WordPress插件 漏洞汇总（2020年3月下半月）

WordPress插件漏洞

3月下半月，不少插件爆出了安全漏洞，一起来看下。

1、WordPress File Upload

版本低于 4.13.0 的 WordPress File Upload 插件具有远程执行代码漏洞。 请及时更新到 4.13.0 及以上版本。

2、LearnPress

LearnPress 版本 3.2.6.7 以下具有特权升级漏洞。请及时更新到 3.2.6.7 版本或以上。

3、Custom Post Type UI

Custom Post Type UI 版本 1.7.4 以下存在跨站请求伪造和存储的跨站脚本漏洞。请及时更新到 1.7.4 。

4、Migrate & Backup WordPress – WPvivid Backup Plugin

Migrate & Backup WordPress – WPvivid Backup Plugin 低于0.9.36的版本缺少授权，导致数据库泄漏漏洞。 请及时更新到 0.9.36 版本。

5、All-in-One WP Migration

All-in-One WP Migration 低于 7.15 版本具有任意备份下载漏洞。 请及时更新到 7.15 以上。

6、Newsletter

Newsletter 低于6.5.4本具有CSV注入漏洞。请及时更新到 6.5.4 以上。

7、Gutenberg & Elementor Templates Importer For Responsive

Gutenberg & Elementor Templates Importer For Responsive 版本 2.2.6以下 具有不受保护的AJAX端点漏洞。请及时更新到 2.2.6 以上。

8、Advanced Ads – Ad Manager & AdSense

Advanced Ads – Ad Manager & AdSense 版本1.17.4以下 具有“已验证的反映跨站点脚本”漏洞。请及时更新到 1.17.4 以上。

9、Cookiebot

低于3.6.1的Cookiebot版本具有身份验证的反映跨站点脚本漏洞。 请及时更新到3.6.1版本以上。

10、Data Tables Generator by Supsystic

Data Tables Generator by Supsystic 版本 1.9.92 以下具有多个漏洞，请及时更新至 1.9.92 以上。

11、其他插件

1. Buddypress Component Stats
2. abstract-submission
3. WP e-Commerce Shop Styling
4. web-portal-lite-client
5. post-pdf-export
6. blogtopdf
7. gboutique

以上7个插件包含安全漏洞，并已被从WordPress仓库下架，请尽快禁用并删除！！

如何主动应对WordPress漏洞

运行过时的软件是WordPress网站遭到黑客入侵的第一原因。拥有更新例程对于WordPress网站的安全至关重要。您应该每周至少登录一次网站以执行更新。

自动更新可以提供帮助

对于不经常更改的WordPress网站，自动更新是一个不错的选择。缺乏关注通常会使这些站点被忽略并且容易受到攻击。即使使用了建议的安全设置，在您的站点上运行易受攻击的软件仍可以使攻击者进入您的站点。

更多应对方法

• 如何提高WordPress站点安全？
• WordPress网站如何被黑客入侵
• 增强WordPress安全性的10个Nginx规则
• 15个有用的WordPress .htaccess 代码片段
• 15个常用的WordPress wp-config.php 配置代码
• WordPress文件读写权限建议
• WordPress安全管理及防火墙插件：All In One WP Security & Firewall
• 修改WordPress后台登录地址，提高安全性
• WordPress安全检查及修复插件：iThemes Security
• WordPress站点被挂马？如何预防、检测和应对？
• 10个最佳的免费WordPress安全插件