Rapport de vulnérabilité WordPress: novembre 2021, partie 4

Les plugins et les thèmes vulnérables sont les principales causes d’intrusion sur les sites WordPress. Le rapport hebdomadaire de vulnérabilité de WordPress fourni par wpscan couvre les plug – ins WordPress récents, les thèmes et les principales vulnérabilités, et ce que vous devez faire si vous utilisez l’un des plug – ins ou thèmes vulnérables sur votre site. Chaque vulnérabilité aura un niveau faible, moyen, élevé ou critique. La divulgation responsable et les rapports de vulnérabilité font partie intégrante de la sécurité de la communauté WordPress. Partagez ce message avec vos amis pour aider à diffuser l’information et rendre WordPress plus sûr pour tous.
24 novembre 2021 WordPress hosted Report Contents: GoDaddy hackers attack WordPress main Vulnerability WordPress plugin Vulnerability 1. Pixel Cat Lite 2. Galerie intégrée 3. Stopbadbot 4. Accès temporaire sans mot de passe 5. Profil appuyez sur 6. Calendrier des événements modernes 7. Mise en évidence automatique de l’image 8. Dernier no follow 9. Module 10 suivant. Booster SEO 11. Registre WP 12. Rotateur de registre d’excitation 13. Exportateur postal unique 14. Caractères locaux flexibles 15. Modifier le logo de l’Administrateur WP 16. Base de données avancée pour le formulaire de contact 17. Bouton clignotant 18. Filtrer la Bibliothèque de Portfolio 19. WP 20 limitations. Page 21 \ code court pour le contenu du message. L’amélioration comprend la page 22. Mediamatic 23. Afficher les métadonnées après 24 heures. Top 25 Link. Meta Short Code for user 26. Recueil des citations 27. Avis Push WordPress (LITE) 28. Éditions sportives 29. Accès \ inscription popup 30. Prévisualiser le courriel de woocommerce 31. WP 32 user front end. Director – Business Directory plug – in 33. Formulaire d’inscription sommaire 34. WP Reset pro 35. WordPress + Microsoft Office 365 36. Message répété 37. Comment la migration de sauvegarde protège les sites WordPress des sujets et plugins vulnérables obtenez ithemes Security pro en utilisant la surveillance SiC
Site Web 24×7 urée vous souhaitez recevoir ce rapport dans votre boîte de réception chaque semaine? Abonnez – vous à WordPress hosting Weekly email: GoDaddy a déclaré dans une déclaration de sécurité publiée le 21 novembre 2021 que jusqu’à 1,2 million de clients actifs et inactifs ont été exposés après que des pirates informatiques ont accédé à sa plateforme d’hébergement WordPress hébergée.
Nous avons écrit un article pour décompresser quelques détails de la récente attaque de piratage de GoDaddy, comment elle affecte les clients, et nos conseils si vous êtes un client d’hébergement WordPress sur GoDaddy. Lire les principales vulnérabilités de WordPress release la dernière version de WordPress Core est 5.8.2. Comme pratique exemplaire, assurez – vous toujours d’exécuter la dernière version de WordPress Core! Vulnérabilité du plug – in WordPress cette section révèle les dernières vulnérabilités du plug – in WordPress. Chaque liste de plug – ins contient le type de vulnérabilité, le numéro de version (s’il est corrigé) et le niveau de gravité.
1. Pixel Cat Lite Plug – in: pixel Cat Lite Vulnerability: script patch between Administrator + archive sites version: 2.6.3 Gravity score: Low this Vulnerability has been fixed, so you need to upgrade to version 2.6.3. Plug – in: pixel Cat Lite Vulnerability: csrf to Archive Cross – site script patch version: 2.6.2 Gravity score: High this Vulnerability has been fixed, so you need to upgrade to version 2.6.2. 2. Galerie intégrée Plug – in: All in one Gallery Vulnerability: Administrator + local file Gravity score patched in version: 2.5.0: Low
Cette vulnérabilité a été corrigée, donc vous devez passer à la version 2.5.0. 3. Stopbadbot Plug – in: vulnérabilité stopbadbots: script crossreflection corrigé dans la version 6.67 de Gravity score
: Cette vulnérabilité critique a été corrigée, de sorte que vous devez passer à la version 6.67. 4. Accès temporaire sans mot de passe Plug – in: vulnérabilité d’accès temporaire sans mot de passe: mise à jour 1.7.1 paramètres du plug – in abonné + patch Gravity Rating: la vulnérabilité moyenne a été corrigée et doit donc être mise à jour vers la version 1.7.1. 5. Machine à mouler Plug – in: profilepress Vulnerability: Reflection Cross – script patch version: 3.2.3 Gravity score: average
Cette vulnérabilité a été corrigée, donc vous devez passer à la version 3.2.3. Plug – in: profilepress Vulnerability: Reflection crossscript patch version: 3.2.3 Gravity score: High this Vulnerability has been fixed, so you need to upgrade to version 3.2.3. 6. Calendrier des événements modernes Plug – in: vulnérabilité moderne du calendrier des événements: version non validée du correctif d’injection SQL aveugle: 6.1.5 sévérité: Cette vulnérabilité élevée a été corrigée, donc vous devez passer à la version 6.1.5. Plug – in: Modern Event Calendar Vulnerability: Reflective Cross – script patch version: 6.1.5 Gravity score: High
Cette vulnérabilité a été corrigée, donc vous devez passer à la version 6.1.5. 7. Mise en évidence automatique de l’image Plug – in: autohighlighting image Vulnerability: Reflection Cross script patch version: 3.9.3 Gravity score: average Vulnerability has been fixed, so you need to upgrade to version 3.9.3. Dernier plug – in sans trace: vulnérabilité ultime sans trace: contributeur + script Archive Cross – site patch version: aucune réparation connue – plug – in close Severity Rating: Cette vulnérabilité moyenne n’a pas été corrigée. Ce plug – in a été
Hiuso il 28 settembre 2021. Désinstaller et supprimer. Module plug – in NEX: vulnérabilité du formulaire NEX: script entre plusieurs sites d’administrateur + d’archive, version Patch: aucune réparation connue – plug – in close Severity Rating: Low
Cette vulnérabilité n’a pas été corrigée. Le plug – in est fermé depuis le 4 octobre 2021. Désinstaller et supprimer. 10. Booster SEO plug – in: seo Booster Vulnerability: admin + SQL injection patch version: No known repair – plug – in close Severity Rating: average this Vulnerability has not been repaired. Le plug – in a été fermé le 5 octobre 2021. Désinstaller et supprimer. 11. Registre WP Plug – in: vulnérabilité du registre WP: archive non authentifiée Cross – site script patch version: 1.0.21 sévérité Rating: sévérité la vulnérabilité a été corrigée, donc vous devez passer à la version 1.0.21. Plug – in de rotateur de devis d’excitation: vulnérabilité de rotateur de devis d’excitation: gestion entre les sites d’archives + script patch version: aucune réparation connue – plug – in Off Gravity score: Low
Cette vulnérabilité n’a pas été corrigée. Le plug – in a été fermé le 23 septembre 2021. Désinstaller et supprimer. Plug – in d’exportateur de courrier unique: vulnérabilité d’exportateur de courrier unique: mise à jour des paramètres du plug – in via csrf, version Patch: aucune réparation connue – Cote de gravité d’arrêt du plug – in: Cette vulnérabilité moyenne n’a pas été corrigée. Le plug – in a été fermé le 23 septembre 2021. Désinstaller et supprimer. 14. Flexible local Character plug – in: Flexible local Character Vulnerability: admin + stored Cross – site script patch version: No known repair – close plug – in Severity score: Low
Cette vulnérabilité n’a pas été corrigée. Le plug – in a été fermé le 23 septembre 2021. Désinstaller et supprimer. 15. Remplacer l’Administrateur du logo
Examen approfondi. Nous vous recommandons de désinstaller et de supprimer jusqu’à ce qu’une solution soit trouvée. 20. Page \ post content Short Code plug – in: page \ post content Short Code Vulnerability: Contributor + Access to any page \ Post, patch version: No known repair Severity Rating: average the plug – in was closed on 4 October 2021 and cannot be ed. Cette fermeture est temporaire en attendant un examen complet. Nous vous recommandons de désinstaller et de supprimer jusqu’à ce qu’une solution soit trouvée. Amélioration du plug – in include page: amélioration de la vulnérabilité include page: contributeur + accès à n’importe quelle page \ message corrigé dans la version: aucun score de gravité de réparation connu: le plug – in moyen a été fermé le 8 octobre 2021 et ne peut pas être téléchargé. Cette fermeture est temporaire en attendant un examen complet. Nous vous recommandons de désinstaller et de supprimer jusqu’à ce qu’une solution soit trouvée. 22. Plug – in mediamatic: mediamatic Vulnerability: Subscriber + SQL injection patch version: No known repair Severity score: High Le plug – in a été fermé le 11 octobre 2021 et ne peut pas être téléchargé. Cette fermeture est temporaire en attendant un examen complet. Nous vous recommandons de désinstaller et de supprimer jusqu’à ce qu’une solution soit trouvée. Voir le plug – in de métadonnées Post: voir la vulnérabilité de métadonnées Post: contributeur + script Archive Cross – site patch version: aucun score de gravité de réparation connu: le plug – in moyen a été fermé le 21 octobre 2021 et ne peut pas être téléchargé. Cette fermeture est temporaire en attendant un examen complet. Nous vous recommandons de désinstaller et de supprimer jusqu’à ce qu’une solution soit trouvée. Plug – in Toplink: vulnérabilité Toplink: Injection
Vulnérabilité ESS + Microsoft Office 365: archive non authentifiée Cross – site script patch version: 15.4 sévérité Rating: la vulnérabilité critique a été corrigée, donc vous devez passer à la version 15.4. 36. Message répété Plug – in: duplicate post Vulnerability: authenticated SQL injection Gravity fraction patched in version 1.2.0: average Vulnerability has been repaired, so you need to upgrade to version 1.2.0. 37. Migration de sauvegarde Plug – in: vulnérabilité de migration de sauvegarde: gestion entre les sites de stockage corrigés dans la version 1.1.6 + score de gravité du script: vulnérabilité moyenne corrigée, donc vous devez passer à la version 1.1.6. Comment protéger votre site WordPress des thèmes et des plugins vulnérables comme vous pouvez le voir dans ce rapport, de nombreuses nouvelles vulnérabilités des plugins et des thèmes WordPress sont révélées chaque semaine. Nous savons qu’il est difficile de se tenir au courant de la divulgation de chaque vulnérabilité signalée, de sorte que le plug – in themes Security pro peut facilement s’assurer que votre site n’exécute pas de thèmes WordPress, de plug – ins ou de versions de base avec des vulnérabilités connues. 1. L’installation du plugin ithemes Security pro le plugin ithemes Security pro peut améliorer la sécurité du site WordPress et prévenir la destruction du site de la manière la plus courante. Dans un plug – in facile à utiliser, il y a plus de 30 façons de protéger votre site. 2. Activez la fonction de gestion de version de site Scan themes Security pro avec des vulnérabilités connues pour s’intégrer à site Scan afin de protéger votre site. Les thèmes vulnérables, les plugins et les principales versions de WordPress seront automatiquement mis à jour pour vous. 3. Surveiller les changements de fichiers la clé pour détecter rapidement les vulnérabilités en matière de sécurité est de surveiller les changements de fichiers sur le site Web. Fonction de détection