2020年还没有公开的任何WordPress内核漏洞,但是今年的WordPress插件漏洞一直非常严重,今天我们来整理一下3月份上半月所发现的最新WordPress插件漏洞信息,希望大家可以仔细看下,自己是否在使用包含漏洞的插件版本。
WordPress插件漏洞
到目前为止,本月已经发现了几个新的WordPress插件漏洞。确保按照以下建议的操作来更新插件或完全卸载它。
1. Pricing Table by Supsystic
Pricing Table by Supsystic 1.8.1及更低版本的定价表具有多个漏洞。 漏洞已修复,您应该更新到版本1.8.2以上。
2. Flexible Checkout Fields for WooCommerce
Flexible Checkout Fields for WooCommerce 版本2.3.1及更低版本具有“未经身份验证的设置更新”漏洞。该插件遭到了恶意的积极利用,并向WooCommerce结帐页面注入了恶意脚本。 该漏洞已修复,您应该更新到版本2.3.2。
3. Export Users
Export Users 1.4.2及更低版本易受CSV注入攻击。 该插件已在WordPress.org插件存储库上下架,应马上删除。
4. Hero Maps
Hero Maps 2.2.1及更低版本具有一个未经身份验证的反映跨站点脚本漏洞。 该漏洞已修复,您应该更新到版本2.2.3。
5. CardGate Payments for WooCommerce
CardGate Payments for WooCommerce 3.1.15及更低版本具有未经授权的付款劫持和订单状态欺骗漏洞。 该漏洞已修复,您应该更新到版本3.1.16。
6. Async JavaScript
Async JavaScript 版本2.19.07.14及以下版本具有未经身份验证的存储的跨站点脚本漏洞。 该漏洞已修复,您应该更新到版本2.20.03.01。
7. 10Web Map Builder for Google Maps
10Web Map Builder for Google Maps 1.0.63及更低版本有一个未经身份验证的存储的跨站点脚本漏洞。 该漏洞已修复,您应该更新到版本1.0.64。
8. Modern Events Calendar Lite
Modern Events Calendar Lite 5.1.6及更低版本具有一个“存储的跨站点脚本” 漏洞。 该漏洞已修复,您应该更新到版本5.1.7。
9. Appointment Booking Calendar
Appointment Booking Calendar 1.3.34及更低版本具有“身份验证的存储跨站点脚本” 漏洞。 该漏洞已修复,您应该更新到版本1.3.35。
10. WPForms
WPForms 1.5.8.2和更低版本具有“身份验证的跨站点脚本” 漏洞。 该漏洞已修复,您应该更新到版本1.5.9。
11. WordPress WP-Advanced-Search
WordPress WP-Advanced-Search 3.3.3及更低版本具有未经身份验证的数据库访问和远程执行代码漏洞。 该漏洞已修复,您应该更新到版本3.3.4。
12. Registration Magic
RegistrationMagic 4.6.0.1及更低版本具有多个安全漏洞。 该漏洞已修复,您应该更新到版本4.6.0.4。
13. Brizy – Page Builder
Brizy – Page Builder版本1.0.113及以下版本具有“未经身份验证的网站设置更新” 漏洞。 该漏洞已修复,您应该更新到版本1.0.114。
14. Custom Searchable Data Entry System
Custom Searchable Data Entry System 1.7.1及更低版本具有未经身份验证的数据修改和删除漏洞。该漏洞正在被积极利用。 安全补丁尚未发布,您应该删除该插件。
15. WP Security Audit Log
WP Security Audit Log 版本4.0.1及更低版本具有破坏访问控制漏洞。 该漏洞已修复,您应该更新到版本4.0.2。
16. Popup Builder
Popup Builder 3.63及以下版本存在未经身份验证的XSS和信息泄露漏洞。漏洞可能允许未经身份验证的攻击者向显示在成千上万个网站上的弹出窗口注入恶意JavaScript代码,以窃取信息,并有可能完全接管目标站点。 该漏洞已修复,您应该更新到版本3.64.1。
如何主动应对WordPress漏洞
运行过时的软件是WordPress网站遭到黑客入侵的第一原因。拥有更新例程对于WordPress网站的安全至关重要。您应该每周至少登录一次网站以执行更新。
自动更新可以提供帮助
对于不经常更改的WordPress网站,自动更新是一个不错的选择。缺乏关注通常会使这些站点被忽略并且容易受到攻击。即使使用了建议的安全设置,在您的站点上运行易受攻击的软件仍可以使攻击者进入您的站点。
更多应对方法
- 如何提高WordPress站点安全?
- WordPress网站如何被黑客入侵
- 增强WordPress安全性的10个Nginx规则
- 15个有用的WordPress .htaccess 代码片段
- 15个常用的WordPress wp-config.php 配置代码
- WordPress文件读写权限建议
- WordPress安全管理及防火墙插件:All In One WP Security & Firewall
- 修改WordPress后台登录地址,提高安全性
- WordPress安全检查及修复插件:iThemes Security
- WordPress站点被挂马?如何预防、检测和应对?
- 10个最佳的免费WordPress安全插件