WordPress 漏洞綜述:2020 年 11 月,第 1 部分

已發表: 2021-03-10

11 月上半月披露了相當多的新 WordPress 插件和主題漏洞。 這篇文章涵蓋了最近的 WordPress 插件、主題和核心漏洞,以及如果您在網站上運行易受攻擊的插件或主題之一時該怎麼做。

WordPress 漏洞綜述分為三個不同的類別:WordPress 核心、WordPress 插件和 WordPress 主題。

在 11 月,第 1 部分報告

    WordPress 核心漏洞

    WordPress 5.5.2 於 10 月 29 日發布,包含 10 個 WordPress 核心安全修復程序。

    以下是 WordPress 5.5.2 發布帖子中提到的安全修復程序列表。

    • 強化反序列化請求。
    • 修復以禁用來自多站點網絡上禁用站點的垃圾郵件嵌入
    • 修復了可能導致全局變量 XSS 的安全問題。
    • 修復了 XML-RPC 中的權限提升問題。
    • 修復了圍繞通過 XML-RPC 發表評論的權限提升問題。
    • 修復了 DoS 攻擊可能導致 RCE 的安全問題。
    • 刪除了在 post slug 中存儲 XSS 的方法。
    • 刪除了繞過可能導致任意文件刪除的受保護元數據的方法。
    • 刪除了可能導致 CSRF 的方法。
    漏洞已被修補,因此將 WordPress 更新至 5.5.2 版。

    WordPress 插件漏洞

    1. SW Ajax WooCommerce 搜索

    低於 1.2.8 的 SW Ajax WooCommerce Search 版本具有未經身份驗證的反射 XSS 和 XFS 漏洞。

    該漏洞已修補,您應該更新到 1.2.8 版。

    2. AccessPress 社交圖標

    低於 1.8.1 的 AccessPress Social Icons 版本有一個 Authenticated SQL Injection 漏洞。

    該漏洞已修補,您應該更新到 1.8.1 版。

    3. GDPR CCPA 合規支持

    低於 2.4 的 GDPR CCPA 合規支持版本具有未經身份驗證的 PHP 對象注入漏洞。

    該漏洞已修補,您應該更新到 2.4 版。

    4. 增強現實

    所有版本的增強現實都有一個未經身份驗證的 PHP 文件上傳導致 RCE 漏洞。

    刪除插件,直到發布安全修復程序。

    5. 維卡電商

    1.9.36以下的Welcart電商版本存在Authenticated PHP Object Injection漏洞。

    該漏洞已修補,您應該更新到 1.9.36 版。

    6.WooCommerce

    低於 4.6.2 的 WooCommerce 版本存在訪客帳戶創建漏洞。

    該漏洞已修補,您應該更新到版本 4.6.2。

    7. WooCommerce 塊

    低於 3.7.1 的 WooCommerce Blocks 版本存在訪客帳戶創建漏洞。

    該漏洞已修補,您應該更新到版本 3.7.1。

    8. 廢棄的 WooCommerce 購物車精簡版

    低於 5.8.3 的 WooCommerce 版本的廢棄 Cart Lite 存在未經身份驗證的 SQL 注入漏洞。

    該漏洞已修補,您應該更新到版本 5.8.3。

    9. WP 活動日誌

    低於 4.1.5 的 WP 活動日誌版本在外部數據庫模塊中存在 SQL 注入漏洞。

    該漏洞已修補,您應該更新到版本 4.1.5。

    10. 終極會員

    低於 2.1.12 的 Ultimate Member 版本具有通過用戶角色、配置文件更新和用戶元漏洞進行的未經身份驗證的權限提升。

    該漏洞已修補,您應該更新到 2.1.12 版。

    11.終極評論

    低於 2.1.33 的 Ultimate Reviews 版本具有未經身份驗證的 PHP 對象注入漏洞。

    該漏洞已修補,您應該更新到版本 2.1.33。

    WordPress 主題漏洞

    1. 綠色超市

    低於 2.4.3 的 GreenMart 版本有一個 Reflected Cross-Site Scripting 漏洞。

    該漏洞已修補,您應該更新到 2.4.3 版。

    11 月安全提示:為什麼需要 WordPress 安全日誌

    日誌記錄是 WordPress 安全策略的重要組成部分。 日誌記錄和監控不足會導致檢測安全漏洞的延遲。 大多數違規研究表明,檢測違規的時間超過 200 天! 這段時間允許攻擊者破壞其他系統、修改、竊取或破壞更多數據。 正是由於這些原因,Insufficient Logging 登上了 OWASP 前 10 名的 Web 應用程序安全風險。

    大多數違規研究表明,檢測違規的時間超過 200 天!

    WordPress 安全日誌​​在您的整體安全策略中有幾個好處。

    1. 識別並阻止惡意行為。
    2. 發現可以提醒您違規的活動。
    3. 評估造成了多少損害。
    4. 協助修復被黑網站。

    如果您的網站確實遭到黑客入侵,您將需要最好的信息來幫助快速調查和恢復。

    什麼是 WordPress 安全日誌​​?

    iThemes Security Pro 中的 WordPress 安全日誌​​會跟踪您網站上發生的重要安全事件。 這些事件對於監控以指示是否或何時發生安全漏洞很重要。

    您網站的安全日誌是任何安全策略的重要組成部分。 這些記錄中的信息可用於鎖定不良行為者,突出站點上不需要的更改,並幫助識別和修補成功攻擊的入口點。

    如何將 WordPress 安全日誌​​添加到您的網站

    向您的網站添加安全日誌記錄的最簡單方法是使用 iThemes Security Pro 之類的插件。 一旦 iThemes Security Pro 安裝並激活,它就會開始監控和記錄您網站上發生的重要安全活動。

    wordpress 安全日誌​​插件

    iThemes Security Pro 然後將您日誌中的數據轉換為實時 WordPress 安全儀表板,以便您可以更好地查看站點上發生的所有安全活動。

    查看我們關於 WordPress 安全日誌​​的帖子,了解您應該監控哪些安全事件以及如何記錄它們。

    看看它怎麼運作

    WordPress 安全插件可以幫助保護您的網站

    iThemes Security Pro 是我們的 WordPress 安全插件,提供 50 多種方法來保護您的網站免受常見 WordPress 安全漏洞的侵害。 借助 WordPress、雙因素身份驗證、強力保護、強密碼強制執行等,您可以為您的網站增加一層額外的安全性。

    獲取 iThemes 安全專業版

    漏洞綜述