WordPress 漏洞綜述：2020 年 1 月，第 2 部分

1. CarSpot

CarSpot 2.2.0 及以下版本有多個漏洞，包括 2 個單獨的 Authenticated Persistent Cross-Site Scripting 漏洞和一個不安全的直接對象引用漏洞。

你應該做什麼

運行過時的軟件是 WordPress 網站被黑的第一大原因。 擁有更新程序對於 WordPress 網站的安全性至關重要。 您應該每周至少登錄一次您的站點以執行更新。

自動更新如何提供幫助

對於不經常更改的 WordPress 網站，自動更新是一個不錯的選擇。 缺乏關注往往會使這些網站被忽視並容易受到攻擊。 即使採用推薦的安全設置，在您的站點上運行易受攻擊的軟件也會為攻擊者提供進入您站點的入口點。

使用 iThemes Security Pro 插件的版本管理功能，您可以啟用自動 WordPress 更新以確保您獲得最新的安全補丁。 這些設置可以通過選項自動更新到新版本或在站點軟件過時時提高用戶安全性，從而幫助保護您的站點。

版本管理更新選項

• WordPress 更新– 自動安裝最新的 WordPress 版本。
• 插件自動更新- 自動安裝最新的插件更新。 除非您每天積極維護此站點並在更新發布後不久手動安裝更新，否則應啟用此功能。
• 主題自動更新- 自動安裝最新的主題更新。 除非您的主題具有文件自定義，否則應啟用此功能。
• 對插件和主題更新的精細控制——您可能有想要手動更新的插件/主題，或者延遲更新直到版本有時間證明穩定。 您可以選擇自定義，以便將每個插件或主題分配為立即更新 ( Enable )、根本不自動更新 ( Disable ) 或延遲指定天數 ( Delay ) 進行更新。

加強和提醒關鍵問題

• 運行過時軟件時加強站點 - 當一個月未安裝可用更新時，自動為站點添加額外保護。 當一個月未安裝更新時，iThemes 安全插件將自動啟用更嚴格的安全性。 首先，它將強制所有未啟用雙因素的用戶在重新登錄之前提供發送到其電子郵件地址的登錄代碼。其次，它將禁用 WP 文件編輯器（以阻止人們編輯插件或主題代碼） 、XML-RPC pingbacks 並阻止每個 XML-RPC 請求的多次身份驗證嘗試（這兩者都將使 XML-RPC 更強大地抵禦攻擊，而不必完全關閉它）。
• 掃描其他舊的 WordPress 站點- 這將檢查您的託管帳戶上是否有其他過時的 WordPress 安裝。 一個存在漏洞的過時 WordPress 站點可能允許攻擊者破壞同一託管帳戶上的所有其他站點。
• 發送電子郵件通知– 對於需要干預的問題，會向管理員級別用戶發送電子郵件。

管理多個 WP 站點？ 從 iThemes 同步儀表板一次跨多個站點更新插件、主題和 WP 核心

iThemes Sync 是我們的中央儀表板，可幫助您管理多個 WordPress 站點。 從同步儀表板，您可以查看所有站點的可用更新，然後一鍵更新插件、主題和 WordPress 核心。 當有新版本更新可用時，您還可以收到每日電子郵件通知。

試用 30 天免費同步了解更多

來自網絡的漏洞

我們將網絡上的漏洞包括在內，因為了解 WordPress 生態系統之外的漏洞也很重要。 對服務器軟件的利用可能會暴露敏感數據。 數據庫洩露可能會暴露您站點上用戶的憑據，從而為攻擊者訪問您的站點打開大門。

1.縮放

Zoom 修復了一個可以向黑客開放會議的漏洞。 每個 Zoom 會議都會分配一個隨機生成的 9-10 位會議 ID。 Check Point 安全研究人員能夠正確猜測一些會議 ID 並成功加入一些 Zoom 通話。

Check Point 向 Zoom 披露了該漏洞，通過使用加密強 ID 替換隨機生成的會議 ID 號、為會議 ID 號添加更多數字以及將密碼要求設為更改計劃的默認選項，從而修復了該缺陷

WordPress 安全插件可以幫助保護您的網站

iThemes Security Pro 是我們的 WordPress 安全插件，提供 30 多種方法來保護您的網站免受常見 WordPress 安全漏洞的侵害。 借助 WordPress、雙因素身份驗證、強力保護、強密碼強制執行等，您可以為您的網站增加一層額外的安全性。

獲取 iThemes 安全性