最近WordPress安全形势不容忽视，尤其是WP-VCD恶意代码在WordPress盗版主题和插件中传播迅速，感染非常严重！

WordPress插件漏洞

3月下半月，不少插件爆出了安全漏洞，一起来看下。

1、WordPress File Upload

版本低于 4.13.0 的 WordPress File Upload  插件具有远程执行代码漏洞。请及时

更新到 4.13.0 及以上版本

。

2、LearnPress

LearnPress 版本 3.2.6.7 以下具有特权升级漏洞。

请及时更新到 3.2.6.7 版本或以上。

3、Custom Post Type UI

Custom Post Type UI 版本 1.7.4 以下存在跨站请求伪造和存储的跨站脚本漏洞。

请及时更新到 1.7.4 

。

4、Migrate & Backup WordPress – WPvivid Backup Plugin

Migrate & Backup WordPress – WPvivid Backup Plugin 低于0.9.36的版本缺少授权，导致数据库泄漏漏洞。

 请及时更新到 0.9.36 版本

。

5、All-in-One WP Migration

All-in-One WP Migration 低于 7.15 版本具有任意备份下载漏洞。 

请及时更新到 7.15 以上

。

6、Newsletter

Newsletter 低于6.5.4本具有CSV注入漏洞。

请及时更新到 6.5.4 以上

。

7、Gutenberg & Elementor Templates Importer For Responsive

Gutenberg & Elementor Templates Importer For Responsive 版本 2.2.6以下 具有不受保护的AJAX端点漏洞。

请及时更新到 2.2.6 以上

。

8、Advanced Ads – Ad Manager & AdSense

Advanced Ads – Ad Manager & AdSense  版本1.17.4以下 具有“已验证的反映跨站点脚本” 漏洞。

请及时更新到 1.17.4 以上

。

9、Cookiebot

低于3.6.1的Cookiebot版本具有身份验证的反映跨站点脚本漏洞。 

请及时更新到3.6.1版本以上

。

10、Data Tables Generator by Supsystic

Data Tables Generator by Supsystic  版本 1.9.92 以下具有多个漏洞，

请及时更新至 1.9.92 以上

。

11、其他插件

Buddypress Component Stats

abstract-submission

WP e-Commerce Shop Styling

web-portal-lite-client

post-pdf-export

blogtopdf

gboutique

以上7个插件包含安全漏洞，并已被从WordPress仓库下架，

请尽快禁用并删除！！

如何主动应对WordPress漏洞

运行过时的软件是WordPress网站遭到黑客入侵的第一原因。拥有更新例程对于WordPress网站的安全至关重要。

您应该每周至少登录一次网站以执行更新。

自动更新可以提供帮助

对于不经常更改的WordPress网站，自动更新是一个不错的选择。缺乏关注通常会使这些站点被忽略并且容易受到攻击。即使使用了建议的安全设置，在您的站点上运行易受攻击的软件仍可以使攻击者进入您的站点。

更多应对方法

如何提高WordPress站点安全？

WordPress网站如何被黑客入侵

增强WordPress安全性的10个Nginx规则

15个有用的WordPress .htaccess 代码片段

15个常用的WordPress wp-config.php 配置代码

WordPress文件读写权限建议

WordPress安全管理及防火墙插件：All In One WP Security & Firewall

修改WordPress后台登录地址，提高安全性

WordPress安全检查及修复插件：iThemes Security

WordPress站点被挂马？如何预防、检测和应对？

10个最佳的免费WordPress安全插件