WordPress 漏洞綜述:2020 年 10 月,第 2 部分

已發表: 2021-03-10

10 月下半月披露了相當多的新 WordPress 插件漏洞。 在這篇文章中,我們介紹了最近的 WordPress 插件、主題和核心漏洞,以及如果您在網站上運行易受攻擊的插件或主題之一該怎麼辦。

WordPress 漏洞綜述分為三個不同的類別:WordPress 核心、WordPress 插件和 WordPress 主題。

在 10 月,第 2 部分報告

    WordPress 核心漏洞

    WordPress 5.5.2 於 10 月 29 日發布,包含 10 個 WordPress 核心安全修復程序。

    以下是 WordPress 5.5.2 發布帖子中提到的安全修復程序列表。

    • 強化反序列化請求。
    • 修復以禁用來自多站點網絡上禁用站點的垃圾郵件嵌入
    • 修復了可能導致全局變量 XSS 的安全問題。
    • 修復了 XML-RPC 中的權限提升問題。
    • 修復了圍繞通過 XML-RPC 發表評論的權限提升問題。
    • 修復了 DoS 攻擊可能導致 RCE 的安全問題。
    • 刪除了在 post slug 中存儲 XSS 的方法。
    • 刪除了繞過可能導致任意文件刪除的受保護元數據的方法。
    • 刪除了可能導致 CSRF 的方法。
    漏洞已被修補,因此將 WordPress 更新至 5.5.2 版。

    WordPress 插件漏洞

    1. 實時聊天 – 實時支持

    實時聊天 - 低於 3.2.0 的實時支持版本具有跨站點請求偽造漏洞。

    該漏洞已修補,您應該更新到版本 3.2.0。

    2. 快速聊天

    Quick Chat 的所有版本都有一個未經身份驗證的存儲跨站點腳本漏洞。

    刪除插件,直到發布安全修復程序。

    3. Orbisius 的 Child Theme Creator

    Orbisius 1.5.2以下版本的Child Theme Creator有一個CSRF to Arbitrary File Modification/Creation漏洞。

    該漏洞已修補,您應該更新到 1.5.2 版。

    4. 現實

    Realia 的所有版本都有一個未經身份驗證的 IDOR,導致任意刪除後漏洞。

    刪除插件,直到發布安全修復程序。

    5. 評論新聞

    評論 低於 2.7.2 的 Press 版本具有未經身份驗證的跨幀腳本漏洞。

    該漏洞已修補,您應該更新到版本 2.7.2。

    6. WordPress 超級商店查找器

    WordPress 6.2 以下版本的 Super Store Finder 存在未經身份驗證的任意文件上傳漏洞。

    該漏洞已修補,您應該更新到 6.2 版。

    7. WordPress 超級互動地圖

    WordPress 2.0 以下版本的超級交互式地圖存在未經身份驗證的任意文件上傳漏洞。

    該漏洞已修補,您應該更新到 2.0 版。

    8. WordPress 超級標誌展示

    WordPress 2.3 以下版本的 Super Logos Showcase 存在未經身份驗證的任意文件上傳漏洞。

    該漏洞已修補,您應該更新到 2.3 版。

    9.簡單的下載監視器

    低於 3.8.9 的 Simple Download Monitor 版本具有未經身份驗證的跨站點腳本和 SQL 注入漏洞。

    該漏洞已修補,您應該更新到版本 3.8.9。

    10.登錄器

    低於 1.6.4 的登錄程序版本具有未經身份驗證的 SQL 注入漏洞。

    該漏洞已修補,您應該更新到 1.6.4 版。

    11. Helios Solutions 品牌標誌滑塊

    所有版本的 Helios Solutions Brand Logo Slider 都有一個經過身份驗證的任意文件上傳漏洞。

    刪除插件,直到發布安全修復程序。

    12.CM下載管理器

    低於 2.8.0 的 CM 下載管理器版本有一個 Authenticated Cross-Site Scripting 漏洞。

    該漏洞已修補,您應該更新到 2.8.0 版。

    13. 高級預訂日曆

    低於 1.6.2 的高級預訂日曆版本具有未經身份驗證的 SQL 注入漏洞。

    該漏洞已修補,您應該更新到 1.6.2 版。

    WordPress 主題漏洞

    10 月下半月沒有報告任何 WordPress 主題漏洞。

    十月安全提示:為什麼你應該記錄網站安全活動

    安全日誌記錄應該是 WordPress 安全策略的重要組成部分。 為什麼?

    日誌記錄和監控不足會導致檢測安全漏洞的延遲。 大多數違規研究表明,檢測違規的時間超過 200 天!

    這段時間允許攻擊者破壞其他系統、修改、竊取或破壞更多數據。 因此,“日誌記錄不足”登上了 OWASP Web 應用程序安全風險的前 10 名。

    WordPress 安全日誌​​在您的整體安全策略中有幾個好處,可以幫助您:

    1. 識別並阻止惡意行為。
    2. 發現可以提醒您違規的活動。
    3. 評估造成了多少損害。
    4. 幫助修復被黑網站。

    如果您的網站確實遭到黑客入侵,您將需要最好的信息來幫助快速調查和恢復。

    好消息是 iThemes Security Pro 可以幫助您實現網站日誌記錄。 iThemes Security Pro 的 WordPress 安全日誌​​會為您跟踪所有這些網站活動:

    • WordPress 蠻力攻擊
    • 文件更改
    • 惡意軟件掃描
    • 用戶活動

    然後,您的日誌中的統計信息會顯示在實時 WordPress 安全儀表板中,您可以從 WordPress 管理儀表板查看。

    查看此功能聚焦帖子,我們在其中解壓縮了使用 iThemes Security Pro 將 WordPress 安全日誌​​添加到您的網站的所有步驟。

    看看它怎麼運作

    WordPress 安全插件可以幫助保護您的網站

    iThemes Security Pro 是我們的 WordPress 安全插件,提供 50 多種方法來保護您的網站免受常見 WordPress 安全漏洞的侵害。 借助 WordPress、雙因素身份驗證、強力保護、強密碼強制執行等,您可以為您的網站增加一層額外的安全性。

    獲取 iThemes 安全專業版