WordPress插件漏洞
3月下半月,不少插件爆出了安全漏洞,一起來看下。
1、WordPress File Upload
版本低於 4.13.0 的 WordPress File Upload 插件具有遠程執行代碼漏洞。 請及時更新到 4.13.0 及以上版本。
2、LearnPress
LearnPress 版本 3.2.6.7 以下具有特權升級漏洞。請及時更新到 3.2.6.7 版本或以上。
3、Custom Post Type UI
Custom Post Type UI 版本 1.7.4 以下存在跨站請求偽造和存儲的跨站腳本漏洞。請及時更新到 1.7.4 。
4、Migrate & Backup WordPress – WPvivid Backup Plugin
Migrate & Backup WordPress – WPvivid Backup Plugin 低於0.9.36的版本缺少授權,導致數據庫泄漏漏洞。 請及時更新到 0.9.36 版本。
5、All-in-One WP Migration
All-in-One WP Migration 低於 7.15 版本具有任意備份下載漏洞。 請及時更新到 7.15 以上。
6、Newsletter
Newsletter 低於6.5.4本具有CSV注入漏洞。請及時更新到 6.5.4 以上。
7、Gutenberg & Elementor Templates Importer For Responsive
Gutenberg & Elementor Templates Importer For Responsive 版本 2.2.6以下 具有不受保護的AJAX端點漏洞。請及時更新到 2.2.6 以上。
8、Advanced Ads – Ad Manager & AdSense
Advanced Ads – Ad Manager & AdSense 版本1.17.4以下 具有“已驗證的反映跨站點腳本” 漏洞。請及時更新到 1.17.4 以上。
9、Cookiebot
低於3.6.1的Cookiebot版本具有身份驗證的反映跨站點腳本漏洞。 請及時更新到3.6.1版本以上。
10、Data Tables Generator by Supsystic
Data Tables Generator by Supsystic 版本 1.9.92 以下具有多個漏洞,請及時更新至 1.9.92 以上。
11、其他插件
- Buddypress Component Stats
- abstract-submission
- WP e-Commerce Shop Styling
- web-portal-lite-client
- post-pdf-export
- blogtopdf
- gboutique
以上7個插件包含安全漏洞,並已被從WordPress倉庫下架,請儘快禁用並刪除!!
如何主動應對WordPress漏洞
運行過時的軟件是WordPress網站遭到黑客入侵的第一原因。擁有更新例程對於WordPress網站的安全至關重要。您應該每周至少登錄一次網站以執行更新。
自動更新可以提供幫助
對於不經常更改的WordPress網站,自動更新是一個不錯的選擇。缺乏關注通常會使這些站點被忽略並且容易受到攻擊。即使使用了建議的安全設置,在您的站點上運行易受攻擊的軟件仍可以使攻擊者進入您的站點。