Notice: Function _load_textdomain_just_in_time was called incorrectly. Translation loading for the MWP-Firewall domain was triggered too early. This is usually an indicator for some code in the plugin or theme running too early. Translations should be loaded at the init action or later. Please see Debugging in WordPress for more information. (This message was added in version 6.7.0.) in /home/E4wU9yBtpX5OW19y/wpf202503/public_html/wp-includes/functions.php on line 6121

Deprecated: Creation of dynamic property SureCart\Licensing\Updater::$cache_key is deprecated in /home/E4wU9yBtpX5OW19y/wpf202503/public_html/wp-content/plugins/MWP-Firewall/licensing/src/Updater.php on line 22
Weekly WordPress Vulnerabilities Report June 3 to June 9 2024

2024 年 6 月 3 日至 6 月 9 日每周 WordPress 漏洞报告

admin

介绍

维护 WordPress 网站的安全性对于保护网站的完整性和用户的数据至关重要。此每周报告涵盖 2024 年 6 月 3 日至 2024 年 6 月 9 日期间,重点介绍了在 WordPress 插件和主题中发现的最新漏洞。及时了解这些报告对于网站管理员及时有效地降低风险至关重要。

主要漏洞概述

未修补的严重漏洞

在此期间,共报告了 216 个漏洞,影响了 181 个插件和 10 个主题。其中 65 个漏洞尚未修复,对 WordPress 网站构成了重大风险。

尚未修补的关键漏洞:

  1. BuddyPress Cover (<= 2.1.4.2) – 未经身份验证的任意文件上传严重性: 严重(CVSS 10.0)
    CVE 编号: CVE-2024-35746
  2. 画廊 – 带缩略图的图像和视频画廊 (<= 2.0.3) – 经过验证的 SQL 注入严重性: 严重(CVSS 9.9)
    CVE 编号: CVE-2024-35750

已修补的严重漏洞

在已报告的漏洞中,有 151 个已得到修补。建议立即更新以减轻这些风险。

已修补的关键漏洞:

  1. 通过 BestWebSoft (<= 1.7.2) 将联系表单发送至数据库 – 已验证 SQL 注入严重性: 严重(CVSS 9.9)
    CVE 编号: CVE-2024-35678
  2. Icegram Express 的电子邮件订阅者 (<= 5.7.20) – 未经身份验证的 SQL 注入严重性: 严重(CVSS 9.8)
    CVE 编号: CVE-2024-4295

统计数据

  • 总漏洞数: 216
  • 已修补: 151
  • 未修补: 65

严重程度:

  • 中等的: 184
  • 高的: 21
  • 批判的: 11

常见类型:

  • 跨站点脚本 (XSS): 108
  • 缺少授权: 49
  • SQL注入: 8
  • 路径遍历: 8

漏洞的影响

潜在风险

未解决的漏洞可能会导致严重后果,例如数据泄露、网站损坏和恶意软件感染。例如,未经身份验证的任意文件上传漏洞可能允许攻击者上传恶意文件,从而导致整个网站被入侵。

真实场景

考虑这样一种情况:一个流行插件中的关键 SQL 注入漏洞被利用。攻击者可以未经授权访问网站的数据库,窃取敏感信息并操纵网站内容。在另一种情况下,未修补的跨站点脚本漏洞可能被利用在用户浏览器上下文中执行恶意脚本,从而可能导致会话劫持或网络钓鱼攻击。

缓解措施和建议

更新插件和主题

  • 定期更新: 始终确保您的插件和主题已更新至最新版本。尽可能启用自动更新。
  • 漏洞监控: 使用工具和服务来监控您安装的插件和主题中的漏洞。

实施安全措施

  • 两因素身份验证: 实施双因素身份验证 (2FA) 以增加额外的安全层。
  • 定期备份: 定期备份您的网站,以便在出现安全漏洞时快速恢复。
  • 强密码策略: 实施强密码策略并使用密码管理器来维护安全凭证。

详细指南

  1. 设置双因素身份验证:安装 2FA 插件。
    根据您的要求配置插件。
    鼓励所有用户在其帐户上启用 2FA。
  2. 定期备份:选择可靠的备份插件。
    安排定期备份。
    将备份存储在安全的异地位置。

深入分析具体漏洞

联系表单到 DB 插件中的 SQL 注入

  • 机制: 该漏洞允许经过身份验证的用户注入恶意 SQL 查询,从而可能获得数据库的访问权限或操纵数据库。
  • 影响: 如果被利用,攻击者可以访问敏感数据或更改数据库记录。

各种插件中的跨站点脚本

  • 机制: 当输入未得到正确清理时,就会出现 XSS 漏洞,从而允许攻击者注入恶意脚本。
  • 影响: 利用 XSS 可能导致会话劫持、污损和网络钓鱼攻击。

历史对比

趋势

将本周的数据与之前的报告进行比较,跨站点脚本漏洞明显增加。此外,某些插件存在反复出现的漏洞,这表明开发人员需要改进安全实践。

插件性能

某些插件(例如 Icegram Express 的电子邮件订阅器)随着时间的推移显示出持续的漏洞。使用此类插件的网站管理员应考虑替代方案或额外的安全措施。

WP-Firewall 介绍

WP-Firewall 提供针对此类漏洞的全面保护。主要功能包括实时威胁检测、防火墙保护、恶意软件扫描和自动更新。我们的免费计划可确保您的网站安全无虞,即将推出的功能将增强这些功能。

WP-Firewall 的优点

使用 WP-Firewall 有助于防止数据泄露和恶意软件感染,提高网站性能并减少维护工作量。我们的客户报告了显著的安全性改进,用户评价也强调了我们的服务带来的安心。

WP-Firewall'有效性的示例:

  • 客户A:通过实时威胁检测避免了重大数据泄露。
  • 客户B:通过实施 WP-Firewall 提高了网站性能并减少了停机时间。

呼吁采取行动

积极主动地保护您的 WordPress 网站。立即注册 WP-Firewall 免费计划,以防范这些漏洞并确保您的网站安全。 在此注册.

结论

定期更新您的 WordPress 网站并使用 WP-Firewall 等安全解决方案是维护安全在线状态的关键步骤。随时了解最新信息,采取主动措施,保护您的网站免受新兴威胁。


wordpress security update banner

免费接收 WP 安全周刊 👋
立即注册
!!

注册以每周在您的收件箱中接收 WordPress 安全更新。

我们不发送垃圾邮件!阅读我们的 隐私政策 了解更多信息。