2020年2月上半月披露了新的WordPress插件和主題漏洞。在這篇文章中,我們介紹了最近的WordPress插件、主題和核心漏洞,以及如果您在網站上運行易受攻擊的插件或主題之一該怎麼辦。
WordPress漏洞匯總分為3個不同類別:
- WordPress核心
- WordPress插件
- WordPress主題
WordPress核心漏洞
2020年沒有任何已公開的WordPress漏洞。
WordPress插件漏洞
到目前為止,本月已經發現了幾個新的WordPress插件漏洞。確保按照以下建議的操作來更新插件或完全卸載它。
1. Elementor頁面構建器
Elementor Page Builder版本2.8.4及更低版本具有經過身份驗證的反映跨站點腳本漏洞。漏洞被已修復,因此您應該更新到版本2.8.5以上。
2. Strong Testimonials
Strong Testimonials 版本2.40.0及更低版本具有一個“存儲的跨站點腳本” 漏洞。 漏洞已被修復,因此您應該更新到版本2.40.0以上。
3. Portfolio Filter Gallery
Portfolio Filter Gallery 版本1.1.2及更低版本具有跨站點請求偽造漏洞,該漏洞可能導致Reflected XSS攻擊。 漏洞已被修復,因此您應該更新到版本1.1.3以上。
4. Tutor LMS
Tutor LMS 1.5.2及更低版本的容易受到跨站點請求偽造攻擊。 漏洞已被修復,因此您應該更新到版本1.5.3以上。
5. Login by Auth0
Login by Auth0 3.11.2及更低版本進行登錄容易受到未經身份驗證的Reflected XSS 攻擊。 漏洞已被修復,因此您應該更新到版本3.11.3以上。
6. Htaccess by BestWebSoft
Htaccess by BestWebSoft 具有跨站點請求偽造漏洞,該漏洞可能導致攻擊者編輯.htaccess。 它已在WordPress.org插件存儲庫上關閉,有待審核,您應該馬上刪除該插件。
7. Ultimate Membership Pro
Ultimate Membership Pro 低於8.6.1版本具有多個漏洞,可能導致低槓桿用戶執行遠程執行代碼攻擊。 漏洞已被修復,因此您應該更新到版本8.6.1以上。
8. Events Manager & Events Manager Pro
Events Manager 低於版本5.9.7.2和 Events Manager Pro 低於2.6.7.2版本很容易受到CSV注入攻擊。 漏洞已得到修補,您應該更新到Events Manager版本5.9.7.2和Events Manager Pro版本2.6.7.2。
9. Profile Builder and Profile Builder Pro
3.1.1版以下的Profile Builder和Profile Builder Pro具有一個損壞的身份驗證漏洞,允許未經身份驗證的用戶註冊或編輯其帳戶,並使用插件的表單獲取管理員角色。 漏洞已被修復,您應該更新到版本3.1.1。
10. Participants Database
Participants Database 1.9.5.5及更低版本容易受到身份驗證的SQL注入攻擊。 漏洞已修復,您應該更新到1.9.5.6版。
11. GDPR Cookie Consent
GDPR Cookie Consent 版本1.8.2及更低版本具有不當訪問控制漏洞,該漏洞可能允許低級用戶更改帖子或頁面的狀態,並可能導致跨站點腳本攻擊。 漏洞已修復,因此您應該更新到版本1.8.3。
12. Ninja Forms
Ninja Forms 版本3.4.22及以下版本存在多個經過身份驗證的存儲跨站點腳本漏洞。漏洞已被修復, 因此您應該更新到版本3.4.23。
WordPress主題漏洞
1. Reality Theme
Reality Theme版本2.5.1和更低版本容易受到未經身份驗證的反映跨站點腳本攻擊。 漏洞已被修復,因此您應該更新到版本2.5.2。
如何主動應對WordPress主題和插件漏洞
運行過時的軟件是WordPress網站遭到黑客入侵的第一原因。擁有更新例程對於WordPress網站的安全至關重要。您應該每周至少登錄一次網站以執行更新。
自動更新可以提供幫助
對於不經常更改的WordPress網站,自動更新是一個不錯的選擇。缺乏關注通常會使這些站點被忽略並且容易受到攻擊。即使使用了建議的安全設置,在您的站點上運行易受攻擊的軟件仍可以使攻擊者進入您的站點。