Woocommerce漏洞影响了数百万的WordPress网站

Woocommerce宣布他们修补了影响数百万用户的关键漏洞。强烈敦促使用Woocommerce插件或Woocommerce块插件的发布商,如果尚未自动更新,则会敦促更新其插件。 Woocommerce强制自动更新 称为SQL注入漏洞的漏洞是如此严重的是,Woocommerce正在自动将更新推到受影响的发布者。 虽然更新是自动的,但一些发布商正在报告他们的一些网站尚未收到更新。 所以很重要如果网站尚未更新到Woocommerce Version分支的最高版本,请检查和手动更新。 WooCommerce S的广告联络内读数QL注射漏洞 通常,SQL注入是允许恶意黑客以使其显示信息或以不同方式不同的方式影响数据库的漏洞,其不应该相当一个例子,能够操纵数据库,以揭示密码。 根据Woocomce: “”如果商店受到影响,则暴露的信息将特定于该网站存储的内容,但可以包括订单,客户和管理信息。“ Wordfence的公告指出,这是盲目SQL注射漏洞。 Wordfence解释了影响: “”此漏洞允许未经身份验证的攻击者访问任意数据在在线商店的数据库中。 Wordfence威胁情报团队能够为基于时间和布尔基的盲目注射的概念制定概念,并在补丁后几小时内发布了初始防火墙规则。 “ 以下的广告联系读数具有Woocommerce位点被损失? 目前没有危及Woocommerce位点的广泛攻击的证据。…

WordPress autoptimize插件漏洞影响+1百万站点

WordPress优化插件自动优化最近更新以修复存储的XSS漏洞。建议使用该插件的发布者立即更新,以减少曝光对黑客事件的可能性。 存储的XSS漏洞 存储的横向站点脚本(XSS)漏洞是漏洞软件有一个缺陷,允许黑客上传一个恶意文件,然后可以攻击访问该网站的人。 有不同类型的存储XSS漏洞,这不是清楚的那种。[但是,根据恶意文件上传的位置,当管理员级别权限访问网站并收到有效载荷时,这种类型的漏洞可能尤其有问题,这可能导致总网站结束了。 据美国政府国家标准与技术研究所依据,美国商务部网站的依据,以下是如何定义跨站点脚本剥削的跨站点: “允许攻击者将恶意代码注入良性网站的漏洞。这些脚本获取目标网站生成的脚本权限,因此可以损害网站之间数据传输的机密性和完整性。客户。 如果显示用户从请求或表单显示用户提供的数据,则网站易受攻击,而不会消除数据,以便它不可执行。 “ 这被称为”存储的“XSS漏洞,因为存储了恶意文件在网站本身。在不同类型的XSS 下面 vistberability评级 使用称为常见漏洞评分系统(CVS)的开源标准评定漏洞。漏洞分数通常是使用CVSS版本3.1的。这是漏洞标准的描述方式: “”常见的漏洞评分系统(CVSS )是一种公开的框架,用于传达软件漏洞的特点和严重性。 “ 影响autoptimize的漏洞被称为经过身份验证的存储xss漏洞,这意味着黑客必须登录站点以便利用缺陷。 可能为什么这是一个贡献的原因的Everity水平自动优化WordPress插件漏洞已被评为介质,得分为5.4,范围为1到10。 autoptimize…

WordPress 5.7.2修补了一个关键漏洞

作为关键的WordPress漏洞已被修补。该补丁应用于WordPress版本5.7.2。选择入器的网站应该在没有发布者的任何其他操作的情况下接收此更新。鼓励出版商检查他们使用的WordPress版本以确保它们被更新为5.7.2版本。 对象注射漏洞 影响WordPress的漏洞称为对象注射漏洞。具体地,它是PHPMailer漏洞中的对象注射。 根据 OWASP.ORG安全网站,这是PHP对象注射漏洞的定义:“PHP对象注射是一种可以允许A的应用程序级漏洞TTAcker执行不同种类的恶意攻击,如代码注入,SQL注入,路径遍历和应用程序拒绝服务,具体取决于上下文。 当用户提供的输入未正确消毒时,漏洞发生传递给未定额()PHP函数。范围。“ WordPress漏洞的广告传票差异评级为关键 漏洞在近最高额定水平的危险程度附近。在使用常见漏洞评分系统(CVSS)的范围内为1到10的等级,此漏洞被评为9.8。 Patchstack安全网站发布了美国官方政府漏洞评级。 WordPress漏洞评级额定关键 WordPress漏洞是评分为9.8的1 – 10。 根据 拼接安全部位 公开了该漏洞的细节: “详细信息在WordPress中发现的PHPMailer漏洞中的对象注入(影响3.7和5.7之间的WordPress版本的一个安全问题)。解决方案 更新WordPress到最新可用版本(至少5.7.2)。自3.7以来的所有WordPress版本也已更新以修复以下安全问题。“…

Elementor更新地址核心Web Vitals

流行的WordPress页面构建器插件元素宣布专注于提供更快的页面加载的更新。更新介绍了JavaScript和CSS文件如何传递的提高效率。元素版本3.2的这些变化向提高了核心网络Vitals分数 根据元素的公告: “公司已经优化了其开发周期,并创建了一个针对特定性能区域的五轨计划,如优化资产加载,JavaScript / CSS库,优化的内部JavaScript和CSS,优化的后端和渲染过程,以及更多的修剪代码输出。 COMPORLOR的计划确保性能的所有方面都接受了显着的改进,前后。“ 元素H还向发布商介绍了如何更有效地加载Google字体的方法: “”新的Google字体加载功能个性化用户的加载体验,使它们能够修改元素如何加载Google字体。元素仪表板设置提供自动,交换,块,可选和回退。 对于移动设备上的实际用户。由已选择的Chrome上的用户收集测量,该用户选择提供作为Chrome用户体验(CRUX)报告所收集的信息。 下面 的广告传票读数是该数据,用于创建核心Web Vitals网站的分数又将成为排名在6月2021年6月的信号。在快速服务器上托管网站不会改善核心网络毒品分数,因为对核心Web Vitals分数负面影响的问题与网站如何编码有关。 从快速Web主机提供未优化的代码不会修复必须在移动设备上下载和呈现的未优化代码引起的瓶颈。 这就是为什么它对网站模板的制造商很重要Page Builders使其用户依赖于更高效的代码。 哪些元素宣布的是他们更新的努力,更有效地提供网络页面代码,以帮助发布者为其网站访问者提供更好的用户体验并帮助出版商排名更好。 为什么JavaScript和CSS可能是有问题的C…