2020年2月上半月披露了新的WordPress插件和主题漏洞。在这篇文章中,我们介绍了最近的WordPress插件、主题和核心漏洞,以及如果您在网站上运行易受攻击的插件或主题之一该怎么办。
WordPress漏洞汇总分为3个不同类别:
- WordPress核心
- WordPress插件
- WordPress主题
WordPress核心漏洞
2020年没有任何已公开的WordPress漏洞。
WordPress插件漏洞
到目前为止,本月已经发现了几个新的WordPress插件漏洞。确保按照以下建议的操作来更新插件或完全卸载它。
1. Elementor页面构建器
Elementor Page Builder版本2.8.4及更低版本具有经过身份验证的反映跨站点脚本漏洞。漏洞被已修复,因此您应该更新到版本2.8.5以上。
2. Strong Testimonials
Strong Testimonials 版本2.40.0及更低版本具有一个“存储的跨站点脚本” 漏洞。 漏洞已被修复,因此您应该更新到版本2.40.0以上。
3. Portfolio Filter Gallery
Portfolio Filter Gallery 版本1.1.2及更低版本具有跨站点请求伪造漏洞,该漏洞可能导致Reflected XSS攻击。 漏洞已被修复,因此您应该更新到版本1.1.3以上。
4. Tutor LMS
Tutor LMS 1.5.2及更低版本的容易受到跨站点请求伪造攻击。 漏洞已被修复,因此您应该更新到版本1.5.3以上。
5. Login by Auth0
Login by Auth0 3.11.2及更低版本进行登录容易受到未经身份验证的Reflected XSS 攻击。 漏洞已被修复,因此您应该更新到版本3.11.3以上。
6. Htaccess by BestWebSoft
Htaccess by BestWebSoft 具有跨站点请求伪造漏洞,该漏洞可能导致攻击者编辑.htaccess。 它已在WordPress.org插件存储库上关闭,有待审核,您应该马上删除该插件。
7. Ultimate Membership Pro
Ultimate Membership Pro 低于8.6.1版本具有多个漏洞,可能导致低杠杆用户执行远程执行代码攻击。 漏洞已被修复,因此您应该更新到版本8.6.1以上。
8. Events Manager & Events Manager Pro
Events Manager 低于版本5.9.7.2和 Events Manager Pro 低于2.6.7.2版本很容易受到CSV注入攻击。 漏洞已得到修补,您应该更新到Events Manager版本5.9.7.2和Events Manager Pro版本2.6.7.2。
9. Profile Builder and Profile Builder Pro
3.1.1版以下的Profile Builder和Profile Builder Pro具有一个损坏的身份验证漏洞,允许未经身份验证的用户注册或编辑其帐户,并使用插件的表单获取管理员角色。 漏洞已被修复,您应该更新到版本3.1.1。
10. Participants Database
Participants Database 1.9.5.5及更低版本容易受到身份验证的SQL注入攻击。 漏洞已修复,您应该更新到1.9.5.6版。
11. GDPR Cookie Consent
GDPR Cookie Consent 版本1.8.2及更低版本具有不当访问控制漏洞,该漏洞可能允许低级用户更改帖子或页面的状态,并可能导致跨站点脚本攻击。 漏洞已修复,因此您应该更新到版本1.8.3。
12. Ninja Forms
Ninja Forms 版本3.4.22及以下版本存在多个经过身份验证的存储跨站点脚本漏洞。漏洞已被修复, 因此您应该更新到版本3.4.23。
WordPress主题漏洞
1. Reality Theme
Reality Theme版本2.5.1和更低版本容易受到未经身份验证的反映跨站点脚本攻击。 漏洞已被修复,因此您应该更新到版本2.5.2。
如何主动应对WordPress主题和插件漏洞
运行过时的软件是WordPress网站遭到黑客入侵的第一原因。拥有更新例程对于WordPress网站的安全至关重要。您应该每周至少登录一次网站以执行更新。
自动更新可以提供帮助
对于不经常更改的WordPress网站,自动更新是一个不错的选择。缺乏关注通常会使这些站点被忽略并且容易受到攻击。即使使用了建议的安全设置,在您的站点上运行易受攻击的软件仍可以使攻击者进入您的站点。
更多应对方法
- 如何提高WordPress站点安全?
- WordPress网站如何被黑客入侵
- 增强WordPress安全性的10个Nginx规则
- 15个有用的WordPress .htaccess 代码片段
- 15个常用的WordPress wp-config.php 配置代码
- WordPress文件读写权限建议
- WordPress安全管理及防火墙插件:All In One WP Security & Firewall
- 修改WordPress后台登录地址,提高安全性
- WordPress安全检查及修复插件:iThemes Security
- WordPress站点被挂马?如何预防、检测和应对?
重点关注下Elementor就行了
看了下,我受影响的就一个插件,已经更新了。
一段时间没过去,发现你的网站改版了,^_^
要吃饭,所以改了下版。