WordPress 漏洞報告(9月29日至10月5日)需要特別注意:
-
本週共揭露 129 個 WordPress 外掛(118個)及佈景主題(2個)漏洞。
-
51 個漏洞已修補,78 個仍未修補,請及時檢查你用到的套件。
-
嚴重等級劃分:9 個為「Critical」,18 個為「High」,其餘多為「Medium」。
-
最常見類型包括「跨站腳本攻擊(XSS)」57 起、「權限驗證缺失」19 起、「CSRF」17 起、「SQL Injection」6 起等。
需特別留意的高危且當前未修補漏洞(Critical/High):
-
Copypress Rest API 1.1–1.2 :缺乏安全密鑰及檔案類型檢查,可能被遠端執行任意程式碼(未修補)。
-
Post By Email <= 1.0.4b:可通過電郵附件上傳任意檔案(未修補)。
-
RestroPress 3.0.0–3.1.9.2:JWT 驗證破綻,可越權登入(未修補)。
-
WPRecovery <= 2.0:可進行 SQL 注入並刪除任意檔案(未修補)。
-
AP Background 3.8.1–3.8.2:授權驗證不全,授權用戶可上傳危險檔案(未修補)。
-
Bei Fen Backup Plugin <= 1.4.2:授權用戶可進行本地檔案包含攻擊(未修補)。
-
Tiny Bootstrap Elements Light <= 4.3.34:可被未授權執行本地檔案包含攻擊(未修補)。
-
Blappsta Mobile App Plugin <= 0.8.8.8:SQL 注入(未修補)。
-
WP Dispatcher <= 1.2.0:SQL 注入、任意檔案上傳(未修補)。
高嚴重性但已修補漏洞舉例:
-
Appy Pie Connect for WooCommerce:未授權權限提升,已修補。
-
JoomSport:目錄遍歷、本地檔案包含,已修補。
-
OAuth Single Sign On (OAuth Client):認證繞過,已修補。
-
s2Member:遠端代碼執行,已修補。
立即行動
請立刻依照以下步驟,為您的網站進行健檢:
- 停用並「刪除」:立刻登入後台,檢查所有「已停用」或「根本沒在用」的外掛與佈景主題,並直接刪除它們。放在那裡不用,就是潛在的風險。
- 全部更新:前往「更新」頁面,將 WordPress 核心、所有外掛和佈景主題更新到最新版本。
- 開啟自動更新:對於有信譽的知名外掛(如 Wordfence, Rank Math, WP Rocket 等),建議開啟自動更新功能。
給進階使用者的建議:
- 在 Staging 環境測試:在更新重要外掛(如 WooCommerce)之前,請務必先在 Staging(測試站)環境更新。確認功能一切正常(尤其是金流和結帳),再部署到正式站。
- 手動更新 (SFTP):若自動更新失敗,請透過 SFTP 手動上傳新版外掛檔案,確保舊的檔案被完整覆蓋。
如果喜歡這篇文章,並想持續收到更多限時免費、科技新聞、 Apple 資訊,以及 AI 、 WordPress 教學與資源分享,歡迎透過以下方式支持我,讓我更有動力創作:
👍 按讚與追蹤:鎖定我的 [FB專頁]、[Instagram]、[Threads] 和 [X],就不會錯過最新內容。
☕ 請我喝杯咖啡:如果內容對你有幫助,歡迎到 [Ko-fi] 小額支持,為我注入創作能量。
你的一個 Like、追蹤或是一杯咖啡的鼓勵,都能激勵我持續分享更多實用文章。由衷感謝大家。😉