Дайджест уязвимостей плагинов WordPress за ноябрь 2021

В ноябре пользователи WordPress столкнулись с уязвимостью некоторых плагинов, причем с разным уровнем – от низкого до самого критического. Команда WordPress сообщила о проблемах в целях обеспечения безопасности сообщества. Рассмотрим, какие баги оказались наиболее интересными и были ли они исправлены. Если вы планируете создать сайт на WordPress или уже давно используете эту CMS, то обратите внимание на нашу подборку уязвимостей и проверьте обновления плагинов, чтобы не допустить взлома.

Стоит отметить, что платформа WordPress столкнулась с тем, что истек срок действия сертификата корневого центра сертификации DST X3, но это было исправлено в версии 5.8.2. Почему это произошло? Дело в том, что файл wp-includes / Certific / ca-bundle.crt содержит корневой сертификат DST X3, срок действия которого истек 30 сентября 2021 года. Эта ошибка вызывает предупреждение системы безопасности и браузеров. Уязвимость wordpress исправлена, пользователям следует убедиться в том, что они используют WordPress версии не ниже 5.8.2.

Топ-10 уязвимостей плагинов WP – обзор за ноябрь

Почему стоит обратить внимание на уязвимость плагинов? Прежде всего это связано с тем, что для злоумышленников упрощается процедура взлома сайта Wordpress. В дальнейшем это приводит к утечке данных. Рассмотрим самые серьезные уязвимости плагинов ВордПресс и какую угрозу они представляли.

Регистрация в календаре событий

Этот плагин столкнулся с неаутентифицированным внедрением SQL-кода. Ошибка в работе утилиты была исправлена в версии 2.7.6. Специалисты оценивают эту уязвимость, как высокую.

LoginWP

С LoginWP произошло то, что начали отражаться межсайтовые скрипты. Этот баг исправлен в ver. 3.0.0.5 Оценка серьезности: высокая. Чтобы больше не испытывать проблем с плагином, выполните обновления до версии 3.0.0.5.

WooCommerce Currency Switcher

Переключатель валют WooCommerce, как и в прошлом случае, столкнулся с некоторыми проблемами, связанными с отражением межсайтовых сценариев. Баг исправлен в версии 1.3.7.1 и, если вы, до сих пор сталкиваетесь с неполадками, выполните обновления. Эксперты оценивают среднюю серьезность этого бага.

Защищенное копирование и блокировка содержимого

Плагин для защиты содержимого и безопасного копирования - WP-Copy Protect столкнулся с очень серьезной уязвимостью. Существовали риски раскрытие подписчика и адреса электронной почты. Но разработчики оперативно среагировали и исправили ошибку в версии 2.8.2.

Bookly

Плагин Bookly начал отображать межсайтовые скрипты, хранимые сотрудниками, но специалисты пофиксили баги в версии 20.3.1 Оценка серьезности: средняя. Выполните обновление до версии 20.3.1, чтобы больше не сталкиваться с подобными неполадками.

Живой чат Tawk.to

Уязвимость плагинов, в том числе такого, как Tawk.to Live Chat, очень сильно бьет по защите данных. Злоумышленникам легко получить доступ к важной информации. В случае с плагином Tawk.to проблема заключалась в мониторинге подписчиков и посетителей, а также удалении чата. Эту уязвимость оценивают, как высокую. Ее исправили в версии: 0.6.0.

Доступ к данным WP

WP Data Access испытала трудности с внедрением SQL-кода, но недолго. В версии 5.0.0 ошибка была устранена. Оценка серьезности: высокая

Программа просмотра PDF.js

PDF.js Viewer начал сохранять межсайтовые скрипты. Но специалисты пофиксили баг в версии : 2.0.2 Насколько эта ошибка критична? Эксперты оценивают уязвимость, как среднюю.

Резервное копирование и восстановление

Плагин резервного копирования и восстановления - BackUp Wordpress испытывал трудности с произвольным удалением файлов. Специалисты оценивают критичность этого бага средне, и она до сих пор не исправлена. Поэтому удалите этот плагин, пока неполадки не будут устранены.

LearnPress

Проверка wordpress на уязвимости показала, что плагин LearnPress испытал сложности с внедрением SQL-кода, но баг был исправлен и ??в версии 4.1.4. Оценка серьезности: средняя. Выполните обновления, чтобы больше не сталкиваться с этой проблемой.

Также ошибки возникли при работе следующих добавлений: OptinMonster, WordPress Popular Posts и Video Gallery. Чтобы не сталкиваться с уязвимостью, рекомендуем использовать Wp Reset Pro – этот инструмент упрощает отладку и разработку тем и плагинов путем сброса и восстановления.

Помните, что регулярное обновление CMS и ее плагинов является неотъемлемой частью цифровой гигиены. Приглашаем Вас протестировать наш WordPress хостинг 7 дней бесплатно. Мы специально оптимизировали настройки PHP и MySQL для максимальной эффективности работы этой популярной CMS.

Подписывайтесь на наш телеграмм - канал t.me/freehostua, чтобы быть в курсе новых полезных материалов. Смотрите наш Youtube канал на youtube.com/freehostua.