Bezpečně ve WordPress – květen 2020

Bezpečně ve WordPress – květen 2020

Začnu dobrou zprávou: ani v květnu nebyla v jádru WordPress nalezena žádná chyba. V různých pluginech už chyby, přes které by mohl být váš web napaden, nalezeny byly. Web https://ithemes.com/ pravidelně monitoruje objevené chyby, včetně jejich oprav. Stačí tedy udržovat WP web v aktualizovaném stavu a základní krok k ochraně svých dat máte vyřešený.

Opravy pluginů

1. WP-Advanced-Search OPRAVENO

WP Advanced Search

Verze WP-Advanced-Search nižší než 3.3.7 mají chybu zabezpečení Authenticated SQL Injection. Chyba zabezpečení byla opravena, aktualizujte na verzi 3.3.7.

2. LearnPress OPRAVENO

LMS Plugin

Verze LearnPress nižší než 3.2.6.9 mají několik kritických zranitelností. Chyby zabezpečení byly opraveny, aktualizujte na verzi 3.2.6.9.

3. Gmedia Photo Gallery OPRAVENO

Gmedia Photo Gallery

Verze Gmedia Photo Gallery nižší než 1.18.5 mají více zranitelností, které umožňují skriptování na různých webech. Chyby zabezpečení byly opraveny, aktualizujte na verzi 1.18.5.

4. Ninja Forms OPRAVENO

Ninja Forms Contact Form

Verze Ninja Forms nížší než 3.4.24.2 mají chybu CSRF vůči Stored XSS. Chyba zabezpečení byla opravena, aktualizujte na verzi 3.4.24.2.

5. WTI Like Post OPRAVENO

WTI Like Post

Verze nižší než 1.4.6 WTI Like Post mají chybu zabezpečení Authenticated Stored Cross-Site Scripting. Chyba zabezpečení byla opravena, aktualizujte na verzi 1.4.6.

6. Advanced Order Export For WooCommerce OPRAVENO

Advanced Order Export For WooCommerce

Advanced Order Export For WooCommerce ve verzích nižších než 3.1.4 je chyba ověřeného skriptování mezi weby. Chyby zabezpečení byly opraveny, aktualizujte na verzi 3.1.4.

7. Elementor OPRAVENO

elementor

Elementor byl náchylný k poškození zabezpečení s přerušeným přístupem ovlivňujícím verzi 2.9.7 a nižší, která by mohla vést k uložené zranitelnosti XSS prostřednictvím nahrávání obrázků SVG. Chyby zabezpečení byly opraveny, aktualizujte na verzi 2.9.8.

8. Ultimate Addons for Elementor OPRAVENO

Ultimate Addons for Elementor

Ultimate Addons for Elementor verze nižší než 1.24.2 mají chybu zabezpečení Bypass pro registraci. Chyba zabezpečení byla opravena, aktualizujte na verzi 1.24.2.

9. Elementor Pro OPRAVENO

elementor

Verze Elementor Pro 2.9.4 má chybu zabezpečení Authenticated Arbitrary File Upload. Chyba zabezpečení byla opravena, aktualizujte na verzi 1.24.2.

10. Chopslider ODSTRAŇTE

ChopSlider

Všechny verze Chopslider mají zranitelnost Neověřené zaslepení SQL Injection. Není k dispozici oprava a měli byste plugin odebrat.

11. Page Builder by SiteOrigin OPRAVENO

Page Builder by SiteOrigin

Page Builder by SiteOrigin verze nižší než 2.10.16 obsahují chybu CSRF, která způsobuje zranitelnost skriptování mezi weby. Chyba zabezpečení byla opravena, aktualizujte na verzi 2.10.16.

12. WooCommerce OPRAVENO

WooCommerce

WooCommerce verze nižší než 4.1.0 jsou při kopírování výrobků zranitelné. Chyby zabezpečení byly opraveny, aktualizujte na verzi 4.1.0.

13. Site Kit by Google OPRAVENO

Site Kit by Google

Site Kit by Google ve verzích nižších než 1.8.0 obsahuje chybu zabezpečení Privilege Escalation, která útočníkovi umožní stát se vlastníkem Search Console. Chyba zabezpečení byla opravena, aktualizujte na verzi 1.8.0.

14. Easy Testimonials  OPRAVENO

Easy Testimonials

Easy Testimonials verze nižší než 3.6 mají chybu zabezpečení Authenticated Stored Cross-Site Scripting. Chyba zabezpečení byla opravena, aktualizujte na verzi 3.6.

15. WP Product Review OPRAVENO

WP Product Review Lite

WP Product Review verze nižší než 3.7.6 obsahují Cross-Site Scripting zranitelnost. Chyba zabezpečení byla opravena, aktualizujte na verzi 3.7.6.

16. Login/Signup Popup OPRAVENO

Login Signup Popup

Login/Signup Popup verze nižší než 1.5 mají chybu zabezpečení Authenticated Stored Cross-Site Scripting. Chyba zabezpečení byla opravena, aktualizujte na verzi 1.5.

17. Photo Gallery by 10Web OPRAVENO

Photo Gallery by 10Web

Photo Gallery by 10Web verze nižší než 1.5.55 obsahuje zranitelnost Unauthenticated SQL Injection. Chyba zabezpečení byla opravena, aktualizujte na verzi 1.5.55.

18. Team Members OPRAVENO

Team Members

Team Members verze 5.0.4 má chybu zabezpečení Authenticated Stored Cross-Site Scripting. Chyba zabezpečení byla opravena, aktualizujte na verzi 5.0.4.

19. Visual Composer Website Builder OPRAVENO

Visual Composer Website Builder

Visual Composer Website Builder verze nižší než 27.0 obsahují několik chyb zabezpečení skriptování mezi weby. Chyby zabezpečení byly opraveny, aktualizujte na verzi 27.0.

20. WordPress Infinite Scroll OPRAVENO

WordPress Infinite Scroll 1

Verze WordPress Infinite Scroll nižší než 5.3.2 mají chybu zabezpečení Authenticated SQL Injection. Chyba zabezpečení byla opravena, aktualizujte na verzi 5.3.2.

21. WP Frontend Profile OPRAVENO

WP Frontend Profile

WP Frontend Profile verze nižší než 1.2.2 obsahují chybu zabezpečení Forgery u více stránek. Chyba zabezpečení byla opravena, aktualizujte na verzi 1.2.2.

22. Paid Memberships Pro OPRAVENO

Paid Memberships Pro

Paid Memberships Pro verze 2.3.3. obsahuje chybu zabezpečení Authenticated SQL Injection. Chyba zabezpečení byla opravena, aktualizujte na verzi 2.3.3.

23. ThirstyAffiliates Affiliate Link Manager OPRAVENO

ThirstyAffiliates Affiliate Link Manager

Verze ThirstyAffiliates Affiliate Link Manager nižší než 3.9.3 mají chybu zabezpečení Authenticated Stored Criss-Site Scripting. Chyba zabezpečení byla opravena, aktualizujte na verzi 3.9.3.

24. Official MailerLite Sign Up Forms OPRAVENO

Official MailerLite Sign Up Forms

Official MailerLite Sign Up Forms verze nižší než 1.4.5 mají více zranitelností CSRF. Chyby zabezpečení byly opraveny, aktualizujte na verzi 1.4.5.

25. Add-on SweetAlert Contact Form 7 OPRAVENO

Add on SweetAlert Contact Form 7

Add-on SweetAlert Contact Form 7 ve verzích nižších než 1.0.8 obsahuje chybu zabezpečení Ověřené uložené mezisíťové skriptování. Chyba zabezpečení byla opravena, aktualizujte na verzi 1.0.8.

26. Form Maker by 10Web OPRAVENO

Form Maker by 10Web

Form Maker by 10Web ve verzích nížších než má 1.13.36 chybu zabezpečení Authenticated SQL Injection. Chyba zabezpečení byla opravena, aktualizujte na verzi 1.0.8.

Opravy šablon

1. Avada OPRAVENO

Avada

Verze Avada nižší než 6.2.3 mají chybějící kontrolu oprávnění, která vede ke zranitelnosti aplikace Arbitrary Post Creation, Edition, Deletion a Stored XSS.  Chyba zabezpečení byla opravena, aktualizujte na verzi 6.2.3.

Důrazně upozorňuji na nutnost pravidelné údržby WP webů, aktualizace a pravidelné zálohy souborů i databáze. Svěřte svůj web do mé správy a zbavte se starostí: služby > údržba WordPress.

Share on facebook
Facebook
Share on twitter
Twitter
Share on linkedin
LinkedIn