更改攻击。

    该漏洞已被修补,您应该更新。

    WordPress 安全插件可以帮助保护您的网站

    iThemes Security Pro 是我们的 WordPress 安全插件,提供 30 多种方法来保护您的网站免受常见 WordPress 安全漏洞的侵害。 借助 WordPress 两因素身份验证、强力保护、强密码强制执行等,您可以为您的网站增加一层额外的安全性。

    获取提高 WordPress 安全性的简单提示。 下载新电子书: WordPress 安全袖珍指南
    现在就下载

    获取 iThemes 安全专业版