WordPress 漏洞綜述:2020 年 4 月,第 1 部分

已發表: 2020-08-18

4 月上半月披露了新的 WordPress 插件和主題漏洞,因此我們希望讓您了解。 在這篇文章中,我們介紹了最近的 WordPress 插件、主題和核心漏洞,以及如果您在網站上運行易受攻擊的插件或主題之一該怎麼辦。

WordPress 漏洞綜述分為四個不同的類別:

  1. WordPress 核心
  2. WordPress 插件
  3. WordPress 主題

WordPress 核心漏洞

2020 年沒有任何公開的 WordPress 漏洞。

WordPress 插件漏洞

到目前為止,本月已經發現了幾個新的 WordPress 插件漏洞。 請確保按照以下建議的操作更新插件或完全卸載它。

1. IMPress for IDX Broker

IMPress for IDX Broker 低於 2.6.2 版本具有通過未受保護的“idx_update_recaptcha_key”漏洞進行身份驗證後創建、修改/刪除和身份驗證存儲跨站點腳本 (XSS)。

這些漏洞已被修補,您應該更新到 2.6.2 版。

2. 用於 WordPress 的 CM 彈出橫幅

低於 1.4.11 的 WordPress 版本的 CM 彈出橫幅具有 Authenticated Stored XSS 漏洞。

該漏洞已被修補,您應該更新到 1.4.11 版。

3. 排名數學

低於 1.0.4.1 的 Rank Math 版本具有重定向創建和權限提升漏洞。

這些漏洞已被修補,您應該更新到 1.4.1 版。

4. 升降機LMS

3.37.15 以下的 LifterLMS 版本存在任意文件寫入漏洞。

該漏洞已被修補,您應該更新到版本 3.37.15。

5. 元素頁面構建器

低於 2.9.6 的 Elementor Page Builder 版本有一個 Authenticated Safe Mode Privilege Escalation 漏洞。

該漏洞已被修補,您應該更新到版本 2.9.6。

6.LearnDash

低於 3.1.6 的 LearnDash 版本具有未經身份驗證的 SQL 注入漏洞。

該漏洞已被修補,您應該更新到版本 3.1.6。

7. Auth0登錄

4.0.0以下的Auth0版本登錄存在多個漏洞。

該漏洞已被修補,您應該更新到 4.0.0 版。

8. WordPress WP-高級搜索

低於 3.3.6 的 WordPress WP-Advanced-Search 版本存在未經身份驗證的 SQL 注入漏洞。

該漏洞已被修補,您應該更新到版本 3.3.6。

9. 聯繫表格 7 日期選擇器

Contact Form 7 Datepicker 的所有版本都有一個 Authenticated Stored Cross-Site Scripting 漏洞。

刪除插件,它已在 WordPress.org 插件存儲庫中關閉,等待審核。

10. 藝術-圖片-畫廊

所有版本的 Art-Picture-Gallery 都存在未經身份驗證的任意文件上傳漏洞。

刪除插件,它已在 WordPress.org 插件存儲庫中關閉,等待審核。

11. WP 上次修改信息

低於 1.6.6 的 WP Last Modified Info 版本有一個 Authenticated Stored XSS 漏洞。

該漏洞已被修補,您應該更新到 1.6.6 版。

12. WP 鉛加 X

WP Lead Plus X 的所有版本都存在跨站請求偽造漏洞。

刪除插件,直到發布補丁。

13. 古騰堡的終極插件

1.14.8 以下 Gutenberg 版本的 Ultimate Addons 有一個 Authenticated Settings Change 漏洞。

該漏洞已被修補,您應該更新到 1.14.8 版。

14. WooCommerce 的 Klarna Checkout

低於 2.0.10 的 WooCommerce 版本的 Klarna Checkout 有一個 Authenticated Arbitrary Plugin Deactivation, Activation and Installation 漏洞。

15. Tickera – WordPress 活動票務

Tickera – 低於 3.4.6.9 的 WordPress Event Ticketing 版本存在未經身份驗證的敏感數據暴露漏洞。

該漏洞已被修補,您應該更新到版本 3.4.6.9。

16. 響應式投票

所有版本的 Responsive Poll 都對 AJAX 調用進行了損壞的身份驗證和缺失的功能檢查。

刪除插件,它已在 WordPress.org 插件存儲庫中關閉,等待審核。

17. 媒體庫助理

低於 2.82 的媒體庫助手版本有一個 Authenticated Stored Cross-Site Scripting 和 Unauthenticated Limited Local File Inclusion 漏洞。

該漏洞已被修補,您應該更新到 2.82 版。

WordPress 主題

2020 年 4 月尚未披露任何主題漏洞。

如何積極應對 WordPress 主題和插件漏洞

運行過時的軟件是 WordPress 網站被黑的第一大原因。 擁有更新程序對於 WordPress 網站的安全性至關重要。 您應該每周至少登錄一次您的站點以執行更新。

自動更新可以提供幫助

對於不經常更改的 WordPress 網站,自動更新是一個不錯的選擇。 缺乏關注往往會使這些網站被忽視並容易受到攻擊。 即使採用推薦的安全設置,在您的站點上運行易受攻擊的軟件也會為攻擊者提供進入您站點的入口點。

使用 iThemes Security Pro 插件的版本管理功能,您可以啟用自動 WordPress 更新以確保您獲得最新的安全補丁。 這些設置可以通過選項自動更新到新版本或在站點軟件過時時提高用戶安全性,從而幫助保護您的站點。

版本管理更新選項
  • WordPress 更新– 自動安裝最新的 WordPress 版本。
  • 插件自動更新- 自動安裝最新的插件更新。 除非您每天積極維護此站點並在更新發布後不久手動安裝更新,否則應啟用此功能。
  • 主題自動更新- 自動安裝最新的主題更新。 除非您的主題具有文件自定義,否則應啟用此功能。
  • 對插件和主題更新的精細控制——您可能有想要手動更新的插件/主題,或者延遲更新直到版本有時間證明穩定。 您可以選擇自定義,以便將每個插件或主題分配為立即更新 ( Enable )、根本不自動更新 ( Disable ) 或延遲指定天數 ( Delay ) 進行更新。
加強和提醒關鍵問題
  • 運行過時軟件時加強站點 - 當一個月未安裝可用更新時,自動為站點添加額外保護。 當一個月未安裝更新時,iThemes 安全插件將自動啟用更嚴格的安全性。 首先,它將強制所有未啟用雙因素的用戶在重新登錄之前提供發送到其電子郵件地址的登錄代碼。其次,它將禁用 WP 文件編輯器(以阻止人們編輯插件或主題代碼) 、XML-RPC pingbacks 並阻止每個 XML-RPC 請求的多次身份驗證嘗試(這兩者都將使 XML-RPC 更強大地抵禦攻擊,而不必完全關閉它)。
  • 掃描其他舊的 WordPress 站點- 這將檢查您的託管帳戶上是否有其他過時的 WordPress 安裝。 一個存在漏洞的過時 WordPress 站點可能允許攻擊者破壞同一託管帳戶上的所有其他站點。
  • 發送電子郵件通知– 對於需要干預的問題,會向管理員級別用戶發送電子郵件。

管理多個 WP 站點? 從 iThemes 同步儀表板一次更新插件、主題和核心

iThemes Sync 是我們的中央儀表板,可幫助您管理多個 WordPress 站點。 從同步儀表板,您可以查看所有站點的可用更新,然後一鍵更新插件、主題和 WordPress 核心。 當有新版本更新可用時,您還可以收到每日電子郵件通知

試用 30 天免費同步了解更多

WordPress 安全插件可以幫助保護您的網站

iThemes Security Pro 是我們的 WordPress 安全插件,提供 30 多種方法來保護您的網站免受常見 WordPress 安全漏洞的侵害。 借助 WordPress、雙因素身份驗證、強力保護、強密碼強制執行等,您可以為您的網站增加一層額外的安全性。

通過 10 個關鍵提示了解有關 WordPress 安全性的更多信息。 立即下載電子書: WordPress 安全指南
現在就下載