2月下半月披露了新的WordPress插件和主題漏洞,在這篇文章中,我們介紹了最近的WordPress插件、主題和核心漏洞,以及如果您在網站上運行易受攻擊的插件或主題之一該怎麼辦。
WordPress核心漏洞
2020年沒有任何已公開的WordPress核心漏洞。
WordPress插件漏洞
到目前為止,本月已經發現了幾個新的WordPress插件漏洞。確保按照以下建議的操作來更新插件或完全卸載它。
1. Ninja Forms
Ninja Form版本3.4.22.1及更低版本具有多個經過身份驗證的存儲的跨站點腳本漏洞。 該漏洞已修復,您應該更新到版本3.4.23。
2. ThemeGrill Demo Importer
Theme Grill Demo Importer 1.6.1及更低版本具有一個漏洞,該漏洞使未經身份驗證的用戶可以擦除整個數據庫。 該漏洞已修復,您應該更新到版本1.6.2。
3. SAML SP Single Sign On
SAML SP Single Sign On 4.8.83及更低版本容易受到跨站點腳本攻擊的攻擊。 該漏洞已修復,您應該更新到版本4.8.84。
4. wpCentral
wpCentral 1.5.1和更低版本具有“權限升級控制訪問錯誤” 漏洞。 該漏洞已修復,您應該更新到版本1.5.2。
5. ThemeREX Addons
ThemRex Addons版本1.6.50和更高版本具有一個被遠程利用的“遠程執行代碼”漏洞。 刪除插件,直到發布補丁為止。
6. Modula Image Gallery
Modula Image Gallery 2.2.4及更低版本具有已驗證的存儲的跨站點腳本漏洞。 該漏洞已修復,您應該更新到版本2.2.5。
7. Duplicator
Duplicator 1.3.26及更低版本具有未經身份驗證的任意文件下載漏洞。 該漏洞已修復,您應該更新到版本1.3.28。
8. Chained Quiz
Chained Quiz by Kiboko Labs 1.1.9及更低版本具有一個“身份驗證的存儲的跨站點腳本”漏洞。 該漏洞已修復,您應該更新到版本1.1.9.1。
9. RegistrationMagic
RegistrationMagic 4.6.0.1及更低版本具有多個“跨站點腳本”漏洞和一個“身份驗證的SQL注入”漏洞。 漏洞已修復,您應該更新到4.6.0.3版。
10. Ultimate Membership Pro
Ultimate Membership Pro 8.7 版以下具有跨站點腳本和跨站點請求偽造漏洞。 該漏洞已修復,您應該更新到版本8.7。
11. Photo Gallery by 10Web
Photo Gallery版本1.5.45及更低版本具有多個跨站點腳本漏洞。 該漏洞已修復,您應該更新到版本1.5.46。
12. Envira Photo Gallery
Envira Photo Gallery版本1.7.6和更低版本具有“身份驗證的存儲跨站點腳本” 漏洞。 該漏洞已修復,您應該更新到版本1.6.2。
13. iThemes Sync Pro
iThemes Sync Pro 2.1.3及更低版本在身份驗證請求中缺少隨機數。 該漏洞已修復,您應該更新到版本2.1.3。
WordPress主題
1. Fruitful
Fruitful 主題版本3.8及以下版本容易受到未經身份驗證的反映跨站點腳本攻擊。 刪除主題。已報告該漏洞,但主題開發人員未答覆。
如何主動應對WordPress主題和插件漏洞
運行過時的軟件是WordPress網站遭到黑客入侵的第一原因。擁有更新例程對於WordPress網站的安全至關重要。您應該每周至少登錄一次網站以執行更新。
自動更新可以提供幫助
對於不經常更改的WordPress網站,自動更新是一個不錯的選擇。缺乏關注通常會使這些站點被忽略並且容易受到攻擊。即使使用了建議的安全設置,在您的站點上運行易受攻擊的軟件仍可以使攻擊者進入您的站點。