WordPress 漏洞綜述:2020 年 5 月,第 2 部分

已發表: 2020-08-18

5 月下半月披露了新的 WordPress 插件和主題漏洞,因此我們希望讓您了解。 在這篇文章中,我們介紹了最近的 WordPress 插件、主題和核心漏洞,以及如果您在網站上運行易受攻擊的插件或主題之一該怎麼辦。

4 月下半月披露了新的 WordPress 插件和主題漏洞,因此我們希望讓您了解。 在這篇文章中,我們介紹了最近的 WordPress 插件、主題和核心漏洞,以及如果您在網站上運行易受攻擊的插件或主題之一該怎麼辦。

WordPress 漏洞綜述分為四個不同的類別:

  1. WordPress 核心
  2. WordPress 插件
  3. WordPress 主題

每個漏洞的威脅等級為嚴重

WordPress 核心漏洞

2020 年 5 月尚未披露任何 WordPress 漏洞。

WordPress 插件漏洞

到目前為止,本月已經發現了幾個新的 WordPress 插件漏洞。 請確保按照以下建議的操作更新插件或完全卸載它。

1. 谷歌的站點工具包——關鍵

低於 1.8.0 的 Google Site Kit 版本有一個提權漏洞,攻擊者可以利用該漏洞成為 Search Console 所有者。

該漏洞已修補,您應該更新到 1.8.0 版。

2. 簡單的推薦 -關鍵

低於 3.6 的 Easy Testimonials 版本有一個 Authenticated Stored Cross-Site Scripting 漏洞。

該漏洞已修補,您應該更新到 3.6 版。

3. WP 產品評論 –

低於 3.7.6 的 WP Product Review 版本具有未經身份驗證的存儲跨站點腳本漏洞。

該漏洞已修補,您應該更新到版本 3.7.6。

4. 登錄/註冊彈出窗口 -關鍵

低於 1.5 的 Login/Signup Popup 版本有一個 Authenticated Stored Cross-Site Scripting 漏洞。

該漏洞已修補,您應該更新到 1.5 版。

5. 10Web 的照片庫 –關鍵

Photo Gallery by 10Web 1.5.55 以下版本存在未經身份驗證的 SQL 注入漏洞。

該漏洞已修補,您應該更新到 1.5.55 版。

6. 團隊成員——關鍵

低於 5.0.4 的團隊成員版本有一個 Authenticated Stored Cross-Site Scripting 漏洞。

該漏洞已修補,您應該更新到 5.0.4 版。

7. Visual Composer 網站生成器 –

低於 27.0 的 Visual Composer 網站生成器版本具有多個 Authenticated Cross-Site Scripting 漏洞。

該漏洞已修補,您應該更新到版本 27.0。

8. WordPress Infinite Scroll –關鍵

低於 5.3.2 的 WordPress Infinite Scroll 版本有一個 Authenticated SQL Injection 漏洞。

該漏洞已修補,您應該更新到版本 5.3.2。

9. WP 前端配置文件 –

低於 1.2.2 的 WP 前端配置文件版本具有跨站點請求偽造漏洞。

該漏洞已修補,您應該更新到 1.2.2 版。

10. 付費會員 Pro – Medium

付費會員專業徽標

低於 2.3.3 的付費會員專業版有一個 Authenticated SQL Injection 漏洞。

該漏洞已修補,您應該更新到 2.3.3 版。

11. ThirstyAffiliates Affiliate Link Manager – Medium

ThirstyAffiliates Affiliate Link Manager 版本低於 3.9.3 有一個 Authenticated Stored Criss-Site Scripting 漏洞。

該漏洞已修補,您應該更新到版本 3.9.3。

12. 官方 MailerLite 註冊表單——關鍵

低於 1.4.5 的官方 MailerLite 註冊表單版本存在多個 CSRF 漏洞。

該漏洞已修補,您應該更新到 1.4.5 版。

13. 附加 SweetAlert 聯繫表 7 –

1.0.8 以下的附加 SweetAlert Contact Form 7 版本有一個 Authenticated Stored Cross-Site Scripting 漏洞。

該漏洞已修補,您應該更新到 1.0.8 版。

14. Form Maker by 10Web –

以下 10Web 版本的 Form Maker 有 1.13.36 一個 Authenticated SQL Injection 漏洞。

該漏洞已修補,您應該更新到版本 1.13.36。

WordPress 主題

5 月下半月沒有披露 WordPress 主題漏洞。

如何積極應對 WordPress 主題和插件漏洞

運行過時的軟件是 WordPress 網站被黑的第一大原因。 擁有更新程序對於 WordPress 網站的安全性至關重要。 您應該每周至少登錄一次您的站點以執行更新。

自動更新可以提供幫助

對於不經常更改的 WordPress 網站,自動更新是一個不錯的選擇。 缺乏關注往往會使這些網站被忽視並容易受到攻擊。 即使採用推薦的安全設置,在您的站點上運行易受攻擊的軟件也會為攻擊者提供進入您站點的入口點。

使用 iThemes Security Pro 插件的版本管理功能,您可以啟用自動 WordPress 更新以確保您獲得最新的安全補丁。 這些設置可以通過選項自動更新到新版本或在站點軟件過時時提高用戶安全性,從而幫助保護您的站點。

版本管理更新選項
  • WordPress 更新– 自動安裝最新的 WordPress 版本。
  • 插件自動更新- 自動安裝最新的插件更新。 除非您每天積極維護此站點並在更新發布後不久手動安裝更新,否則應啟用此功能。
  • 主題自動更新- 自動安裝最新的主題更新。 除非您的主題具有文件自定義,否則應啟用此功能。
  • 對插件和主題更新的精細控制——您可能有想要手動更新的插件/主題,或者延遲更新直到版本有時間證明穩定。 您可以選擇自定義,以便將每個插件或主題分配為立即更新 ( Enable )、根本不自動更新 ( Disable ) 或延遲指定天數 ( Delay ) 進行更新。
加強和提醒關鍵問題
  • 運行過時軟件時加強站點 - 當一個月未安裝可用更新時,自動為站點添加額外保護。 當一個月未安裝更新時,iThemes 安全插件將自動啟用更嚴格的安全性。 首先,它將強制所有未啟用雙因素的用戶在重新登錄之前提供發送到其電子郵件地址的登錄代碼。其次,它將禁用 WP 文件編輯器(以阻止人們編輯插件或主題代碼) 、XML-RPC pingbacks 並阻止每個 XML-RPC 請求的多次身份驗證嘗試(這兩者都將使 XML-RPC 更強大地抵禦攻擊,而不必完全關閉它)。
  • 掃描其他舊的 WordPress 站點- 這將檢查您的託管帳戶上是否有其他過時的 WordPress 安裝。 一個存在漏洞的過時 WordPress 站點可能允許攻擊者破壞同一託管帳戶上的所有其他站點。
  • 發送電子郵件通知– 對於需要干預的問題,會向管理員級別用戶發送電子郵件。

管理多個 WP 站點? 從 iThemes 同步儀表板一次更新插件、主題和核心

iThemes Sync 是我們的中央儀表板,可幫助您管理多個 WordPress 站點。 從同步儀表板,您可以查看所有站點的可用更新,然後一鍵更新插件、主題和 WordPress 核心。 當有新版本更新可用時,您還可以收到每日電子郵件通知

免費試用 30 天同步

WordPress 安全插件可以幫助保護您的網站

iThemes Security Pro 是我們的 WordPress 安全插件,提供 30 多種方法來保護您的網站免受常見 WordPress 安全漏洞的侵害。 借助 WordPress、雙因素身份驗證、強力保護、強密碼強制執行等,您可以為您的網站增加一層額外的安全性。

通過 10 個關鍵提示了解有關 WordPress 安全性的更多信息。 立即下載電子書: WordPress 安全指南
現在就下載