最近WordPress安全形势不容忽视,尤其是WP-VCD恶意代码在WordPress盗版主题和插件中传播迅速,感染非常严重!
WordPress插件漏洞
3月下半月,不少插件爆出了安全漏洞,一起来看下。
1、WordPress File Upload
版本低于 4.13.0 的 WordPress File Upload 插件具有远程执行代码漏洞。 请及时更新到 4.13.0 及以上版本。
2、LearnPress
LearnPress 版本 3.2.6.7 以下具有特权升级漏洞。请及时更新到 3.2.6.7 版本或以上。
3、Custom Post Type UI
Custom Post Type UI 版本 1.7.4 以下存在跨站请求伪造和存储的跨站脚本漏洞。请及时更新到 1.7.4 。
4、Migrate & Backup WordPress – WPvivid Backup Plugin
Migrate & Backup WordPress – WPvivid Backup Plugin 低于0.9.36的版本缺少授权,导致数据库泄漏漏洞。 请及时更新到 0.9.36 版本。
5、All-in-One WP Migration
All-in-One WP Migration 低于 7.15 版本具有任意备份下载漏洞。 请及时更新到 7.15 以上。
6、Newsletter
Newsletter 低于6.5.4本具有CSV注入漏洞。请及时更新到 6.5.4 以上。
7、Gutenberg & Elementor Templates Importer For Responsive
Gutenberg & Elementor Templates Importer For Responsive 版本 2.2.6以下 具有不受保护的AJAX端点漏洞。请及时更新到 2.2.6 以上。
8、Advanced Ads – Ad Manager & AdSense
Advanced Ads – Ad Manager & AdSense 版本1.17.4以下 具有“已验证的反映跨站点脚本” 漏洞。请及时更新到 1.17.4 以上。
9、Cookiebot
低于3.6.1的Cookiebot版本具有身份验证的反映跨站点脚本漏洞。 请及时更新到3.6.1版本以上。
10、Data Tables Generator by Supsystic
Data Tables Generator by Supsystic 版本 1.9.92 以下具有多个漏洞,请及时更新至 1.9.92 以上。
11、其他插件
- Buddypress Component Stats
- abstract-submission
- WP e-Commerce Shop Styling
- web-portal-lite-client
- post-pdf-export
- blogtopdf
- gboutique
以上7个插件包含安全漏洞,并已被从WordPress仓库下架,请尽快禁用并删除!!
如何主动应对WordPress漏洞
运行过时的软件是WordPress网站遭到黑客入侵的第一原因。拥有更新例程对于WordPress网站的安全至关重要。您应该每周至少登录一次网站以执行更新。
自动更新可以提供帮助
对于不经常更改的WordPress网站,自动更新是一个不错的选择。缺乏关注通常会使这些站点被忽略并且容易受到攻击。即使使用了建议的安全设置,在您的站点上运行易受攻击的软件仍可以使攻击者进入您的站点。
更多应对方法
- 如何提高WordPress站点安全?
- WordPress网站如何被黑客入侵
- 增强WordPress安全性的10个Nginx规则
- 15个有用的WordPress .htaccess 代码片段
- 15个常用的WordPress wp-config.php 配置代码
- WordPress文件读写权限建议
- WordPress安全管理及防火墙插件:All In One WP Security & Firewall
- 修改WordPress后台登录地址,提高安全性
- WordPress安全检查及修复插件:iThemes Security
- WordPress站点被挂马?如何预防、检测和应对?
- 10个最佳的免费WordPress安全插件
