2024 年 7 月 1 日至 2024 年 7 月 7 日每周 WordPress 漏洞洞察

介绍

欢迎阅读 WP-Firewall 每周 WordPress 漏洞报告，这是您了解影响 WordPress 网站的最新安全威胁的重要指南。此报告对于 WordPress 网站管理员、开发人员和安全专业人员至关重要，他们需要随时了解可能影响其网站的漏洞。此报告涵盖 2024 年 7 月 1 日至 2024 年 7 月 7 日期间，全面概述了发现的漏洞、其潜在影响以及保护您的 WordPress 网站的可行建议。

主要漏洞概述

2024年7月1日至2024年7月7日这一周，共有91个WordPress插件和18个WordPress主题被披露了121个漏洞。这些漏洞由40名安全研究人员贡献，并已被添加到WP-Firewall Intelligence漏洞数据库中。

未修补的严重漏洞

在此期间发现了几个严重漏洞，其中一些漏洞仍未修补。这些漏洞对 WordPress 网站构成重大风险，需要立即关注。以下是一些值得注意的未修补漏洞：

1. InstaWP Connect – 一键式 WP Staging 和迁移 (<= 0.1.0.44)类型： 绕过管理员身份验证
   严重性： 批判的
   影响： 允许未经授权的用户获得管理员访问权限。
2. 完整版 (<= 3.1.12)类型： 未经身份验证的存储型跨站点脚本 (XSS)
   严重性： 高的
   影响： 允许攻击者注入可以在用户浏览器上下文中执行的恶意脚本。
3. ProfileGrid – 用户个人资料、群组和社区 (<= 5.8.9)类型： 经过身份验证 (Subscriber+) 授权绕过权限提升
   严重性： 高的
   影响： 使权限较低的用户能够提升其权限。

已修补的严重漏洞

幸运的是，许多漏洞已被修补，从而降低了 WordPress 网站的风险。以下是已解决的一些关键漏洞：

1. 高级分类广告和目录 ProType： 跨站点脚本 (XSS)
   严重性： 中等的
   补丁状态： 已修补
2. AI 力量：完整的 AI 包 – 由 GPT-4 提供支持类型： 跨站请求伪造 (CSRF)
   严重性： 中等的
   补丁状态： 已修补
3. LivemeshType 的 Elementor 插件： SQL 注入
   严重性： 高的
   补丁状态： 已修补

漏洞统计

• 总漏洞数： 121
• 已修补的漏洞： 97
• 未修补的漏洞： 24

严重程度

• 低严重性： 2
• 中等严重性： 97
• 高严重性： 18
• 严重程度： 4

常见的弱点类型

• 跨站点脚本 (XSS): 58
• 缺少授权： 23
• 跨站请求伪造（CSRF）： 16
• PHP 远程文件包含： 8
• 路径遍历： 3
• SQL注入： 3
• 无限制上传危险类型文件： 3
• 信息曝光： 2
• 不受信任数据的反序列化： 1
• 权限管理不当： 1
• 权限分配不正确： 1
• 不受控制的资源消耗： 1
• 不受保护的备用频道： 1

漏洞的影响

了解这些漏洞的潜在影响对于 WordPress 网站管理员来说至关重要。未解决的漏洞可能会导致严重后果，包括：

数据泄露

SQL 注入和信息泄露等漏洞可让攻击者访问存储在 WordPress 数据库中的敏感数据。这可能导致数据泄露，泄露用户信息、财务数据和其他机密信息。

网站污损

跨站点脚本 (XSS) 漏洞可使攻击者将恶意脚本注入您的网站。这些脚本可能会破坏您的网站、显示不想要的内容或将用户重定向到恶意网站，从而损害您网站的声誉。

恶意软件感染

不受限制的文件上传漏洞可让攻击者将恶意文件上传到您的服务器。这些文件可用于传播恶意软件，危害您网站的安全性并可能影响您的访问者。

真实场景

案例研究：通过 SQL 注入导致的数据泄露

一个运行有漏洞的 Elementor Addons by Livemesh 插件版本的热门电子商务网站遭到了攻击者的攻击。攻击者可以利用 SQL 注入漏洞提取客户数据，包括姓名、地址和付款信息。此次入侵导致该网站遭受重大经济损失，声誉受损。

案例研究：通过XSS进行网站破坏

使用 ProfileGrid 插件的社区论坛因 XSS 漏洞而遭入侵。攻击者注入恶意脚本，破坏网站，显示令人反感的内容，并将用户重定向到钓鱼网站。该事件导致用户信任度下降，网站流量下降。

缓解措施和建议

为了保护您的 WordPress 网站免受这些漏洞的侵害，遵循最佳安全实践并实施必要措施至关重要。以下是一些详细建议：

定期更新

确保所有 WordPress 核心文件、插件和主题定期更新至最新版本。更新通常包括解决已知漏洞的安全补丁。

双因素身份验证（2FA）

对所有用户帐户实施双重身份验证，尤其是具有管理权限的用户帐户。这增加了一层额外的安全保护，使攻击者更难获得未经授权的访问。

设置 2FA 的分步指南

1. 选择 2FA 插件： 安装信誉良好的 2FA 插件，例如 WP-Firewall 的“双因素身份验证”。
2. 激活插件： 转到您的 WordPress 仪表板，导航到插件 > 已安装的插件，然后激活 2FA 插件。
3. 配置2FA设置： 按照插件的设置向导配置您的 2FA 设置。选择您喜欢的身份验证方法（例如短信、电子邮件、身份验证器应用程序）。
4. 为用户启用 2FA： 转到用户>所有用户，编辑每个用户配置文件，并启用 2FA。
5. 测试 2FA： 注销并重新登录以测试 2FA 设置，确保其正常工作。

定期备份

定期备份您的 WordPress 网站，包括数据库和文件。将备份存储在安全的位置并定期测试以确保可以成功恢复。

设置备份的分步指南

1. 选择备份插件： 安装可靠的备份插件，例如“UpdraftPlus”。
2. 激活插件： 转到您的 WordPress 仪表板，导航到插件 > 已安装的插件，然后激活备份插件。
3. 配置备份设置： 转到设置> UpdraftPlus 备份，并配置您的备份计划和存储位置（例如，云存储、外部服务器）。
4. 执行初始备份： 单击“立即备份”按钮对您的网站进行初始备份。
5. 自动备份： 设置自动备份计划（例如每日、每周），以确保定期执行备份。

安全插件

安装并配置全面的安全插件，以监控您的网站是否存在漏洞和恶意活动。WP-Firewall 提供了强大的安全插件，其中包括恶意软件扫描、防火墙保护和实时威胁检测等功能。

安全托管

选择信誉良好的托管服务提供商，提供强大的安全功能，包括定期服务器更新、恶意软件扫描和 DDoS 保护。安全托管可以显著降低漏洞被利用的风险。

用户权限

审查并将用户权限限制在每个角色所需的最低限度。确保只有受信任的用户才具有管理权限，并定期审核用户帐户是否存在可疑活动。

Web 应用程序防火墙 (WAF)

实施 Web 应用程序防火墙，保护您的网站免受 SQL 注入、XSS 和 CSRF 等常见 Web 威胁的侵害。WAF 可以在恶意流量到达您的网站之前将其拦截，从而提供额外的安全保障。

漏洞扫描

使用 WP-Firewall 漏洞扫描程序等工具定期扫描 WordPress 网站是否存在漏洞。自动扫描可以帮助在漏洞被利用之前识别和解决漏洞。

运行漏洞扫描的分步指南

1. 安装WP-Firewall Scanner： 从 WP-Firewall 官方网站下载并安装 WP-Firewall Scanner 插件。
2. 配置扫描仪： 按照设置说明使用您的站点详细信息配置扫描仪。
3. 运行初始扫描： 执行扫描命令对您的站点进行初步漏洞扫描。
4. 查看扫描结果： 分析扫描结果以识别任何漏洞或安全问题。
5. 解决漏洞： 按照建议的操作来解决任何已发现的漏洞。
6. 安排定期扫描： 制定计划来运行定期漏洞扫描（例如每周、每月），以确保持续的安全。

结论

了解最新的 WordPress 漏洞并实施强大的安全措施对于保护您的网站免受潜在威胁至关重要。通过遵循本报告中概述的建议，您可以显著降低网站受到攻击的风险。

如需更详细的安全见解并接收实时漏洞通知，请注册 WP-Firewall 免费计划。访问 WP-Firewall 定价 了解更多信息并立即保护您的 WordPress 网站。

使用 WP-Firewall 确保安全！