2020年2月上半月披露了新的WordPress插件和主題漏洞。在這篇文章中,我們介紹了最近的WordPress插件、主題和核心漏洞,以及如果您在網(wǎng)站上運行易受攻擊的插件或主題之一該怎么辦。
WordPress漏洞匯總分為3個不同類別:
- WordPress核心
- WordPress插件
- WordPress主題
WordPress核心漏洞
2020年沒有任何已公開的WordPress漏洞。
WordPress插件漏洞
到目前為止,本月已經(jīng)發(fā)現(xiàn)了幾個新的WordPress插件漏洞。確保按照以下建議的操作來更新插件或完全卸載它。
1. Elementor頁面構(gòu)建器
Elementor Page Builder版本2.8.4及更低版本具有經(jīng)過身份驗證的反映跨站點腳本漏洞。漏洞被已修復(fù),因此您應(yīng)該更新到版本2.8.5以上。
2. Strong Testimonials
Strong Testimonials 版本2.40.0及更低版本具有一個“存儲的跨站點腳本”?漏洞。 漏洞已被修復(fù),因此您應(yīng)該更新到版本2.40.0以上。
3. Portfolio Filter Gallery
Portfolio Filter Gallery 版本1.1.2及更低版本具有跨站點請求偽造漏洞,該漏洞可能導(dǎo)致Reflected XSS攻擊。 漏洞已被修復(fù),因此您應(yīng)該更新到版本1.1.3以上。
4. Tutor LMS
Tutor LMS 1.5.2及更低版本的容易受到跨站點請求偽造攻擊。 漏洞已被修復(fù),因此您應(yīng)該更新到版本1.5.3以上。
5. Login by Auth0
Login by Auth0 3.11.2及更低版本進行登錄容易受到未經(jīng)身份驗證的Reflected?XSS?攻擊。 漏洞已被修復(fù),因此您應(yīng)該更新到版本3.11.3以上。
6. Htaccess by BestWebSoft
Htaccess by BestWebSoft 具有跨站點請求偽造漏洞,該漏洞可能導(dǎo)致攻擊者編輯.htaccess。 它已在WordPress.org插件存儲庫上關(guān)閉,有待審核,您應(yīng)該馬上刪除該插件。
7. Ultimate Membership Pro
Ultimate Membership Pro 低于8.6.1版本具有多個漏洞,可能導(dǎo)致低杠桿用戶執(zhí)行遠(yuǎn)程執(zhí)行代碼攻擊。 漏洞已被修復(fù),因此您應(yīng)該更新到版本8.6.1以上。
8. Events Manager & Events Manager Pro
Events Manager 低于版本5.9.7.2和 Events Manager Pro 低于2.6.7.2版本很容易受到CSV注入攻擊。 漏洞已得到修補,您應(yīng)該更新到Events Manager版本5.9.7.2和Events Manager Pro版本2.6.7.2。
9. Profile Builder and Profile Builder Pro
3.1.1版以下的Profile Builder和Profile Builder Pro具有一個損壞的身份驗證漏洞,允許未經(jīng)身份驗證的用戶注冊或編輯其帳戶,并使用插件的表單獲取管理員角色。 漏洞已被修復(fù),您應(yīng)該更新到版本3.1.1。
10. Participants Database
Participants Database 1.9.5.5及更低版本容易受到身份驗證的SQL注入攻擊。 漏洞已修復(fù),您應(yīng)該更新到1.9.5.6版。
11. GDPR Cookie Consent
GDPR Cookie Consent 版本1.8.2及更低版本具有不當(dāng)訪問控制漏洞,該漏洞可能允許低級用戶更改帖子或頁面的狀態(tài),并可能導(dǎo)致跨站點腳本攻擊。 漏洞已修復(fù),因此您應(yīng)該更新到版本1.8.3。
12. Ninja Forms
Ninja Forms 版本3.4.22及以下版本存在多個經(jīng)過身份驗證的存儲跨站點腳本漏洞。漏洞已被修復(fù), 因此您應(yīng)該更新到版本3.4.23。
WordPress主題漏洞
1. Reality Theme
Reality Theme版本2.5.1和更低版本容易受到未經(jīng)身份驗證的反映跨站點腳本攻擊。 漏洞已被修復(fù),因此您應(yīng)該更新到版本2.5.2。
如何主動應(yīng)對WordPress主題和插件漏洞
運行過時的軟件是WordPress網(wǎng)站遭到黑客入侵的第一原因。擁有更新例程對于WordPress網(wǎng)站的安全至關(guān)重要。您應(yīng)該每周至少登錄一次網(wǎng)站以執(zhí)行更新。
自動更新可以提供幫助
對于不經(jīng)常更改的WordPress網(wǎng)站,自動更新是一個不錯的選擇。缺乏關(guān)注通常會使這些站點被忽略并且容易受到攻擊。即使使用了建議的安全設(shè)置,在您的站點上運行易受攻擊的軟件仍可以使攻擊者進入您的站點。
更多應(yīng)對方法
- 如何提高WordPress站點安全?
- WordPress網(wǎng)站如何被黑客入侵
- 增強WordPress安全性的10個Nginx規(guī)則
- 15個有用的WordPress .htaccess 代碼片段
- 15個常用的WordPress wp-config.php 配置代碼
- WordPress文件讀寫權(quán)限建議
- WordPress安全管理及防火墻插件:All In One WP Security & Firewall
- 修改WordPress后臺登錄地址,提高安全性
- WordPress安全檢查及修復(fù)插件:iThemes Security
- WordPress站點被掛馬?如何預(yù)防、檢測和應(yīng)對?
重點關(guān)注下Elementor就行了
看了下,我受影響的就一個插件,已經(jīng)更新了。
一段時間沒過去,發(fā)現(xiàn)你的網(wǎng)站改版了,^_^
要吃飯,所以改了下版。