WordPress 漏洞综述:2020 年 10 月,第 2 部分

已发表: 2021-03-10

10 月下半月披露了相当多的新 WordPress 插件漏洞。 在这篇文章中,我们介绍了最近的 WordPress 插件、主题和核心漏洞,以及如果您在网站上运行易受攻击的插件或主题之一该怎么办。

WordPress 漏洞综述分为三个不同的类别:WordPress 核心、WordPress 插件和 WordPress 主题。

在 10 月,第 2 部分报告

    WordPress 核心漏洞

    WordPress 5.5.2 于 10 月 29 日发布,包含 10 个 WordPress 核心安全修复程序。

    以下是 WordPress 5.5.2 发布帖子中提到的安全修复程序列表。

    • 强化反序列化请求。
    • 修复以禁用来自多站点网络上禁用站点的垃圾邮件嵌入
    • 修复了可能导致全局变量 XSS 的安全问题。
    • 修复了 XML-RPC 中的权限提升问题。
    • 修复了围绕通过 XML-RPC 发表评论的权限提升问题。
    • 修复了 DoS 攻击可能导致 RCE 的安全问题。
    • 删除了在 post slug 中存储 XSS 的方法。
    • 删除了绕过可能导致任意文件删除的受保护元数据的方法。
    • 删除了可能导致 CSRF 的方法。
    漏洞已被修补,因此将 WordPress 更新至 5.5.2 版。

    WordPress 插件漏洞

    1. 实时聊天 – 实时支持

    实时聊天 - 低于 3.2.0 的实时支持版本具有跨站点请求伪造漏洞。

    该漏洞已修补,您应该更新到版本 3.2.0。

    2. 快速聊天

    Quick Chat 的所有版本都有一个未经身份验证的存储跨站点脚本漏洞。

    删除插件,直到发布安全修复程序。

    3. Orbisius 的 Child Theme Creator

    Orbisius 1.5.2以下版本的Child Theme Creator有一个CSRF to Arbitrary File Modification/Creation漏洞。

    该漏洞已修补,您应该更新到 1.5.2 版。

    4. 现实

    Realia 的所有版本都有一个未经身份验证的 IDOR,导致任意删除后漏洞。

    删除插件,直到发布安全修复程序。

    5. 评论新闻

    评论 低于 2.7.2 的 Press 版本具有未经身份验证的跨帧脚本漏洞。

    该漏洞已修补,您应该更新到版本 2.7.2。

    6. WordPress 超级商店查找器

    WordPress 6.2 以下版本的 Super Store Finder 存在未经身份验证的任意文件上传漏洞。

    该漏洞已修补,您应该更新到 6.2 版。

    7. WordPress 超级互动地图

    WordPress 2.0 以下版本的超级交互式地图存在未经身份验证的任意文件上传漏洞。

    该漏洞已修补,您应该更新到 2.0 版。

    8. WordPress 超级标志展示

    WordPress 2.3 以下版本的 Super Logos Showcase 存在未经身份验证的任意文件上传漏洞。

    该漏洞已修补,您应该更新到 2.3 版。

    9.简单的下载监视器

    低于 3.8.9 的 Simple Download Monitor 版本具有未经身份验证的跨站点脚本和 SQL 注入漏洞。

    该漏洞已修补,您应该更新到版本 3.8.9。

    10.登录器

    低于 1.6.4 的登录程序版本具有未经身份验证的 SQL 注入漏洞。

    该漏洞已修补,您应该更新到 1.6.4 版。

    11. Helios Solutions 品牌标志滑块

    所有版本的 Helios Solutions Brand Logo Slider 都有一个经过身份验证的任意文件上传漏洞。

    删除插件,直到发布安全修复程序。

    12.CM下载管理器

    低于 2.8.0 的 CM 下载管理器版本有一个 Authenticated Cross-Site Scripting 漏洞。

    该漏洞已修补,您应该更新到 2.8.0 版。

    13. 高级预订日历

    低于 1.6.2 的高级预订日历版本具有未经身份验证的 SQL 注入漏洞。

    该漏洞已修补,您应该更新到 1.6.2 版。

    WordPress 主题漏洞

    10 月下半月没有报告任何 WordPress 主题漏洞。

    十月安全提示:为什么你应该记录网站安全活动

    安全日志记录应该是 WordPress 安全策略的重要组成部分。 为什么?

    日志记录和监控不足会导致检测安全漏洞的延迟。 大多数违规研究表明,检测违规的时间超过 200 天!

    这段时间允许攻击者破坏其他系统、修改、窃取或破坏更多数据。 因此,“日志记录不足”登上了 OWASP Web 应用程序安全风险的前 10 名。

    WordPress 安全日志在您的整体安全策略中有几个好处,可以帮助您:

    1. 识别并阻止恶意行为。
    2. 发现可以提醒您违规的活动。
    3. 评估造成了多少损害。
    4. 帮助修复被黑网站。

    如果您的网站确实遭到黑客入侵,您将需要最好的信息来帮助快速调查和恢复。

    好消息是 iThemes Security Pro 可以帮助您实现网站日志记录。 iThemes Security Pro 的 WordPress 安全日志会为您跟踪所有这些网站活动:

    • WordPress 蛮力攻击
    • 文件更改
    • 恶意软件扫描
    • 用户活动

    然后,您的日志中的统计信息会显示在实时 WordPress 安全仪表板中,您可以从 WordPress 管理仪表板查看。

    查看此功能聚焦帖子,我们在其中解压缩了使用 iThemes Security Pro 将 WordPress 安全日志添加到您的网站的所有步骤。

    看看它怎么运作

    WordPress 安全插件可以帮助保护您的网站

    iThemes Security Pro 是我们的 WordPress 安全插件,提供 50 多种方法来保护您的网站免受常见 WordPress 安全漏洞的侵害。 借助 WordPress、双因素身份验证、强力保护、强密码强制执行等,您可以为您的网站增加一层额外的安全性。

    获取 iThemes 安全专业版