Notizie sulla vulnerabilità di WordPress, novembre 2021

Pubblicato: 2020-11-06

Notizie sulla vulnerabilità di WordPress di novembre
Vulnerabilità di WordPress significa debolezza di WordPress. In questo post sulle notizie sulla vulnerabilità di WordPress di novembre, ci concentreremo sui plug-in vulnerabili di WordPress e sui problemi di sicurezza di WordPress scoperti a ottobre 2020 e novembre 2020.

La parte più importante e cruciale della sicurezza è rimanere aggiornati con le vulnerabilità di sicurezza in CMS come WordPress e tra gli altri.

Questo è il motivo per cui abbiamo analizzato i plug-in suscettibili e l'ultimo punto debole rivelato per garantire che il tuo sito Web funzioni senza problemi non utilizzando tali plug-in e aggiornamenti non protetti per WordPress.

Il tuo sito Web sarà al sicuro da tutti i problemi di sicurezza e dalle vulnerabilità se stai utilizzando il firewall dell'applicazione Web WebARX. Ma il miglior metodo alternativo per rendere sicuro il tuo sito web è rimuovere o aggiornare i plugin non protetti sui tuoi siti web.

Notizie sulla vulnerabilità di WordPress, ottobre 2020

WordPress + Microsoft Office 365

WordPress + Microsoft Office 365

Per accedere al tuo sito Web WordPress gli utenti possono accedere con il proprio account scolastico o aziendale con WPO365|LOGIN. Password e nessun nome utente richiesto. Inoltre sarai in grado di inviare e-mail con l'aiuto di Microsoft Graph anziché utilizzare SMTP dal tuo sito web.

Vulnerabilità: bypass della verifica della firma JWT
Risolto nella versione: 11.7
Totale siti web interessati: 1000+

Questo plug-in non verifica le firme JWT, non consente controlli di autorizzazione, ignora le autenticazioni e consente agli aggressori di formare token.

Dispositivo di scorrimento di 10Web

Dispositivo di scorrimento di 10Web

Slider di 10Web è un metodo alternativo per aggiungere slider reattivi, a caricamento rapido e SEO friendly nell'intestazione del tema, nei post e nelle pagine del sito Web o in qualsiasi altra posizione.

Questo plugin è compatibile con video e immagini e consente di aggiungere entrambi i contenuti alle diapositive. Puoi aggiungere diversi effetti di transizione ad esso molto facilmente.

Vulnerabilità: iniezione SQL autenticata multipla
Risolto nella versione: 1.2.36
Totale siti web interessati: 50.000+

Le due funzionalità vulnerabili di questo plugin sono save_slider_db e bulk_action, export_full. Queste due funzionalità consentono agli utenti autorizzati o all'amministratore o al supporto come collaboratore + 'opzione ruolo' supponendo che l'altro utente sia attivato per eseguire un attacco noto come iniezioni SQL.

La data di dichiarazione del PoC era il 13 ottobre 2020 che fornisce aggiornamenti agli utenti di volta in volta.

Corsi WP

Corsi WP LMS

WP Courses è un plug-in gratuito di WordPress che può essere utilizzato da LMS per gestire e creare corsi sul tuo sito Web con strumenti di trascinamento della selezione, un'interfaccia intuitiva, tutorial video e altro ancora. Questo plugin ha più di 900+ installazioni attive.

Questo plugin può essere aggiunto con qualsiasi altro modello poiché funzionerà perfettamente. Inoltre viene fornito con così tante opzioni che ti aiuteranno ad abbinare la tua visione e il design del tuo sito web. Questo plugin è facile da navigare in quanto non richiede alcuna codifica o conoscenza tecnica.

Vulnerabilità: Portare alla divulgazione del contenuto dei corsi a causa di controlli di accesso interrotti
Risolto nella versione: 2.0.29
Totale siti Web interessati: oltre 20.000

Con l'API REST di WordPress, il problema nei corsi WP potrebbe rendere i tuoi corsi disponibili a tutti.

Semplice: premere

Stampa semplice

Per il tuo sito Web WordPress, Simple: Press è un software per forum. Con alcune funzionalità extra, puoi avviare facilmente il tuo forum. È integrato nel modello di sicurezza e nel modello utente di WordPress e può essere aumentato fino a migliaia di utenti.

Nonostante altri plugin per forum, le funzionalità di questo plugin sono create e supportate dalle organizzazioni. L'opzione è disponibile per la rimozione o la disinstallazione, l'integrazione con l'accesso e le registrazioni di WordPress, l'integrazione con i plug-in degli abbonamenti dei membri e altro ancora.

Vulnerabilità: Portare a RCE a causa del controllo degli accessi interrotto
Risolto nella versione: 6.6.1
Totale siti Web interessati: 600+

È stato risolto il problema del controllo degli accessi interrotto nel plug-in Simple: Press che interessava la versione 6.6.0 e precedenti.

Plugin XCloner

Plugin XCloner

Questo plugin ti aiuterà a ripristinare e fare il backup del tuo sito Web WordPress.

Vulnerabilità: Falsificazione di richieste tra siti
Risolto nella versione: 4.2.13
Totale siti Web interessati: oltre 30.000

I backup del sito Web possono essere inviati a Google Drive, SFTP, Amazon, Dropbox, Backblaze e altri luoghi. Automaticamente o manualmente puoi creare backup con uno scheduler che è un build-in di XCloner.

Diverse funzionalità di sicurezza sono fornite da XCloner come XCloner creerà temi, core, plug-in, backup dei file delle lingue appena prima degli aggiornamenti automatici, dei temi, dei plug-in o dei file di lingua del core di WordPress. Le persone che cercano un sito Web sicuro e la privacy dovrebbero scegliere XCloner.

Trascina e rilascia Caricamento di file multipli – modulo di contatto 7

Trascina e rilascia più file di caricamento

Questo plug-in è un'estensione facile da usare e diretta, specialmente per il modulo di contatto 7. Questo plug-in consentirà agli utenti di aggiungere file diversi con l'aiuto delle funzionalità di trascinamento della selezione. Si può anche aggiungere un file di navigazione comune del modulo web.

Le funzionalità di questo plug-in sono limitate al numero di file caricati, limitano la dimensione del file per ogni campo, mobile responsive, supportano qualsiasi browser, supportano più lingue, interessante barra di avanzamento, funzione di trascinamento della selezione, convalida della dimensione del file, convalida del tipo di file, e così via.

Vulnerabilità: esecuzione di codice remoto non verificata
Risolto nella versione: 1.3.5.5
Totale siti web interessati: 20.000+

Questo strumento fa uso di una lista nera di estensioni di file pericolose che non ti consente di caricare. Tuttavia, le estensioni .phpt e .phar non erano nella lista nera che non possono essere utilizzate per aggiungere codice PHP arbitrario.

Sono stati scoperti più di 25 plug-in WordPress con vulnerabilità agli attacchi CSRF, alcuni dei quali lo sono

  • Abbonamento a pagamento Pro
  • Creatore di coupon
  • Costruttori divertenti
  • Pulsanti di opzione per tassonomie
  • Bella sequenza temporale
  • Testimonianze facili
  • Dokan
  • Aggregatore RSS di Feedly
  • Prenotazione dell'hotel WP
  • WP Project Manager e molti altri.

Post correlato: I migliori temi WordPress senza errori per i progetti tra cui scegliere per il tuo prossimo sito web

Notizie sulla vulnerabilità di WordPress, novembre 2020

Supporto per la conformità al GDPR CCPA

Supporto per la conformità al GDPR CCPA

È anche noto come plug-in di conformità Ninja GDPR per gli utenti di WordPress.

Vulnerabilità: iniezione non ufficiale su oggetto PHP
Risolto nella versione: 2.4
Totale siti web interessati: 1000+

Il plug-in di supporto per la conformità al GDPR CCPA ha più di 1000 installazioni attive Ha risolto una vulnerabilità di deserializzazione non sicura che influiva sulla versione 2.1 e precedenti che potrebbe arrivare all'iniezione di oggetti PHP non ufficiale. Il 17 novembre 2020. Verrà mostrato il PoC per aggiornare gli utenti con tutte le informazioni.

Welcart eCommerce

Welcart eCommerce

WelCart è gratuito. Ha più di 20.000 installazioni attive e disponibile in 3 lingue diverse, ovvero inglese (Stati Uniti), giapponese e vietnamita. Il 9 ottobre 2020 è stata scoperta la vulnerabilità in questo plugin.

Vulnerabilità: iniezione non ufficiale su oggetto PHP
Risolto nella versione: 1.9.36
Totale siti Web interessati: oltre 20.000

Gli utenti di WordPress possono utilizzare il plug-in Welcart per creare un sito Web di shopping con un'area dell'account cliente diversa. Non utilizza lo stesso cookie utilizzato da WordPress. Usa il suo.

Questo ti aiuta a tenere traccia delle sessioni utente. Utilizzando questo plug-in sarai in grado di vendere qualsiasi tipo di prodotto, inclusi prodotti basati su abbonamento, prodotti digitali e prodotti fisici. Non è previsto alcun limite al numero di foto, prodotti e categorie di articoli.

Accedi alle icone sociali di stampa

Plugin di condivisione social di AccessPress

Sarai in grado di creare diverse icone social e aggiungere un collegamento ai tuoi account di social media validi direttamente dal sito web. Ha più di 40.000 installazioni attive e supporta WordPress versione 4.5 e successive.

Vulnerabilità: SQL injection autenticata
Risolto nella versione: 1.8.1
Totale siti web interessati: 40 000+

Il suo attributo widget non è stato disinfettato da questo plug-in, consente agli account con autorizzazione postale, ad esempio l'autore, di eseguire iniezioni SQL.

Molto facilmente anche una persona non tecnica può collegarsi ai profili social del sito web. Puoi creare e personalizzare le icone magnificamente da solo. Sono forniti 12 diversi set progettati che possono essere utilizzati per selezionare le icone.

Le caratteristiche principali di questo plugin sono una facile integrazione, suggerimenti sugli strumenti, più stili, anteprima dal vivo in tempo reale, layout reattivi, interattivi, propri e altro ancora.

WordPress

La versione 5.5.2 di WordPress è stata rilasciata il 29 ottobre 2020. Questa versione è stata introdotta per risolvere i problemi interessati dalla versione 5.5 di WordPress, inclusa la vulnerabilità XSS riflessa. Inoltre, ha risolto alcuni problemi di regressione scoperti nella versione 5.5

Vulnerabilità: XSS riflesso
Risolto nella versione: 5.5.2
Totale siti web interessati: N/D

Su ogni account utente WordPress e sito Web dell'utente, questo problema è suscettibile. L'aggressore potrebbe ingannare un utente ignaro facendo clic su un collegamento infetto o visitare il sito Web che è intrappolato. Il livello di vittimizzazione per questo problema è medio perché necessita di una sorta di ingegneria sociale.

SW Ajax WooCommerce Cerca

Ajax Cerca WooCommerce

SW Ajax WooCommerce Search è un plugin WordPress per WooCommerce che ha una funzione di ricerca Ajax.

Vulnerabilità: XFS e XSS riflessi non ufficiali
Risolto nella versione: 1.2.8
Totale siti web interessati: N/D

Conclusione:
Notizie sulla vulnerabilità di WordPress di novembre – Numero di siti Web WordPress vengono infettati e violati ogni giorno. Alcuni dati mostrano che più di 30.000 siti Web vengono colpiti ogni giorno da diversi tipi di malware.

Ogni sito Web aperto su Internet è una risorsa disponibile per tutti e questo è il motivo principale per cui la maggior parte dei siti Web è mirata.

È fondamentale sapere il fatto che non appena vivi la tua attività online, diventa disponibile come pubblico. Così diventa facilmente preso di mira.

Per evitare di aggiungere plug-in vulnerabili sul tuo sito Web, è importante mantenere aggiornati i plug-in e i siti Web. Se possibile, puoi abilitare gli aggiornamenti automatici.

Se stai utilizzando i plug-in sopra menzionati, è giunto il momento di aggiornarlo con una nuova versione, altrimenti il ​​​​tuo sito Web verrà danneggiato gravemente.