WordPress 漏洞報告:2021 年 5 月,第 1 部分
已發表: 2021-05-05易受攻擊的插件和主題是 WordPress 網站被黑的第一大原因。 這份報告涵蓋了最近的 WordPress 插件、主題和核心漏洞,以及如果您在網站上運行易受攻擊的插件或主題之一該怎麼辦。
每個漏洞的嚴重性等級為低、中、高或嚴重。 負責任地披露和報告漏洞是確保 WordPress 社區安全的一個組成部分。 請與您的朋友分享這篇文章,以幫助宣傳並使 WordPress 對每個人都更安全。
WordPress 核心漏洞
WordPress 5.7.1 於 2021 年 4 月 15 日發布。此安全和維護版本除了兩個安全修復外,還修復了 26 個錯誤。 由於這是 WordPress 核心的安全版本,因此建議您立即更新您的站點。
WordPress 插件漏洞
1.AcyMailing
漏洞:打開重定向
已修補版本:7.5.0
嚴重性:中
2.給WP
漏洞:經過身份驗證的存儲跨站點腳本
已修補版本:2.10.4
嚴重性:中
3. 下載管理器
漏洞:通過 CSRF 更改插件設置
修補版本:3.1.22
嚴重性:中
漏洞:未經授權的資產管理器使用
補丁版本:3.1.23
嚴重性:高
漏洞:經過身份驗證的 PHP4 文件上傳到 RCE
補丁版本:3.1.19
嚴重性:嚴重
4. CleanTalk 的垃圾郵件防護、反垃圾郵件、防火牆
漏洞:未經身份驗證的 SQL 盲注
修補版本:5.153.4
嚴重性:高
5. WP 客戶評論
漏洞:經過身份驗證的存儲跨站點腳本
修補版本:3.5.6
嚴重性:中
WordPress 主題漏洞
1.轉到
漏洞:未經身份驗證的 SQL 盲注
已修補版本:2.1
嚴重性:嚴重
漏洞:反射跨站腳本
已修補版本:2.1
嚴重性:高
關於負責任披露的說明
您可能想知道為什麼要披露一個漏洞,如果它為黑客提供了攻擊的漏洞。 好吧,安全研究人員發現漏洞並將其私下報告給軟件開發人員是很常見的。
在負責任的披露下,研究人員的初始報告是私下向擁有該軟件的公司的開發人員提交的,但同意在補丁發布後發布完整的詳細信息。 對於重大安全漏洞,可能會稍微延遲披露漏洞,讓更多人有時間修補。
安全研究人員可以為軟件開發人員提供一個截止日期以響應報告或提供補丁。 如果沒有達到這個期限,那麼研究人員可能會公開披露該漏洞,迫使開發者發布補丁。
公開披露漏洞並看似引入零日漏洞(一種沒有補丁且正在野外利用的漏洞)似乎適得其反。 但是,這是研究人員必須向開發人員施壓以修補漏洞的唯一手段。
如果黑客發現了該漏洞,他們可以悄悄地使用漏洞利用程序並對最終用戶(也就是您)造成損害,而軟件開發人員仍然滿足於不修補漏洞。 在披露漏洞方面,Google 的 Project Zero 也有類似的指導方針。 無論漏洞是否已修補,他們都會在 90 天后發布漏洞的完整詳細信息。
如何保護您的 WordPress 網站免受易受攻擊的插件和主題的影響
iThemes Security Pro 插件的站點掃描器是另一種保護您的 WordPress 網站免受所有軟件黑客攻擊的首要原因的方法:過時的插件和具有已知漏洞的主題。 站點掃描程序會檢查您的站點是否存在已知漏洞,並在可用時自動應用補丁。
檢查的 3 種類型的 WordPress 漏洞
- WordPress 漏洞
- 插件漏洞
- 主題漏洞
要在新安裝時啟用站點掃描,請導航到 iThemes Security Pro 設置並單擊站點掃描設置模塊上的啟用按鈕。
要觸發手動站點掃描,請單擊位於安全設置右側欄的站點掃描小部件上的立即掃描按鈕。
站點掃描結果將顯示在小部件中。
如果站點掃描檢測到漏洞,請單擊漏洞鏈接以查看詳細信息頁面。
在站點掃描漏洞頁面上,您將看到是否有針對該漏洞的修復程序。 如果有可用的補丁,您可以單擊“更新插件”按鈕在您的網站上應用此修復程序。
在補丁可用和 iThemes 安全漏洞數據庫更新以反映修復之間可能存在延遲。 在這種情況下,您可以將通知靜音,以便不再收到與漏洞相關的任何警報。
iThemes Security Pro 是我們的 WordPress 安全插件,提供 50 多種方法來保護您的網站免受常見 WordPress 安全漏洞的侵害。 借助 WordPress、雙因素身份驗證、強力保護、強密碼強制執行等,您可以為您的網站增加一層額外的安全性。
獲取 iThemes 安全專業版
每週,Michael 都會匯總 WordPress 漏洞報告,以幫助確保您的網站安全。 作為 iThemes 的產品經理,他幫助我們繼續改進 iThemes 產品陣容。 他是一個巨大的書呆子,喜歡學習所有新舊技術。 你可以找到邁克爾和他的妻子和女兒一起出去玩,在不工作的時候閱讀或聽音樂。
