Loading
0

WordPress插件 漏洞匯總(2020年3月下半月)

最近WordPress安全形勢不容忽視,尤其是WP-VCD惡意代碼在WordPress盜版主題和插件中傳播迅速,感染非常嚴重!

WordPress插件漏洞

3月下半月,不少插件爆出了安全漏洞,一起來看下。

1、WordPress File Upload

版本低于 4.13.0 的 WordPress File Upload 插件具有遠程執行代碼漏洞。 請及時更新到 4.13.0 及以上版本。

2、LearnPress

LearnPress 版本 3.2.6.7 以下具有特權升級漏洞。請及時更新到 3.2.6.7 版本或以上。

3、Custom Post Type UI

Custom Post Type UI 版本 1.7.4 以下存在跨站請求偽造和存儲的跨站腳本漏洞。請及時更新到 1.7.4 。

4、Migrate & Backup WordPress – WPvivid Backup Plugin

Migrate & Backup WordPress – WPvivid Backup Plugin 低于0.9.36的版本缺少授權,導致數據庫泄漏漏洞。 請及時更新到 0.9.36 版本。

5、All-in-One WP Migration

All-in-One WP Migration 低于 7.15 版本具有任意備份下載漏洞。 請及時更新到 7.15 以上。

6、Newsletter

Newsletter 低于6.5.4本具有CSV注入漏洞。請及時更新到 6.5.4 以上。

7、Gutenberg & Elementor Templates Importer For Responsive

Gutenberg & Elementor Templates Importer For Responsive 版本 2.2.6以下 具有不受保護的AJAX端點漏洞。請及時更新到 2.2.6 以上。

8、Advanced Ads – Ad Manager & AdSense

Advanced Ads – Ad Manager & AdSense 版本1.17.4以下 具有“已驗證的反映跨站點腳本”漏洞。請及時更新到 1.17.4 以上。

9、Cookiebot

低于3.6.1的Cookiebot版本具有身份驗證的反映跨站點腳本漏洞。 請及時更新到3.6.1版本以上。

10、Data Tables Generator by Supsystic

Data Tables Generator by Supsystic 版本 1.9.92 以下具有多個漏洞,請及時更新至 1.9.92 以上。

11、其他插件

  1. Buddypress Component Stats
  2. abstract-submission
  3. WP e-Commerce Shop Styling
  4. web-portal-lite-client
  5. post-pdf-export
  6. blogtopdf
  7. gboutique

以上7個插件包含安全漏洞,并已被從WordPress倉庫下架,請盡快禁用并刪除??!

如何主動應對WordPress漏洞

運行過時的軟件是WordPress網站遭到黑客入侵的第一原因。擁有更新例程對于WordPress網站的安全至關重要。您應該每周至少登錄一次網站以執行更新。

自動更新可以提供幫助

對于不經常更改的WordPress網站,自動更新是一個不錯的選擇。缺乏關注通常會使這些站點被忽略并且容易受到攻擊。即使使用了建議的安全設置,在您的站點上運行易受攻擊的軟件仍可以使攻擊者進入您的站點。

更多應對方法

  • 如何提高WordPress站點安全?
  • WordPress網站如何被黑客入侵
  • 增強WordPress安全性的10個Nginx規則
  • 15個有用的WordPress .htaccess 代碼片段
  • 15個常用的WordPress wp-config.php 配置代碼
  • WordPress文件讀寫權限建議
  • WordPress安全管理及防火墻插件:All In One WP Security & Firewall
  • 修改WordPress后臺登錄地址,提高安全性
  • WordPress安全檢查及修復插件:iThemes Security
  • WordPress站點被掛馬?如何預防、檢測和應對?
  • 10個最佳的免費WordPress安全插件