WordPress的系统使用越来越广发,很多的大型企业开始选择利用WordPress作为主技术支撑,但是也有很多人对WordPress系统安全不了解,下面我们由北京六翼信息技术有限公司的技术开发工程师为大家讲解WordPress建站安全问题处理中的漏洞报告。
易受攻击的插件和主题是 WordPress 网站被黑的第一大原因。由 WPScan 提供支持的每周 WordPress 漏洞报告涵盖了最近的 WordPress 插件、主题和核心漏洞,以及如果您在您的网站上运行其中一个易受攻击的插件或主题该怎么做。
每个漏洞的严重性等级为低、中、高或严重。负责任地披露和报告漏洞是维护 WordPress 社区安全不可或缺的一部分。请与您的朋友分享这篇文章,以帮助宣传并使 WordPress 对每个人都更安全!
1. 启用媒体替换
(1) 漏洞:作者+任意文件上传
(2) 是否修复:是
(3) 版本:4.0.2
2. Spectra
(1) 漏洞:存储跨端脚本
(2) 是否修复:是
(3) 版本:1.15.0
3. GiveWP
(1) 漏洞:Contributor+ 存储型 XSS;未经身份验证的 SQLi
(2) 是否修复:是
(3) 版本:2.24.1
4. Parsi Date
(1) 漏洞:反映跨站脚本
(2) 是否修复:是
(3) 版本:4.0.2
5. Better Font Awesome
(1) 漏洞:Contributor+ 存储型 XSS
(2) 是否修复:是
(3) 版本:2.0.4
6. LearnPress插件
(1) 漏洞:未经验证的 LFI;订阅者+ SQLi;未经身份验证的 SQLi
(2) 是否修复:是
(3) 版本:4.2.0
7. WooCommerce的客户评论
(1) 漏洞:贡献者+ LFI;Contributor+ 存储型 XSS
(2) 是否修复:是
(3) 漏洞:版本:5.17.0
8. WP 访客统计(实时流量)
(1) 漏洞:Contributor+ 通过简码存储 XSS
(2) 是否修复:是
(3) 版本:6.5
9. WP 谷歌评论滑块
(1) 漏洞:订阅者+ SQLi
(2) 是否修复:是
(3) 版本:11.8
10. WP客户专区
(1) 漏洞:通过 CSRF 进行的未经授权的操作
(2) 是否修复:是
(3) 版本:8.1.4
WordPress建站安全性问题的系列以后会定期更新,欢迎关注。
