WordPress的系統(tǒng)使用越來越廣發(fā),很多的大型企業(yè)開始選擇利用WordPress作為主技術(shù)支撐,但是也有很多人對(duì)WordPress系統(tǒng)安全不了解,下面我們由北京六翼信息技術(shù)有限公司的技術(shù)開發(fā)工程師為大家講解WordPress建站安全問題處理中的漏洞報(bào)告。
易受攻擊的插件和主題是 WordPress 網(wǎng)站被黑的第一大原因。由 WPScan 提供支持的每周 WordPress 漏洞報(bào)告涵蓋了最近的 WordPress 插件、主題和核心漏洞,以及如果您在您的網(wǎng)站上運(yùn)行其中一個(gè)易受攻擊的插件或主題該怎么做。
每個(gè)漏洞的嚴(yán)重性等級(jí)為低、中、高或嚴(yán)重。負(fù)責(zé)任地披露和報(bào)告漏洞是維護(hù) WordPress 社區(qū)安全不可或缺的一部分。請(qǐng)與您的朋友分享這篇文章,以幫助宣傳并使 WordPress 對(duì)每個(gè)人都更安全!
1. 啟用媒體替換
(1) 漏洞:作者+任意文件上傳
(2) 是否修復(fù):是
(3) 版本:4.0.2
2. Spectra
(1) 漏洞:存儲(chǔ)跨端腳本
(2) 是否修復(fù):是
(3) 版本:1.15.0
3. GiveWP
(1) 漏洞:Contributor+ 存儲(chǔ)型 XSS;未經(jīng)身份驗(yàn)證的 SQLi
(2) 是否修復(fù):是
(3) 版本:2.24.1
4. Parsi Date
(1) 漏洞:反映跨站腳本
(2) 是否修復(fù):是
(3) 版本:4.0.2
5. Better Font Awesome
(1) 漏洞:Contributor+ 存儲(chǔ)型 XSS
(2) 是否修復(fù):是
(3) 版本:2.0.4
6. LearnPress插件
(1) 漏洞:未經(jīng)驗(yàn)證的 LFI;訂閱者+ SQLi;未經(jīng)身份驗(yàn)證的 SQLi
(2) 是否修復(fù):是
(3) 版本:4.2.0
7. WooCommerce的客戶評(píng)論
(1) 漏洞:貢獻(xiàn)者+ LFI;Contributor+ 存儲(chǔ)型 XSS
(2) 是否修復(fù):是
(3) 漏洞:版本:5.17.0
8. WP 訪客統(tǒng)計(jì)(實(shí)時(shí)流量)
(1) 漏洞:Contributor+ 通過簡(jiǎn)碼存儲(chǔ) XSS
(2) 是否修復(fù):是
(3) 版本:6.5
9. WP 谷歌評(píng)論滑塊
(1) 漏洞:訂閱者+ SQLi
(2) 是否修復(fù):是
(3) 版本:11.8
10. WP客戶專區(qū)
(1) 漏洞:通過 CSRF 進(jìn)行的未經(jīng)授權(quán)的操作
(2) 是否修復(fù):是
(3) 版本:8.1.4
WordPress建站安全性問題的系列以后會(huì)定期更新,歡迎關(guān)注。
