WordPress 的零碎应用越来越广发,很多的大型企业开始抉择利用 WordPress 作为主技术撑持,然而也有很多人对 WordPress 系统安全不理解,上面咱们由北京六翼信息技术有限公司的技术开发工程师为大家解说 WordPress 建站平安问题解决中的破绽报告。
易受攻击的插件和主题是 WordPress 网站被黑的第一大起因。由 WPScan 提供反对的每周 WordPress 破绽报告涵盖了最近的 WordPress 插件、主题和外围破绽,以及如果您在您的网站上运行其中一个易受攻击的插件或主题该怎么做。
每个破绽的严重性等级为低、中、高或重大。负责任地披露和报告破绽是保护 WordPress 社区平安不可或缺的一部分。请与您的敌人分享这篇文章,以帮忙宣传并使 WordPress 对每个人都更平安!
1、启用媒体替换
(1) 破绽:作者 + 任意文件上传
(2) 是否修复:是
(3) 版本:4.0.2
2、Spectra
(1) 破绽:存储跨端脚本
(2) 是否修复:是
(3) 版本:1.15.0
3、GiveWP
(1) 破绽:Contributor+ 存储型 XSS;未经身份验证的 SQLi
(2) 是否修复:是
(3) 版本:2.24.1
4、Parsi Date
(1) 破绽:反映跨站脚本
(2) 是否修复:是
(3) 版本:4.0.2
5、Better Font Awesome
(1) 破绽:Contributor+ 存储型 XSS
(2) 是否修复:是
(3) 版本:2.0.4
6、LearnPress 插件
(1) 破绽:未经验证的 LFI;订阅者 + SQLi;未经身份验证的 SQLi
(2) 是否修复:是
(3) 版本:4.2.0
7、WooCommerce 的客户评论
(1) 破绽:贡献者 + LFI;Contributor+ 存储型 XSS
(2) 是否修复:是
(3) 破绽:版本:5.17.0
8、WP 访客统计(实时流量)
(1) 破绽:Contributor+ 通过简码存储 XSS
(2) 是否修复:是
(3) 版本:6.5
9、WP 谷歌评论滑块
(1) 破绽:订阅者 + SQLi
(2) 是否修复:是
(3) 版本:11.8
10、WP 客户专区
(1) 破绽:通过 CSRF 进行的未经受权的操作
(2) 是否修复:是
(3) 版本:8.1.4
如有 WordPress 建站安全性问题,欢送在下方留言评论!