WordPress Güvenlik Açığı Raporu: Kasım 2021, Bölüm 4
Savunmasız eklentiler ve temalar, WordPress web sitesinin neden saldırıya uğradığının nedenleridir. WPSPress tarafından desteklenen WeekPress Weekly Güvenlik Açığı Raporları, en son WordPress Core eklentileri, temalar ve güvenlik açığı ve web sitenizdeki eklentilerden veya savunmasız temalardan birini çalıştırırsanız ne yapmanız gerekir. Her güvenlik açığı düşük, orta, yüksek veya kritik bir şiddete sahip olacaktır. Sorumlu kırılganlığın açıklanması ve raporlanması, WordPress topluluğunun güvenliğini korumanın ayrılmaz bir parçasıdır. Haberleri yaymaya ve WordPress’i herkes için daha güvenli hale getirmek için lütfen bu gönderiyi arkadaşlarınızla paylaşın.
Isi Laporan 24 November 2021
WordPress’e ev sahipliği yapmak: Godaddy hacklendi
WordPress Çekirdek Güvenlik Açığı
WordPress eklentisi güvenlik açığı
1. Pixel Cat Lite
2. Galeri Lengkap
3. StopBadBots
4. Login Sementara Tanpa Kata Sandi
5. ProfilTekan
6. Kalender Acara Modern
7. Gambar Unggulan Otomatis
8. Ultimate NoFollow
9. NEX-Formulir
10. Penguat SEO
11. Log Sistem WP
12. Rotator Kutipan Inspirasional
13. Eksportir Pos Tunggal
14. Font Lokal Fleksibel
15. Pengubah Logo Admin WP
16. Database Tingkat Lanjut Formulir Kontak
17. Tombol Mengkilap
18. Filter Galeri Portofolio
19. Batas WP
20. Kode Pendek Konten Halaman/Posting
21. Peningkatan Sertakan Halaman
22. Mediamatik
23. Menampilkan Metadata Posting
24. Tautan ToTop
25. Shortcode Meta Pengguna
26. Koleksi Kutipan
27. Pemberitahuan Push untuk WordPress (Lite)
28. SportsPress
29. Masuk/Daftar Popup
30. Pratinjau Email untuk WooCommerce
31. Tampilan Depan Pengguna WP
32. Direktur – Plugin Direktori Bisnis
33. Formulir Pendaftaran Mudah
34. Atur Ulang WP Pro
35. WordPress + Microsoft Office 365
36. Post37. Yedek göç
WordPress sitenizi savunmasız eklentilerden ve temalardan nasıl koruyabilirsiniz
7/24 web sitesi güvenlik izleme ile Ithemes Security Pro
Bu raporun her hafta gelen kutunuza gönderilmesini ister misiniz?
Haftalık e -postalara abone olun
WordPress’e ev sahipliği yapmak: Godaddy hacklendi
21 Kasım 2021’de yayınlanan bir güvenlik açıklamasında Godaddy, hackerların yönettiği WordPress barındırma platformuna erişim kazandıktan sonra 1,2 milyona kadar aktif ve aktif olmayan müşterinin maruz kaldığını söyledi.
GodAddy’nin hacklemesinin bazı ayrıntılarını, müşteriler üzerindeki etkisini ve Godaddy’de müşteriyi barındıran bir WordPress ise ne yapacağınız konusundaki önerilerimizi ortadan kaldırmak için bir yazı yazdık.
Gönderiyi okuyun
WordPress Çekirdek Güvenlik Açığı
WordPress Core’un en son sürümü 5.8.2’dir. En iyi uygulama olarak, her zaman WordPress’in en son sürümünü çalıştırdığınızdan emin olun!
WordPress eklentisi güvenlik açığı
Bu bölümde, en son WordPress eklentisi güvenlik açığı açıklanmıştır. Her eklenti listesi, güvenlik açığı türünü, yamalanırsa sayı sürümünü ve ciddiyet sıralamasını içerir.
1. Pixel Cat Lite
Eklenti: Pixel Cat Lite Güvenlik Açığı: Yönetici+ Depolanan Çapraz Yerinde Komut Dosyaları Sürüm: 2.6.3 ŞEDE PUANI: Düşük
Eklenti: Pixel Cat Lite Güvenlik Açığı: Depolanan Cross -Site betiğinden CSRF Sürümde Yamalıdır: 2.6.2 Şiddet Puanı: Yüksek
Güvenlik açığı yamalandı, bu nedenle 2.6.2 sürümüne güncellemeniz gerekiyor.
2. Galeri’yi tamamlayın
Eklenti: All-One-One Galler Güvenlik Açığı: Yönetici+ Yerel Dosya Katılımı Sürümde Yamalı: 2.5.0 Şiddet Puanı: Düşük Güvenlik açığı yamalandı, bu nedenle 2.5.0.3 sürümüne güncellemeniz gerekiyor. Stopbadbots
Eklenti: Stopbadbots Güvenlik Açığı: Çapraz yer komut dosyaları versiyona yansır: 6.67 Şiddet Puanı: Kritik
Güvenlik açığı yamalandı, bu nedenle sürüm 6.67’ye güncellemeniz gerekiyor. 4. Parola olmadan geçici giriş
Eklenti: Güvenlik Açığı Olmadan Geçici Oturum Açma Şifre: Müşteri Ayarları+ Eklenti Ayarları Sürüm: 1.7.1 Şiddet Puanı: Orta
Güvenlik açığı yamalandı, bu nedenle 1.7.1 sürümüne güncellemeniz gerekiyor. 5. Profilkan
Eklenti: ProfilePress Güvenlik Açığı: Çapraz Yüzey Komut Dosyası Sürümde Yansıtılan: 3.2.3 ŞEDE PUAN: Orta
Güvenlik açığı yamalandı, bu nedenle sürüm 3.2.3’e güncellemeniz gerekiyor. Eklenti: Profilepress Güvenlik Açığı: Çapraz Yüzey Komut Dersin Sürümde Yansıtıldı: 3.2.3 ŞEDE PUAN: Yüksek
Güvenlik açığı yamalandı, bu nedenle sürüm 3.2.3’e güncellemeniz gerekiyor.
6. Modern Etkinlik Takvimi
Eklenti: Modern Etkinlik Takvimi Güvenlik Açığı: Kör SQL Enjeksiyonu Sürümde Kimlik Doğrulanmadı: 6.1.5 Sexir Puan: Yüksek
Güvenlik açığı yamalandı, bu nedenle sürüm 6.1.5’e güncellemeniz gerekiyor. Eklenti: Modern Etkinlik Takvimi Güvenlik Açığı: Cross -Site betiği versiyonda yansıtıldı: 6.1.5 ŞEDİ PUAN: Yüksek
Güvenlik açığı yamalandı, bu nedenle sürüm 6.1.5’e güncellemeniz gerekiyor.
7. Otomatik üstün görüntü
Eklenti: Mükemmel Görüntü Otomatik Güvenlik Açığı: Çapraz Yüzey Komut Dosyası Sürümde Yansıtılan: 3.9.3 ŞEDE PUAN: Orta
Güvenlik açığı yamalandı, bu nedenle sürüm 3.9.3’e güncellemeniz gerekiyor. 8. Ultimate Nofollow eklentisi: Ultimate Nofollow Güvenlik Açığı: Katkıda Bulunma+ Depolanmış Site Çapraz Komut Dosyası Sürümde Yama: Bilinen bir gelişme yoktur – Eklenti Kapalı Şiddet: Bu yoğunluk yamalanmamış olsa da. Bu eklenti 28 Eylül 2021’de kapatıldı. Kurulum kaldırıldı ve silindi.
9. Nex-Formal Eklenti: Nex-Formal Güvenlik Açığı: Bazı Yönetici + Sosyal Çapraz Bölge Komut Dosyaları Sürümde Yamalı: Bilinen Geliştirme Yok-Eklenti Kapalı Şiddet: Düşük
Bu güvenlik açığı yamalanmadı. Bu eklenti 4 Ekim 2021’de kapatıldı. Kurulum kaldırıldı ve silindi.
10. SEO Eklenti Takviyesi: SEO Güçlendirme Güvenlik Açığı: Yönetici+ SQL enjeksiyonu sürümde yamalıdır: bilinen gelişme yok – eklenti kapalı bilim: orta
Bu güvenlik açığı yamalanmadı. Bu eklenti 5 Ekim 2021’de kapatıldı. Kurulum kaldırıldı ve silindi.
11. WP sistemini kaydedin
Eklenti: WP Güvenlik Açığı Sistemi Günlüğü: Sosyal site komut dosyaları, sürümde boyutlandırılmamış olarak saklanır: 1.0.21 ŞEDİ PUAN: Kritik
Güvenlik açığı yamalandı, bu nedenle 1.0.21 sürümüne güncellemeniz gerekiyor.
12. İlham Alıntı Eklentisi Rotator: İlham Alıntı Rotator Güvenlik Açığı: Yönetici+ Social Cross -Site Script Sürümde Yamalı: Bilinen Geliştirme Yok – Eklenti Kapalı Sexirche: Düşük Bu güvenlik açığı yamalanmadı. Bu eklenti 23 Eylül 2021’de kapatıldı. Kurulum kaldırıldı ve silindi.
13. Tek Post İhracatçı Eklentisi: Tek Post İhracatçı Güvenlik Açığı: Eklenti Ayarlarının CSRF üzerinden yenilenmesi sürümde yamalıdır: Bilinen Geliştirme Yok – Eklenti Kapalı Bilim: Orta Düzenleme
Bu güvenlik açığı yamalanmadı. Bu eklenti 23 Eylül 2021’de kapatıldı. Kurulum kaldırıldı ve silindi. Yerel yazı tipi Esnek Eklenti: Yerel yazı tipi Flex Güvenlik Açığı: Yönetici+ Social Cross -Site komut dosyası sürümde yamalıdır: bilinen iyileştirme yok – eklenti: düşük olduğu sürece kapalıdır.
Bu güvenlik açığı yamalanmadı. Bu eklenti 23 Eylül 2021’de kapatıldı. Kurulum kaldırıldı ve silindi.
15. Yönetici Logo Değişiklikleri WP Eklentisi: Yönetici Logo WP Logo Güvenlik Açığı: Eklenti Ayarlarının CSRF üzerinden Yenilemesi Sürümde Yamalı: Hiçbir iyileştirme bilinmiyor – Eklenti Kapalı Şiddet: Orta Düzenleme
Bu güvenlik açığı yamalanmadı. Bu eklenti 4 Ekim 2021’de kapatıldı. Kurulum kaldırıldı ve silindi.
16. Gelişmiş Veritabanı Eklentisi İletişim Formu: Savunmasız İletişim Formlarının Gelişmiş Veritabanı: AJAX Çağrıları Sürümde Geçerli Değildir: Şiddet Skoru tarafından hiçbir iyileştirme bilinmez: Orta
Bu eklenti 27 Eylül 2021’de kapatıldı ve indirilemedi. Bu kapanış geçicidir, tam bir inceleme bekliyor. Onarımlar bulunana kadar kaldırmanızı ve silmenizi tavsiye ediyoruz.
17. Parlak Eklenti Düğmesi: Parlak Güvenlik Açığı Düğmesi: Sosyal site komut dosyaları Saklanan sürümde kimlik doğrulanmamış: Geliştirme hiçbir gelişme bilinen Ciddi Puan: Yüksek
Bu eklenti 27 Eylül 2021’de kapatıldı ve indirilemedi. Bu kapanış geçicidir, tam bir inceleme bekliyor. Onarımlar bulunana kadar kaldırmanızı ve silmenizi tavsiye ediyoruz.
18. Portföy Galerisi Filtre Eklentisi: Filtre Portföy Galerisi Güvenlik Açığı: Rasgele Galeri’nin CSRF üzerinden kaldırılması sürümde yamalıdır: Hiçbir iyileştirme bilinen Ciddi Puan: Bu eklenti 27 Eylül 2021’de kapatılmış ve indirilebilir. Bu kapanış geçicidir, tam bir inceleme bekliyor. Onarımlar bulunana kadar kaldırmanızı ve silmenizi tavsiye ediyoruz.
19. WP Limit Eklentisi: WP Güvenlik Açığı Sınırı: Eklenti Ayarlarının CSRF üzerinden yenilenmesi sürümde yamalıdır: Şiddet skoru tarafından iyileştirme bilinmez: Orta
Bu eklenti 4 Ekim 2021’de kapatıldı ve indirilemedi. Bu kapanış geçicidir, tam bir inceleme bekliyor. Onarımlar bulunana kadar kaldırmanızı ve silmenizi tavsiye ediyoruz.
20. Eklenti İçindekiler Kodu/Gönderi Gönder: Kısa Kod İçerik Sayfası/Gönderme Güvenlik Açığı: Katkıda Bulunma+ Erişim Gönderme/Sıralama Giyim Sayfaları Yama Sürümde Yama: Şiddetle Gelişme Bilinmez: Orta Düzenleme
Bu eklenti 4 Ekim 2021’de kapatıldı ve indirilemedi. Bu kapanış geçicidir, tam bir inceleme bekliyor. Onarımlar bulunana kadar kaldırmanızı ve silmenizi tavsiye ediyoruz.
21. Eklenti Sayfalarında Artış: Güvenlik Açığı Artışı Sayfası: Katkıda Bulunan+ Gönderi/Rasgele Sayfalara Erişim Sürümde yamalıdır: Hiçbir iyileştirme Şiddet Skoru olarak bilinmez: Orta
Bu eklenti 8 Ekim 2021’de kapatıldı ve indirilemedi. Bu kapanış geçicidir, tam bir inceleme bekliyor. Onarımlar bulunana kadar kaldırmanızı ve silmenizi tavsiye ediyoruz.
22. Medialamic eklenti: Mediamatik Güvenlik Açığı: Müşteri+ SQL Enjeksiyon Yaması Sürümde Yama: Hiçbir iyileştirme bilinen ŞEYLEME Puanı: TingGiplugin 11 Ekim 2021’de kapatılmıştır ve indirilebilir. Bu kapanış geçicidir, tam bir inceleme bekliyor. Onarımlar bulunana kadar kaldırmanızı ve silmenizi tavsiye ediyoruz.
23. Meta Veri Post eklentisini görüntüleme: Meta verileri Göster Güvenlik Açığı: Katkıda Bulunan+ Depolanmış Site Komut Dosyaları Sürümde Yamalıdır: Hiçbir iyileştirme Önem Puanı olarak bilinmez: Orta
Bu eklenti 21 Ekim 2021’de kapatıldı ve indirilemedi. Bu kapanış geçicidir, tam bir inceleme bekliyor. Onarımlar bulunana kadar kaldırmanızı ve silmenizi tavsiye ediyoruz.
24. TOTOP Eklenti Bağlantısı: Güvenlik Açığı Totop Bağlantı: Sürümde Kimlik Doğrulanmayan PHP nesnelerinin enjeksiyonu: Şiddet Skoru tarafından hiçbir iyileştirme bilinmez: Orta
Bu eklenti 21 Ekim 2021’de kapatıldı ve indirilemedi. Bu kapanış geçicidir, tam bir inceleme bekliyor. Onarımlar bulunana kadar kaldırmanızı ve silmenizi tavsiye ediyoruz.
25. Eklenti Kullanıcı Meta Kısa Kodu: Kısa Kod Meta Kullanıcı Güvenlik Açığı: Katkıda Bulunan + Meta Veri Erişim Kullanıcıları Sürümde geçerli olmayan bir yama: Şiddetle hiçbir iyileştirme bilinmez: Yükseklik:
Bu eklenti 12 Ekim 2021’de kapatıldı ve indirilemedi. Bu kapanış geçicidir, tam bir inceleme bekliyor. Onarımlar bulunana kadar kaldırmanızı ve silmenizi tavsiye ediyoruz.
26. Eklenti Tırnak Koleksiyonu: Güvenlik Açığı Tırnak Koleksiyonu: Yönetici+ SQL Enjeksiyonu Sürümde Yamalıdır: Hiçbir iyileştirme bilinen Ciddi Puan: Bu eklenti 13 Ekim 2021’de kapatılmış ve indirilebilir. Bu kapanış geçicidir, tam bir inceleme bekliyor. Onarımlar bulunana kadar kaldırmanızı ve silmenizi tavsiye ediyoruz.
27. WordPress (Lite) için Push Bildirimi
Eklenti: WordPress (Lite) için Push Bildirimi Güvenlik Açığı: CSRF üzerinden ayarların yenilenmesi, sürümde yamalıdır: 6.0.1 Önem Puanı: Orta
Güvenlik açığı yamalandı, bu nedenle sürüm 6.0.1’e güncellemeniz gerekiyor.
28. SportsPress
Eklenti: SportsPress Güvenlik Açığı: Çapraz yerinde komut dosyası versiyona yansıtıldı: 2.7.9 Önem Puanı: Yüksek
Güvenlik açığı yamalandı, bu nedenle 2.7.9 sürümüne güncellemeniz gerekiyor.
29. Giriş/açılır listesi
Eklenti: Giriş/Popup Liste Güvenlik Açığı: Çapraz yer komut dosyaları Sürüm: 2.2 Sexir Puan: Yüksek
30. WooCommerce eklentisi için e -posta önizleme: woocommerce için önizleme e -posta güvenlik açığı: çapraz yer komut dosyaları: 2.0.0 Önem Puanı: Orta sürümde yansıtılır
Güvenlik açığı yamalandı, bu nedenle 3.0.0.5 sürümüne güncellemeniz gerekiyor. 31. WP Kullanıcı Ön Görünümü
Eklenti: WP Kullanıcı Ön Uç Güvenlik Açığı: WordPress için Üyelik, Profil, Kayıt ve Gönderme Eklentisi Gönderim Sürüm: 3.5.25 Önem Puanı: Orta
Güvenlik açığı yamalandı, bu nedenle 3.5.25 sürümüne güncellemeniz gerekiyor. 32. Yönetmen – İşletme Rehberi Eklentisi
Eklenti: Yönetmen – Eklenti İş Rehberi Güvenlik Açığı: CSRF – Uzun Mesafe Dosya Yüklemesi Sürümde Yamalı: 7.0.6.2 ŞEDE PUAN: Kritisananan yamalı, bu nedenle 7.0.6.2 sürümüne güncellemeniz gerekiyor.
33. Kolay Kayıt Formu Eklentisi: Kolay Kayıt Formu Güvenlik Açığı: Depolanan Cross -Site betiğine CSRF Sürümde yamalıdır: Hiçbir iyileştirme Şiddet Skoru olarak bilinmez: Yükseklik
Bu eklenti 12 Kasım 2021’de kapatıldı ve indirilemedi. Bu kapanış geçicidir, tam bir inceleme bekliyor. Onarımlar bulunana kadar kaldırmanızı ve silmenizi tavsiye ediyoruz.
34. WP Pro’yu sıfırlayın Eklenti: WP Sıfırla Profesyonel Güvenlik Açığı: Müşteri+ veritabanı Yaması Sürümde: 5.99 ŞEHİR PUANI: Kritik
Güvenlik açığı yamalandı, bu nedenle sürüm 5.99’a güncellemeniz gerekiyor.
Eklenti: WP Sıfırlama Profesyonelden Olabilirlik: Veritabanı Sıfırlama CSRF üzerinden yamalıdır: 5.99 ŞEHİR Puanı: Kritik Güvenlik açığı yamalandı, bu nedenle sürüm 5.99’a güncellemeniz gerekiyor.
35. WordPress + Microsoft Office 365
Eklenti: WordPress + Microsoft Office 365 Güvenlik Açığı: Sosyal Site Komut Dosyaları SAPS Sürüm: 15.4 Önem Puanı: Kritik
Güvenlik açığı yamalandı, bu nedenle sürüm 15.4’e güncellemeniz gerekiyor.
36. Yinelenen Gönderi Eklenti: Yinelenen Güvenlik Açığı Gönderi: Totenticated SQL enjeksiyonu sürümde yamalıdır: 1.2.0 Şiddet Puanı: Orta
Güvenlik açığı yamalandı, bu nedenle 1.2.0 sürümüne güncellemeniz gerekiyor.
37. Rezerv göçü
Eklenti: Güvenlik Açığı Rezerv Geçişi: Yönetici+ Depolanmış Çapraz Yerinde Komut Dosyaları Sürümde Yamalı: 1.1.6 Şiddet Puanı: Orta
Güvenlik açığı yamalandı, bu nedenle 1.1.6 sürümüne güncellemeniz gerekiyor. WordPress sitenizi bu rapordan gördüğünüz eklentiler ve temalardan nasıl koruyabilirsiniz, birçok yeni WordPress eklentisi ve temaların güvenlik açığı her hafta ifade edilir. Bildirilen güvenlik açığının her açıklamasını bilmenin zor olabileceğini biliyoruz, bu nedenle Ithemes Security Pro eklentisi, sitenizin bilinen güvenlik açığı ile WordPress’in temasını, eklentisini veya çekirdek sürümünü çalıştırmamasını kolaylaştırıyor.
1. Ithemes Eklentisi Güvenlik Pro eklentisini yükleyin Ithemes Security Pro WordPress sitenizi web sitesini kesmek için kullanılan en yaygın yoldan güçlendirin. Sitenizi tek bir eklenti ile güvence altına almanın 30’dan fazla yolu ile.
2. Ithemes Security Pro’daki sürümün yönetim özelliğini kontrol etmek için site taramasını etkinleştirin Security Pro, sitenizi korumak için sitenin taranmasıyla entegre edilir. WordPress’in savunmasız temaları, eklentileri ve temel sürümleri sizin için otomatik olarak güncellenecektir. 3. Güvenlik ihlallerini hızlı bir şekilde algılamak için anahtar dosyalardaki değişiklikleri izleyin, web sitenizdeki dosya değişikliklerini izlemektir. ItHemes Security Pro’daki Dosya Değiştirme Tespiti özelliği, web sitesi dosyanızı tarayacak ve web sitenizde bir değişiklik olup olmadığını size söyleyecektir.
7/24 web sitesi güvenlik izleme ile Ithemes Security Pro
WordPress Security eklentimiz Ithemes Security Pro, web sitenizi Common WordPress güvenlik açığından korumak ve korumak için 50’den fazla yol sunar. WordPress, iki faktör kimlik doğrulaması, kaba kuvvet koruması, güçlü şifre uygulaması ve daha fazlası ile web sitenize ekstra bir güvenlik katmanı ekleyebilirsiniz. Eklenti güvenlik açığı ve teması için site tarayıcısı
Gerçek Zamanlı Set Güvenliğinde Değişikliklerin Tespiti Filedasbor
WordPress Güvenlik Günlüğü
Güvenilir Bir Cihaz
recaptcha
Şiddetin korunması
İki faktör kimlik doğrulaması
Sihirli bağlantı Artan ayrıcalıklar
Sızılan şifrenin incelenmesi ve reddedilmesi
Ithemes Security Pro için% 40 tasarruf edin
