WordPress Güvenlik Açığı Raporu: Kasım 2021, Bölüm 1
Savunmasız eklentiler ve temalar, WordPress web sitesinin neden saldırıya uğradığının nedenleridir. WPSPress tarafından desteklenen WeekPress Weekly Güvenlik Açığı Raporları, en son WordPress Core eklentileri, temalar ve güvenlik açığı ve web sitenizdeki eklentilerden veya savunmasız temalardan birini çalıştırırsanız ne yapmanız gerekir. Her güvenlik açığı düşük, orta, yüksek veya kritik bir şiddete sahip olacaktır. Sorumlu kırılganlığın açıklanması ve raporlanması, WordPress topluluğunun güvenliğini korumanın ayrılmaz bir parçasıdır. Haberleri yaymaya ve WordPress’i herkes için daha güvenli hale getirmek için lütfen bu gönderiyi arkadaşlarınızla paylaşın.
Isi Laporan 3 November 2021
WordPress Çekirdek Güvenlik Açığı
WordPress eklentisi güvenlik açığı
1. Ulasan Plus
2. Galeri Tampilan Slide
3. MainWP Anak
4. Katalog Produk eCommerce untuk WordPress
5. Falang multibahasa untuk WordPress
6. Pengelola Pelajaran Video
7. Pemeriksaan Ejaan WP
8. E-niaga – Otentikasi Dua Faktor
9. Pemuat MAZ
10. Gerbang Usia
11. Duplikat Posting
12. Pemberitahuan
13. Direktori Bisnis Koneksi
14. Media-Tag
15. Tentang Kotak Penulis
16. Langganan & Keanggotaan untuk PayPal
17. Terima Donasi dengan PayPal
18. Acara PayPal Mudah
19. Munculkan Apa Pun
20. Manajer Pekerjaan JS
21. Perubahan Datetime Massal
22. Bentuk Ninja
23. Ekspor Lampiran WP
24. Penggeser teks konten di pos
25. Importir Demo HashThemes
26. Pendaftaran untuk Kalender Acara
27. Papan Mang WP
28. OptinMonster
29. Skrip Berikutnya: Poster Otomatis Jejaring Sosial
30. Umpan Pos Sosial Smash Balloon
31. WP-Pro-Kuis
32. Formulir Kontak oleh Supsystic
33. WP-Statistik
WordPress sitenizi savunmasız eklentilerden ve temalardan nasıl koruyabilirsiniz
7/24 kanat web sitesini izleyerek Ithemes Security Pro’yu izleyerek bu rapor her hafta gelen kutunuza gönderiliyor mu?
Haftalık e -postalara abone olun
WordPress Çekirdek Güvenlik Açığı
WordPress Core’un en son sürümü 5.8.1’dir. En iyi uygulama olarak, her zaman WordPress’in en son sürümünü çalıştırdığınızdan emin olun!
WordPress eklentisi güvenlik açığı
Bu bölümde, en son WordPress eklentisi güvenlik açığı açıklanmıştır. Her eklenti listesi, güvenlik açığı türünü, yamalanırsa sayı sürümünü ve ciddiyet sıralamasını içerir. 1. Artı İnceleme
Eklenti: Gözden Geçirme Artı Güvenlik Açığı: Müşteri+ DOS İncelemesi Sürümde Yamalı: 1.2.14 Önem Puanı: Düşük
2. Slayt Ekran Galerisi
Eklenti: Slayt Gösterisi Galerisi Güvenlik Açığı: Yönetici+ Social Cross -Site Script Sürümde Yamalı: 1.7.4 Şiddet Puanı: Düşük Güvenlik açığı yamalandı, bu nedenle 1.7.4 sürümüne güncellemeniz gerekiyor.
3. Mainwp Çocuklar
Eklenti: MainWP Çocuk Güvenlik Açığı: Yönetici+ SQL enjeksiyonu sürümde yamalıdır: 4.1.8 Şiddet Puanı: Orta Güvenlik açığı yamalandı, bu nedenle 4.1.8 sürümüne güncellemeniz gerekiyor.
4. WordPress için E -Ticaret Ürün Kataloğu
Eklenti: WordPress için E -Ticaret Ürün Kataloğu Güvenlik Açığı: Çapraz -Yüzey Komut Dosyaları Sürüm: 3.0.39 Şiddet Puanı: Yüksek Güvenlik açığı yamalandı, bu nedenle 3.0.39 sürümüne güncellemeniz gerekiyor.
5. WordPress için Çarpılmış Falang
Eklenti: WordPress Güvenlik Açığı için Multi -Dilanage Falang: Çapraz Yüzey Komut Dosyası Sürüm: 1.3.18 Şiddet Puanı: Yüksek Güvenlik açığı yamalandı, bu nedenle 1.3.18 sürümüne güncellemeniz gerekiyor.
6. Video Ders Yöneticisi
Eklenti: Video Güvenlik Açığı Yöneticisi Dersler: Yönetici+ Social Cross -Site komut dosyaları sürümde yamalıdır: 1.7.2 ŞEDE PUAN: Low -Low yamalı, bu nedenle sürüm 1.7.2’ye güncellemeniz gerekir. 7. Yazım Sınavı WP
Eklenti: WP Yazım Denetimi Güvenlik Açığı: Çapraz Yüzey Komut Dosyası Sürümde Yansıtılan: 9.3 ŞEDE PUAN: Yüksek
Güvenlik açığı yamalandı, bu nedenle sürüm 9.3’e güncellemeniz gerekiyor. 8. E-Niaga-İki Faktör Kimlik Doğrulaması
Eklenti: e-niaga-kimlik doğrulama Güvenlik açığının iki faktörü: Siteler arası komut dosyaları versiyona yansır: 1.0.5 Şiddet Puanı: Yüksek
Güvenlik açığı yamalandı, bu nedenle 1.0.5 sürümüne güncellemeniz gerekiyor. 9. MAZ yük
Eklenti: MAZ Güvenlik Açığı Gevşesi: Rasgele Yükleyicinin CSRF aracılığıyla çıkarılması versiyonda yamalıdır: Hiçbir iyileştirme Şiddet olarak bilinmez: Yükseklik
Bu güvenlik açığı yamalanmadı. Kurulumu kaldırın ve yama serbest bırakılıncaya kadar eklentiyi silin. 10. Yaş Kapısı
Eklenti: Savunmasız Yaş Kapısı: İthalat düzenlemesi sürümde boyutlandırılmamıştır: 2.17.1 Önem Puanı: Kritik
Güvenlik açığı yamalandı, bu nedenle 2.17.1 sürümüne güncellemeniz gerekiyor. 11. Yinelenen Gönderi
Eklenti: Yinelenen Güvenlik Açığı Gönderi: Totenticated SQL enjeksiyonu sürümde yamalıdır: 1.2.0 Şiddet Puanı: Orta
Güvenlik açığı yamalandı, bu nedenle 1.2.0 sürümüne güncellemeniz gerekiyor. 12. Bildirim
Eklenti: Güvenlik Açığı Bildirimi: Yönetici+ Depolanmış Çapraz Yerinde Komut Dosyaları Sürüm: 8.0.0 Sexir Puan: Düşük
Güvenlik açığı yamalandı, bu nedenle 8.0.0 sürümüne güncellemeniz gerekiyor. 13. Bağlantı İşletme Rehberi
Eklenti: Business Dizini Güvenlik Açığı Bağlantısı: Yönetici+ CSV enjeksiyonu sürümde yamalıdır: 9.7 ŞEDE PUAN: Orta
Güvenlik açığı yamalandı, bu nedenle 9.7.14 sürümüne güncellemeniz gerekiyor. Media-Tag Eklentisi: Savunmasız Medya: Yönetici+ Depolanmış Siteler Arası Komut Dosyaları Sürümde Yamalı: Bilinen Geliştirme Yok-Eklenti Kapalı Bilim: Düşük Bu güvenlik açığı yamalanmadı. Bu eklenti 28 Eylül 2021’de kapatıldı. Kurulum kaldırıldı ve silindi.
15. Yazar kutusu hakkında
Eklenti: Savunmasız Yazar Box Hakkında: Katkıda Bulunan+ Sosyal Haç -Site Komut Dosyaları Sürüm: 1.0.2 Şiddet Puanı: Orta
Güvenlik açığı yamalandı, bu nedenle 1.0.2 sürümüne güncellemeniz gerekiyor.
16. PayPal için abone ve üyelik Eklenti: PayPal için Abonelik ve Üyelik Güvenlik Açığı: Çapraz yer komut dosyaları sayfa aracılığıyla yansıtılır Parametreler Sürümde yamalıdır: 1.1.3 ŞEDE PUAN: Yüksek
Güvenlik açığı yamalandı, bu nedenle 1.1.3 sürümüne güncellemeniz gerekiyor.
17. PayPal ile bağış alın Eklenti: PayPal Güvenlik Açığı ile Bağış Alın: Cross -Site komut dosyaları Sürüm: 1.3.1 Önem Puanı: Yüksek Yamalı Sayfa Parametreleri aracılığıyla yansıtılır.
Güvenlik açığı yamalandı, bu nedenle sürüm 1.3.1’e güncellemeniz gerekiyor.
18. Kolay PayPal Etkinlikleri Eklenti: PayPal Kolay Güvenlik Açığı: Çapraz yer komut dosyaları, sürümdeki yama parametreleri aracılığıyla yansıtılır: 1.1.2 Şiddet Puanı: Yüksek
Güvenlik açığı yamalandı, bu nedenle 1.1.2 sürümüne güncellemeniz gerekiyor.
19. Bir şeyden vazgeç Eklenti: Güvenlik Açığı Herhangi Bir Getirme: Katkıda Bulunanlar+ Depolanan Site Komut Dosyaları Sürümde Yamalı: 2.0.4 ŞEHİR PUAN: Yüksek
Güvenlik açığı yamalandı, bu nedenle 2.0.4 sürümüne güncellemeniz gerekiyor.
20. İş Yöneticisi JS Eklenti: JS İş Yöneticisi Güvenlik Açığı: Kimlik doğrulanmayan keyfi eklentilerin kurulumu/aktivasyonu sürümde yamalıdır: 1.1.9 ŞEDİ PUAN: Kritiskerendan yamalanmıştır, bu nedenle sürüm 1.1.9’a güncellemeniz gerekir.
21. Mass DateTime’daki değişiklikler
Eklenti: Mass DateTime’daki Değişiklikler Güvenlik Açığı: Yetkilendirme sürümde yamalı değil: 1.12 Önem Puanı: Orta Güvenlik açığı yamalandı, bu nedenle 1.12 sürümüne güncellemeniz gerekiyor.
22. Ninja şekli
Eklenti: Ninja Güvenlik Açığı Formu: Yönetici+ SQL enjeksiyonu sürümde yamalıdır: 3.6.4 Şiddet Puanı: Orta Güvenlik açığı yamalandı, bu nedenle 3.6.4 sürümüne güncellemeniz gerekiyor.
23. WP’ye ek ekleme
Eklenti: Dışa Aktar Ek WP Güvenlik Açığı: Kimlik doğrulanmayan indirilen gönderim sürümünde yamalıdır: 0.2.4 ŞEHİR PUAN: Yüksek Güvenlik açığı yamalandı, bu nedenle 0.2.4 sürümüne güncellemeniz gerekiyor.
24. Gönderideki Metin Sext İçeriği
Eklenti: VLIGE’deki Metin Hizmeti Metni Post: Çapraz Yongalı Site Komut Dosyaları (XSS) Sürümde Yamalı: 6.9 ŞEDİ PUAN: Orta
25. Demo İthalatçısı Hashthemes
Eklenti: Hashthemes İthalatçısı Demo Güvenlik Açığı: Blog sıfırlamasına uygunsuz erişim kontrolü Sürüm: 1.1.2 Bilim Puanı: Kritik Güvenlik açığı yamalandı, bu nedenle 1.1.2 sürümüne güncellemeniz gerekiyor.
26. Etkinlik takvimi için kayıt
Eklenti: Güvenlik Açığı Kayıtları Takvim Güvenlik Açığı: Cross -Site komut dosyaları Sürüm: 2.7.5 Şiddet Puanı: Yüksek Güvenlik açığı yamalandı, bu nedenle 2.7.5 sürümüne güncellemeniz gerekiyor.
27. WP MANG Kurulu
Eklenti: MANG Board WP Güvenlik Açığı: SQL enjeksiyonu sürümde yamalıdır: 1.6.9 ŞEDİ PUAN: Yükseklik yamalanmıştır, bu nedenle 1.6.9 sürümüne güncellemeniz gerekir. 28. Optinmonster
Eklenti: Optinmonster Güvenlik Açığı: Sonsuz dinlenme API dövüş noktaları sürümde yamalıdır: 2.6.5 Şiddet Puanı: Yüksek
Güvenlik açığı yamalandı, bu nedenle 2.6.5 sürümüne güncellemeniz gerekiyor. 29. Sonraki Senaryo: Otomatik Sosyal Ağ Posteri
Eklenti: NextScripts: Otomatik Poster Sosyal Ağ Güvenlik Açığı: Çapraz yer komut dosyaları Sürüm: 4.3.21 Şiddet Puanı: Yüksek
Güvenlik açığı yamalandı, bu nedenle 4.3.21 sürümüne güncellemeniz gerekiyor. 30. Sosyal Post Yem Smash Balon
Eklenti: Smash Balon Social Post Besleme Güvenlik Açığı: Rasgele Eklentilerin Yenileme Ayarları + Müşteriler XSS’ye Saklanan XSS’ye: 4.0.1 ŞEDİ PUAN: Yüksek
Güvenlik açığı yamalandı, bu nedenle 4.0.1 sürümüne güncellemeniz gerekiyor. 31. WP-PRO-KUIS Eklentisi: WP-PRO-KUIS Güvenlik Açığı: KSS ile keyfi sınavın kaldırılması sürümde yamalıdır: hiçbir gelişme bilinmez-eklenti kapalı şiddet: Orta derecede
Bu güvenlik açığı yamalanmadı. Bu eklenti 17 Temmuz 2020’de kapatıldı. Kurulum kaldırıldı ve silindi.
32. Supsystic tarafından iletişim formu Eklenti: Supsystic Güvenlik Açığı ile İrtibat Formu: Yönetici+ Sosyal Haç -Yüzey Komut Dosyası Sürümde Yamalı: Şiddet Skoru ile Gelişme Bilinmiyor: Düşük
Bu güvenlik açığı yamalanmadı. Kurulumu kaldırın ve yama serbest bırakılıncaya kadar eklentiyi silin.
33. WP-istatistikleri
Eklenti: WP-Stats Güvenlik Açığı: CSRF-Depolanan Siteler Arası Komut Dosyası (XSS) Sürümde Yamalı: 2.52 ŞEDE PUAN: Yüksek
Bu eklenti, en son WordPress’in 3 ana sürümü ile test edilmemiştir. Bu artık korunamayabilir veya desteklenmeyebilir ve daha yeni bir WordPress sürümü ile kullanıldığında bir uyumluluk problemi olabilir. Bu sonsuzluk yamalanmamıştır. Kurulumu kaldırın ve yama serbest bırakılıncaya kadar eklentiyi silin. WordPress sitenizi savunmasız eklentilerden ve temalardan nasıl koruyabilirsiniz
Bu rapordan da görebileceğiniz gibi, her hafta birçok yeni WordPress eklentisi ve tema güvenlik açığı ifade ediliyor. Bildirilen güvenlik açığının her açıklamasını bilmenin zor olabileceğini biliyoruz, bu nedenle Ithemes Security Pro eklentisi, sitenizin bilinen güvenlik açığı ile WordPress’in temasını, eklentisini veya çekirdek sürümünü çalıştırmamasını kolaylaştırıyor.
1. Ithemes Eklentisi Güvenlik Pro eklentisini yükleyin Ithemes Security Pro WordPress sitenizi web sitesini kesmek için kullanılan en yaygın yoldan güçlendirin. Sitenizi tek bir eklenti ile güvence altına almanın 30’dan fazla yolu ile. 2. Ithemes Security Pro’daki sürümün yönetim özelliğini kontrol etmek için site taramasını etkinleştirin Security Pro, sitenizi korumak için sitenin taranmasıyla entegre edilir. WordPress’in savunmasız temaları, eklentileri ve temel sürümleri sizin için otomatik olarak güncellenecektir.
3. Güvenlik ihlallerini hızlı bir şekilde algılamak için anahtar dosyalardaki değişiklikleri izleyin, web sitenizdeki dosya değişikliklerini izlemektir. ItHemes Security Pro’daki Dosya Değiştirme Tespiti özelliği, web sitesi dosyanızı tarayacak ve web sitenizde bir değişiklik olup olmadığını size söyleyecektir.
WordPress Security eklentimiz olan 7/24 Ithemes Security Pro web sitesinin izlenmesi ile Ithemes Security Pro’yu alın, web sitenizi ortak WordPress güvenlik açığından güvence altına almak ve korumak için 50’den fazla yol sunuyor.WordPress, iki faktör kimlik doğrulaması, kaba kuvvet koruması, güçlü şifre uygulaması ve daha fazlası ile web sitenize ekstra bir güvenlik katmanı ekleyebilirsiniz. Eklenti güvenlik açığı ve teması için site taraması
Dosya değişikliklerinin tespiti
Web sitesi güvenlik panosu gerçek zamanlı
WordPress Güvenlik Günlüğü
Güvenilir Bir Cihaz
recaptcha Şiddetin korunması
İki faktör kimlik doğrulaması
Sihirli bağlantı
Artan ayrıcalıklar
Sızılan şifrenin incelenmesi ve reddedilmesi
Ithemes Güvenlik Pro
