WordPress 漏洞新聞，2021 年 11 月

WordPress 漏洞意味著 WordPress 的弱點。 在這篇 11 月 WordPress 漏洞新聞中，我們將重點關注 2020 年 10 月和 2020 年 11 月發現的 WordPress 易受攻擊的插件和 WordPress 安全問題。

安全性中最重要和最關鍵的部分是隨時了解 CMS 中的安全漏洞，例如 WordPress 等。

這就是為什麼我們分析了易受攻擊的插件和最新發現的弱點，以確保您的網站通過不使用此類不受保護的插件和 WordPress 更新來順利運行。

如果您使用 WebARX Web 應用程序防火牆，您的網站將免受所有安全問題和漏洞的影響。 但確保您的網站安全的最佳替代方法是刪除或更新您網站上未受保護的插件。

WordPress 漏洞新聞，2020 年 10 月

WordPress + 微軟 Office 365

要訪問您的 WordPress 網站，用戶可以使用他們的學校或公司帳戶使用 WPO365|LOGIN 登錄。 密碼，無需用戶名。 此外，您將能夠在 Microsoft Graph 的幫助下發送電子郵件，而不是使用您網站上的 SMTP。

漏洞： JWT 簽名驗證繞過
在版本中解決： 11.7
受影響的網站總數： 1000+

此插件不驗證 JWT 簽名，不允許授權檢查，繞過身份驗證，並允許攻擊者形成令牌。

10Web 的滑塊

Slider by 10Web 是一種在主題標題、網站帖子和頁面或任何其他位置添加響應式、快速加載和 SEO 友好滑塊的替代方法。

該插件與視頻和圖像兼容，並允許將兩種內容添加到幻燈片上。 您可以非常輕鬆地為其添加不同的過渡效果。

漏洞：多個經過身份驗證的 SQL 注入
在版本中解決： 1.2.36
受影響的網站總數： 50 000+

該插件的兩個易受攻擊的功能是 save_slider_db 和 bulk_action、export_full。 這兩個功能允許授權用戶或管理員或類似貢獻者+“角色選項”的媒體假設另一個用戶被打開以執行稱為 SQL 注入的攻擊。

PoC 的宣布日期為 2020 年 10 月 13 日，不時向用戶提供更新。

WP課程

WP Courses 是一個 WordPress 免費插件，可用於 LMS 通過拖放工具、直觀的界面、視頻教程等在您的網站上管理和創建課程。 這個插件有超過 900 多個活動安裝。

該插件可以與任何其他模板一起添加，因為它可以無縫工作。 它還提供了許多選項，可以幫助您匹配您的願景和您的網站設計。 該插件易於導航，因為它不需要任何編碼或技術知識。

漏洞：由於訪問控制損壞導致課程內容洩露
在版本中解決： 2.0.29
受影響的網站總數： 20,000+

通過 WordPress REST API，WP 課程中的問題可能會使您的課程可供所有人使用。

簡單：按

對於您的 WordPress 網站，Simple: Press 是論壇軟件。 通過一些額外的功能，您可以輕鬆地啟動您的論壇。 它集成到安全模型和 WordPress 用戶模型中，最多可以提升到數千個用戶。

儘管有其他論壇插件，但該插件的功能是由組織創建和支持的。 該選項可用於刪除或卸載，與 WordPress 登錄和註冊集成，與會員訂閱插件集成等等。

漏洞：由於訪問控制損壞導致RCE
在版本中解決： 6.6.1
受影響的網站總數： 600+

Simple: Press 插件中損壞的訪問控制問題已修復，該問題影響 6.6.0 及以下版本。

XCloner 插件

這個插件將幫助您恢復和備份您的 WordPress 網站。

漏洞：跨站請求偽造
在版本中解決： 4.2.13
受影響的網站總數： 30,000+

網站備份可以發送到 Google Drive、SFTP、Amazon、Dropbox、Backblaze 和其他一些位置。 您可以使用 XCloner 內置的調度程序自動或手動創建備份。

XCloner 提供了不同的安全功能，例如 XCloner 將在 WordPress 核心的自動更新、主題、插件或語言文件之前創建主題、核心、插件、語言文件備份。 尋找安全網站和隱私的人應該選擇 XCloner。

拖放多個文件上傳 - 聯繫表格 7

該插件易於使用且直接擴展，專門用於聯繫表格 7。該插件將允許用戶借助拖放功能添加不同的文件。 還可以添加 Web 表單的通用瀏覽文件。

該插件的特點是限制上傳文件的數量，限制每個字段的文件大小，移動響應，支持任何瀏覽器，支持多種語言，炫酷的進度條，拖放功能，文件大小驗證，文件類型驗證，等等。

漏洞：未經驗證的遠程代碼執行
在版本中解決： 1.3.5.5
受影響的網站總數： 20,000+

該工具利用了不允許您上傳的危險文件擴展名的黑名單。 但是，擴展名 .phpt 和 .phar 不在黑名單上，不能用於添加任意 PHP 代碼。

更多 25+ WordPress 插件被發現存在 CSRF 攻擊漏洞，其中一些是

• 付費會員專業版
• 優惠券創建者
• 有趣的建設者
• 分類單選按鈕
• 酷時間線
• 簡單的推薦
• 多坎
• Feedly 的 RSS 聚合器
• WP酒店預訂
• WP 項目經理等等。

相關文章：為您的下一個網站選擇的項目的最佳無錯誤 WordPress 主題

WordPress 漏洞新聞，2020 年 11 月

GDPR CCPA 合規支持

它也被稱為 WordPress 用戶的 Ninja GDPR 合規插件。

漏洞： PHP 對像上的非官方注入
在版本中解決： 2.4
受影響的網站總數： 1000+

GDPR CCPA 合規性支持插件有超過 1000 個活動安裝它已經解決了一個影響 2.1 及以下版本的不安全反序列化漏洞，該漏洞可能會導致非官方的 PHP 對象注入。 2020 年 11 月 17 日。將顯示 PoC 以向用戶更新所有信息。

微信電子商務

WelCart 可以免費使用。 它有 20,000 多個活動安裝，並提供 3 種不同的語言版本，即英語（美國）、日語和越南語。 2020 年 10 月 9 日，該插件中發現了該漏洞。

漏洞： PHP 對像上的非官方注入
在版本中解決： 1.9.36
受影響的網站總數： 20,000+

WordPress 用戶可以使用 Welcart 插件來構建具有不同客戶帳戶區域的購物網站。 它不使用與 WordPress 相同的 cookie。 它使用自己的。

這有助於您跟踪用戶會話。 使用此插件，您將能夠銷售任何類型的產品，包括基於訂閱的產品、數字產品以及實體產品。 對商品照片、產品和類別的數量沒有指定限制。

AccessPress 社會圖標

您將能夠直接從網站創建不同的社交圖標並添加指向您有效社交媒體帳戶的鏈接。 它擁有超過 40,000 多個活動安裝，並支持 WordPress 4.5 及更高版本。

漏洞：經過身份驗證的 SQL 注入
在版本中解決： 1.8.1
受影響的網站總數： 40 000+

它的 widget 屬性沒有被這個插件清除，它允許具有 post 權限的帳戶（例如作者）執行 SQL 注入。

非技術人員也可以很容易地鏈接到網站上的社交資料。 您可以自己創建和個性化精美的圖標。 提供了 12 種不同的設計集，可用於選擇圖標。

該插件的主要特點是易於集成、工具提示、更多樣式、實時實時預覽、響應式、交互式、自己的佈局等等。

WordPress

WordPress 5.5.2 版本於 2020 年 10 月 29 日發布。引入此版本是為了修復 WordPress 5.5 版本影響的問題，包括反射 XSS 漏洞。 此外，它還修復了 5.5 版中發現的一些回歸問題

漏洞：反射型 XSS
在版本中解決： 5.5.2
受影響的網站總數：不適用

在每個 WordPress 用戶帳戶和用戶的網站上，這個問題都很容易受到影響。 攻擊者可能會欺騙不知情的用戶單擊受感染的鏈接或訪問被誘殺的網站。 這個問題的受害程度中等，因為它需要某種社會工程。

SW Ajax WooCommerce 搜索

SW Ajax WooCommerce Search 是 WooCommerce 的 WordPress 插件，具有 Ajax 搜索功能。

漏洞：非官方反映的 XFS & XSS
在版本中解決： 1.2.8
受影響的網站總數：不適用

結論：
11 月 WordPress 漏洞新聞 – 每天都有許多 WordPress 網站受到感染和黑客攻擊。 一些數據顯示，每天有超過 30,000 個網站受到多種惡意軟件的影響。

互聯網上的每個開放網站都是可供所有人使用的資源，這也是大多數網站成為目標的主要原因。

重要的是要知道這樣一個事實，即一旦您在網上開展業務，它就可以作為公眾使用。 因此，它很容易成為目標。

為了避免在您的網站上添加易受攻擊的插件，保持您的插件和網站是最新的很重要。 如果可能，您可以啟用自動更新。

如果您使用的是上面提到的插件，那麼是時候用新版本更新它了，否則您的網站將受到嚴重影響。