WordPress 漏洞報告:2021 年 6 月,第 1 部分
已發表: 2021-06-02易受攻擊的插件和主題是 WordPress 網站被黑的第一大原因。 由 WPScan 提供支持的每週 WordPress 漏洞報告涵蓋了最近的 WordPress 插件、主題和核心漏洞,以及如果您在網站上運行易受攻擊的插件或主題之一該怎麼辦。
每個漏洞的嚴重性等級為低、中、高或嚴重。 負責任地披露和報告漏洞是確保 WordPress 社區安全的一個組成部分。 請與您的朋友分享這篇文章,以幫助宣傳並使 WordPress 對每個人都更安全。
WordPress 核心漏洞
截至今天,WordPress 的當前版本是 5.7.2。 請務必確保您的所有網站都是最新的!
WordPress 插件漏洞
報告的這一部分涵蓋了最近在 WordPress 插件中披露的漏洞。 此處列出的每個插件都包含修補版本信息以及漏洞的嚴重性信息。 最後,如果漏洞已被修補以及是否應該更新或卸載/刪除插件,您將看到一條狀態消息。
在新標籤中預覽
1. 飛聊
插件: iFlyChat
漏洞:經過身份驗證的存儲跨站點腳本
已修補版本:無已知修復
嚴重性:中
2. 簡單的預加載器
插件: Easy Preloader
漏洞:經過身份驗證的存儲跨站點腳本
已修補版本:無已知修復
嚴重性評分:中等
3. SP 項目和文件經理
插件: SP 項目和文檔管理器
漏洞:經過身份驗證的 Shell 上傳
已修補版本:無已知修復
嚴重性評分:中等
4. Cookie Law Bar
插件: Cookie Law Bar
漏洞:經過身份驗證的存儲跨站點腳本
已修補版本:無已知修復
嚴重性評分:中等
5. WooCommerce 的多供應商市場解決方案
插件: WooCommerce 的多供應商市場解決方案
漏洞:未經身份驗證的任意產品評論
修補版本:3.7.4
嚴重性評分:中等
6. 來自文件的畫廊
插件:來自文件的畫廊
漏洞:未經身份驗證的 RCE
已修補版本:無已知修復
嚴重性評分:嚴重
插件:來自文件的畫廊
漏洞:反射跨站腳本
已修補版本:無已知修復
嚴重性評分: 中等的
7. BetterLinks 的簡單 301 重定向
插件: BetterLinks 的簡單 301 重定向
漏洞:未經身份驗證的重定嚮導出
已修補版本:2.0.4
嚴重性評分:嚴重
插件: BetterLinks 的簡單 301 重定向
漏洞:未經身份驗證的重定嚮導入
已修補版本:2.0.4
嚴重性評分:嚴重
插件: BetterLinks 的簡單 301 重定向
漏洞:任意插件安裝
已修補版本:2.0.4
嚴重性評分:高
插件: BetterLinks 的簡單 301 重定向
漏洞:更新和檢索通配符值
已修補版本:2.0.4
嚴重性評分:中等
插件: BetterLinks 的簡單 301 重定向
漏洞:任意插件激活
已修補版本:2.0.4
嚴重性評分:高
8. 訪客
插件:訪客
漏洞:未經身份驗證的存儲跨站腳本
已修補版本:無已知修復
嚴重性評分:高
9. Sendit WP 通訊
插件: Sendit WP 通訊
漏洞:經過身份驗證的 SQL 注入
已修補版本:無已知修復
嚴重性評分:中等
10. 側邊菜單
插件:側邊菜單
漏洞:經過身份驗證的 SQL 注入
已修補版本:3.1.5
嚴重性評分:高
11. Xllentech 英文伊斯蘭日曆
插件: Xllentech 英文伊斯蘭日曆
漏洞:經過身份驗證的 SQL 注入
補丁版本:2.6.8
嚴重性評分:中等
12.忍者防火牆
插件:忍者防火牆
漏洞:經過身份驗證的 PHAR 反序列化
已修補版本:4.3.4
嚴重性評分:低
WordPress 主題漏洞
報告的這一部分涵蓋了最近在 WordPress 主題中披露的漏洞。 此處列出的每個插件都包含修補版本信息以及漏洞的嚴重性信息。 最後,如果漏洞已被修補,以及是否應該更新或卸載/刪除主題,您將看到一條狀態消息。
1. 新聞
主題: JNews
漏洞:反射跨站腳本
修補版本:8.0.6
嚴重性:中
2. CityBook
主題:城市書
漏洞:未經身份驗證的反射跨站腳本 (XSS)
已修補版本:2.4.4
嚴重性評分:高
關於負責任地披露 WordPress 漏洞的說明
您可能想知道為什麼要披露一個漏洞,如果它為黑客提供了攻擊的漏洞。 好吧,安全研究人員發現漏洞並將其私下報告給軟件開發人員是很常見的。
在負責任的披露下,研究人員的初始報告是私下向擁有該軟件的公司的開發人員提交的,但同意在補丁發布後發布完整的詳細信息。 對於重大安全漏洞,可能會稍微延遲披露漏洞,讓更多人有時間修補。
安全研究人員可以為軟件開發人員提供一個截止日期以響應報告或提供補丁。 如果沒有達到這個期限,那麼研究人員可能會公開披露該漏洞,迫使開發者發布補丁。
公開披露漏洞並看似引入零日漏洞(一種沒有補丁且正在野外利用的漏洞)似乎適得其反。 但是,這是研究人員必須向開發人員施壓以修補漏洞的唯一手段。
如果黑客發現了該漏洞,他們可以悄悄地使用漏洞利用程序並對最終用戶(也就是您)造成損害,而軟件開發人員仍然滿足於不修補漏洞。 在披露漏洞方面,Google 的 Project Zero 也有類似的指導方針。 無論漏洞是否已修補,他們都會在 90 天后發布漏洞的完整詳細信息。
如何保護您的 WordPress 網站免受易受攻擊的插件和主題的影響
iThemes Security Pro 插件的站點掃描器是另一種保護您的 WordPress 網站免受所有軟件黑客攻擊的首要原因的方法:過時的插件和具有已知漏洞的主題。 站點掃描程序會檢查您的站點是否存在已知漏洞,並在可用時自動應用補丁。
檢查的 3 種類型的 WordPress 漏洞
- WordPress 漏洞
- 插件漏洞
- 主題漏洞
要在新安裝時啟用站點掃描,請導航到 iThemes Security Pro 設置並單擊站點掃描設置模塊上的啟用按鈕。
要觸發手動站點掃描,請單擊位於安全設置右側欄的站點掃描小部件上的立即掃描按鈕。
站點掃描結果將顯示在小部件中。
如果站點掃描檢測到漏洞,請單擊漏洞鏈接以查看詳細信息頁面。
在站點掃描漏洞頁面上,您將看到是否有針對該漏洞的修復程序。 如果有可用的補丁,您可以單擊“更新插件”按鈕在您的網站上應用此修復程序。
在補丁可用和 iThemes 安全漏洞數據庫更新以反映修復之間可能存在延遲。 在這種情況下,您可以將通知靜音,以便不再收到與漏洞相關的任何警報。
當 iThemes Security Pro 在您的網站上發現已知漏洞時收到電子郵件警報
如果 iThemes Security Pro 插件在您的站點上發現易受攻擊的插件、主題或 WordPress 核心版本,它可以通過電子郵件向您發送站點掃描的結果。
啟用站點掃描計劃後,前往插件的通知中心設置。 在此屏幕上,滾動到站點掃描結果部分。
單擊該框以啟用通知電子郵件,然後單擊“保存設置”按鈕。
現在,如果 iThemes Security Pro 發現任何已知漏洞,您將收到一封電子郵件。 電子郵件看起來像這樣。
立即獲取 iThemes Security Pro 以保護您的 WordPress 網站
iThemes Security Pro 是我們的 WordPress 安全插件,提供 50 多種方法來保護您的網站免受常見 WordPress 安全漏洞的侵害。 借助 WordPress、雙因素身份驗證、強力保護、強密碼強制執行等,您可以為您的網站增加一層額外的安全性。
獲取 iThemes 安全專業版
趕上 2021 年 5 月的 WordPress 漏洞報告
了解以下 WordPress 漏洞報告:
- 2021 年 5 月第 4 部分
- 2021 年 5 月第 3 部分
- 2021 年 5 月第 2 部分
- 2021 年 5 月第 1 部分
每週,Michael 都會匯總 WordPress 漏洞報告,以幫助確保您的網站安全。 作為 iThemes 的產品經理,他幫助我們繼續改進 iThemes 產品陣容。 他是一個巨大的書呆子,喜歡學習所有新舊技術。 你可以找到邁克爾和他的妻子和女兒一起出去玩,在不工作的時候閱讀或聽音樂。
