WordPress 漏洞報告:2021 年 12 月,第 3 部分

已發表: 2021-12-16

易受攻擊的插件和主題是 WordPress 網站被黑客入侵的第一大原因。 由 WPScan 提供支持的每週 WordPress 漏洞報告涵蓋最近的 WordPress 插件、主題和核心漏洞,以及如果您在網站上運行易受攻擊的插件或主題之一該怎麼辦。

每個漏洞的嚴重性等級為“”、 “中” 、“”或“嚴重” 。 負責任地披露和報告漏洞是保持 WordPress 社區安全的一個組成部分。 本報告中的新內容:漏洞現在按活動安裝數量而不是披露日期排列。

請與您的朋友分享這篇文章,以幫助宣傳並讓每個人都更安全地使用 WordPress。

希望每週將此報告發送到您的收件箱嗎?
訂閱每週電子郵件

WordPress新聞

隨著一年中最繁忙的在線購物時間如火如荼,網絡犯罪分子一直忙於“入侵地球”的嘗試。 Wordfence 最近報告了在短短 36 小時內針對 160 萬個 WordPress 網站的大規模攻擊!

最後,BleepingComputer 最近報導稱,黑客一直在將 skimmer 代碼安裝到隨機插件中。 為了加強電子商務網站的安全性,我們建議要求對所有管理員用戶進行雙重身份驗證、激活受信任的設備、文件更改檢測,並定期閱讀和審查 WordPress 安全日誌​​。

WordPress 核心漏洞

最新版本的 WordPress 核心是 5.8.2。 作為最佳實踐,請始終確保運行最新版本的 WordPress 核心!

WordPress 插件漏洞

在本節中,已經披露了最新的 WordPress 插件漏洞。 每個插件列表都包括漏洞類型、補丁版本號和嚴重等級。

1.元素

插件:元素
漏洞:DOM 跨站腳本
活躍安裝: 5+ 百萬
補丁版本:3.4.8
嚴重性評分

該漏洞已修復,因此您應該更新到版本 3.4.8。

2.UpdraftPlus

插件: UpdraftPlus
漏洞:反射跨站腳本
活躍安裝: 3+ 百萬
補丁版本:1.16.66
嚴重性評分

該漏洞已修復,因此您應該更新到版本 1.16.66。

3. WooCommerce PDF 發票和裝箱單

插件: WooCommerce PDF 發票和裝箱單
漏洞:反射跨站腳本
活躍安裝:300,000+
補丁版本:2.10.5
嚴重性評分

該漏洞已修復,因此您應該更新到版本 2.10.5。

4. PublishPress 功能

插件: PublishPress 功能
漏洞:未經身份驗證的任意選項更新到博客妥協
活躍安裝:100,000+
補丁版本:2.3.1
嚴重性評分嚴重

該漏洞已修復,因此您應該更新到版本 2.3.1。

插件: PublishPress Capabilities Pro
漏洞:未經身份驗證的任意選項更新到博客妥協
補丁版本:2.3.1
嚴重性評分嚴重

該漏洞已修復,因此您應該更新到版本 2.3.1。

5. 閒聊

插件:免費聊天
漏洞:反射跨站腳本
活躍安裝:100,000+
補丁版本:2.8.3
嚴重性評分

該漏洞已修復,因此您應該更新到版本 2.8.3。

插件: Chaty Pro
漏洞:反射跨站腳本
補丁版本:2.8.2
嚴重性評分

該漏洞已修補,因此您應該更新到版本 2.8.2。

6. Elementor 的 PowerPack 插件

插件: Elementor 的 PowerPack 插件
漏洞:反射跨站腳本
活躍安裝:60,000+
補丁版本:2.6.2
嚴重性評分

該漏洞已修復,因此您應該更新到版本 2.6.2。

7. 預訂日曆

插件:預訂日曆
漏洞:反射跨站腳本
活躍安裝:60,000+
補丁版本:8.9.2
嚴重性評分

該漏洞已修復,因此您應該更新到版本 8.9.2。

8. 10Web 社交照片供稿

插件: 10Web 社交照片供稿
漏洞:反射跨站腳本(XSS)
活躍安裝:60,000+
補丁版本:1.4.29
嚴重性評分

該漏洞已修復,因此您應該更新到版本 1.4.29。

9. 網站評論

插件:網站評論
漏洞:未經身份驗證的存儲跨站腳本
活躍安裝:40,000+
補丁版本:5.17.3
嚴重性評分

該漏洞已修復,因此您應該更新到版本 5.17.3。

10. 加速包

插件:速度助推器包
漏洞:Admin+ SQL 注入
活躍安裝:30,000+
補丁版本:4.3.3.1
嚴重性評分

該漏洞已修復,因此您應該更新到版本 4.3.3.1。

11. WooCommerce 的多供應商市場解決方案

插件: WooCommerce 的多供應商市場解決方案
漏洞:未經身份驗證的 AJAX 調用
活躍安裝:10,000+
補丁版本:3.8.4
嚴重性評分

該漏洞已修補,因此您應該更新到版本 3.8.4。

12. 模態窗口

插件:模態窗口
漏洞:RFI 通過 CSRF 導致 RCE
活躍安裝:10,000+
補丁版本:5.2.2
嚴重性評分

該漏洞已修復,因此您應該更新到版本 5.2.2。

13.WP編碼器

插件: WP編碼器
漏洞:RFI 通過 CSRF 導致 RCE
活躍安裝:10,000+
補丁版本:2.5.2
嚴重性評分

該漏洞已修復,因此您應該更新到版本 2.5.2。

14.註冊魔術

插件: RegistrationMagic
漏洞:Admin+ SQL 注入
活躍安裝:10,000+
補丁版本:5.0.1.6
嚴重性評分

該漏洞已修復,因此您應該更新到版本 5.0.1.6。

插件: RegistrationMagic
漏洞:身份驗證繞過
活躍安裝:10,000+
補丁版本:5.0.1.8
嚴重性評分嚴重

該漏洞已修復,因此您應該更新到版本 5.0.1.8。

15. 活動變得簡單

插件:活動變得簡單
漏洞:訂閱者+ SQL 注入
活躍安裝: 6,000+
補丁版本:2.2.36
嚴重性評分

該漏洞已修復,因此您應該更新到版本 2.2.36。

16. 按鈕生成器

插件:按鈕生成器
漏洞:RFI 通過 CSRF 導致 RCE
主動安裝:5,000+
補丁版本:2.3.3
嚴重性評分

該漏洞已修復,因此您應該更新到版本 2.3.3。

17. Tab – 手風琴,常見問題

插件:選項卡 - 手風琴,常見問題解答
漏洞:未經身份驗證的 AJAX 調用
主動安裝:2000+
補丁版本:1.3.2
嚴重性評分嚴重

該漏洞已修補,因此您應該更新到版本 1.3.2。

18. 星級

插件:星級
漏洞:評論拒絕服務
主動安裝:800+
補丁版本:3.5.1
嚴重性評分

該漏洞已修補,因此您應該更新到版本 1.3.2。

19. WPcalc

插件: WPcalc
漏洞:經過身份驗證的 SQL 注入
修補版本無已知修復 - 插件已關閉
嚴重性評分

此漏洞尚未修補。 此插件已於 2021 年 12 月 9 日關閉。卸載並刪除。

如何保護您的 WordPress 網站免受易受攻擊的插件和主題的影響

從這份報告中可以看出,每週都會披露大量新的 WordPress 插件和主題漏洞。 我們知道很難掌握每個報告的漏洞披露,因此 iThemes Security Pro 插件可以輕鬆確保您的網站沒有運行具有已知漏洞的主題、插件或 WordPress 核心版本。

1. 安裝 iThemes Security Pro 插件

iThemes Security Pro 插件可強化您的 WordPress 網站,使其免受網站被黑客入侵的最常見方式。 通過 30 多種方法在一個易於使用的插件中保護您的網站。

2.啟用站點掃描以檢查已知漏洞

iThemes Security Pro 中的版本管理功能與站點掃描集成以保護您的站點。 易受攻擊的主題、插件和 WordPress 核心版本將自動為您更新。

3.激活文件更改檢測

快速發現安全漏洞的關鍵是監控您網站上的文件更改。 iThemes Security Pro 中的文件更改檢測功能將掃描您網站的文件,並在您的網站發生更改時提醒您。

獲取具有 24/7 網站安全監控的 iThemes Security Pro

iThemes Security Pro 是我們的 WordPress 安全插件,提供 50 多種方法來保護您的網站免受常見 WordPress 安全漏洞的侵害。 借助 WordPress、雙重身份驗證、暴力破解保護、強密碼強制執行等,您可以為您的網站添加額外的安全層。

  • 插件和主題漏洞的站點掃描程序
  • 文件更改檢測
  • 實時網站安全儀表板
  • WordPress 安全日誌
  • 受信任的設備
  • 重新驗證碼
  • 蠻力保護
  • 兩因素身份驗證
  • 魔術登錄鏈接
  • 權限提升
  • 洩露密碼檢查和拒絕

獲取 iThemes 安全專業版