WordPress主題插件相關(guān)漏洞匯總（2020年2月下半月）

2月下半月披露了新的WordPress插件和主題漏洞，在這篇文章中，我們介紹了最近的WordPress插件、主題和核心漏洞，以及如果您在網(wǎng)站上運行易受攻擊的插件或主題之一該怎么辦。

WordPress漏洞匯總分為3個不同類別：

1. WordPress核心
2. WordPress插件
3. WordPress主題

WordPress核心漏洞

2020年沒有任何已公開的WordPress核心漏洞。

WordPress插件漏洞

到目前為止，本月已經(jīng)發(fā)現(xiàn)了幾個新的WordPress插件漏洞。確保按照以下建議的操作來更新插件或完全卸載它。

1. Ninja Forms

Ninja Form版本3.4.22.1及更低版本具有多個經(jīng)過身份驗證的存儲的跨站點腳本漏洞。 該漏洞已修復(fù)，您應(yīng)該更新到版本3.4.23。

2. ThemeGrill Demo Importer

Theme Grill Demo Importer?1.6.1及更低版本具有一個漏洞，該漏洞使未經(jīng)身份驗證的用戶可以擦除整個數(shù)據(jù)庫。 該漏洞已修復(fù)，您應(yīng)該更新到版本1.6.2。

3. SAML SP Single Sign On

SAML SP Single Sign On 4.8.83及更低版本容易受到跨站點腳本攻擊的攻擊。 該漏洞已修復(fù)，您應(yīng)該更新到版本4.8.84。

4. wpCentral

wpCentral?1.5.1和更低版本具有“權(quán)限升級控制訪問錯誤”?漏洞。 該漏洞已修復(fù)，您應(yīng)該更新到版本1.5.2。

5. ThemeREX Addons

ThemRex Addons版本1.6.50和更高版本具有一個被遠程利用的“遠程執(zhí)行代碼”漏洞。 刪除插件，直到發(fā)布補丁為止。

6. Modula Image Gallery

Modula Image Gallery?2.2.4及更低版本具有已驗證的存儲的跨站點腳本漏洞。 該漏洞已修復(fù)，您應(yīng)該更新到版本2.2.5。

7. Duplicator

Duplicator 1.3.26及更低版本具有未經(jīng)身份驗證的任意文件下載漏洞。 該漏洞已修復(fù)，您應(yīng)該更新到版本1.3.28。

8. Chained Quiz

Chained Quiz by Kiboko Labs 1.1.9及更低版本具有一個“身份驗證的存儲的跨站點腳本”漏洞。 該漏洞已修復(fù)，您應(yīng)該更新到版本1.1.9.1。

9. RegistrationMagic

RegistrationMagic?4.6.0.1及更低版本具有多個“跨站點腳本”漏洞和一個“身份驗證的SQL注入”漏洞。 漏洞已修復(fù)，您應(yīng)該更新到4.6.0.3版。

10. Ultimate Membership Pro

Ultimate Membership Pro 8.7?版以下具有跨站點腳本和跨站點請求偽造漏洞。 該漏洞已修復(fù)，您應(yīng)該更新到版本8.7。

11. Photo Gallery by 10Web

Photo Gallery版本1.5.45及更低版本具有多個跨站點腳本漏洞。 該漏洞已修復(fù)，您應(yīng)該更新到版本1.5.46。

12. Envira Photo Gallery

Envira Photo Gallery版本1.7.6和更低版本具有“身份驗證的存儲跨站點腳本”?漏洞。 該漏洞已修復(fù)，您應(yīng)該更新到版本1.6.2。

13. iThemes Sync Pro

iThemes Sync Pro 2.1.3及更低版本在身份驗證請求中缺少隨機數(shù)。 該漏洞已修復(fù)，您應(yīng)該更新到版本2.1.3。

WordPress主題

1. Fruitful

Fruitful 主題版本3.8及以下版本容易受到未經(jīng)身份驗證的反映跨站點腳本攻擊。 刪除主題。已報告該漏洞，但主題開發(fā)人員未答復(fù)。

如何主動應(yīng)對WordPress主題和插件漏洞

運行過時的軟件是WordPress網(wǎng)站遭到黑客入侵的第一原因。擁有更新例程對于WordPress網(wǎng)站的安全至關(guān)重要。您應(yīng)該每周至少登錄一次網(wǎng)站以執(zhí)行更新。

自動更新可以提供幫助

對于不經(jīng)常更改的WordPress網(wǎng)站，自動更新是一個不錯的選擇。缺乏關(guān)注通常會使這些站點被忽略并且容易受到攻擊。即使使用了建議的安全設(shè)置，在您的站點上運行易受攻擊的軟件仍可以使攻擊者進入您的站點。

更多應(yīng)對方法

• 如何提高WordPress站點安全？
• WordPress網(wǎng)站如何被黑客入侵
• 增強WordPress安全性的10個Nginx規(guī)則
• 15個有用的WordPress .htaccess 代碼片段
• 15個常用的WordPress wp-config.php 配置代碼
• WordPress文件讀寫權(quán)限建議
• WordPress安全管理及防火墻插件：All In One WP Security & Firewall
• 修改WordPress后臺登錄地址，提高安全性
• WordPress安全檢查及修復(fù)插件：iThemes Security
• WordPress站點被掛馬？如何預(yù)防、檢測和應(yīng)對？
• 10個最佳的免費WordPress安全插件