Rapporto sulla vulnerabilità di WordPress: agosto 2021, parte 3
Pubblicato: 2021-08-18I plugin e i temi vulnerabili sono la ragione principale per cui i siti Web WordPress vengono violati. Il rapporto settimanale sulle vulnerabilità di WordPress basato su WPScan copre i recenti plug-in, temi e vulnerabilità principali di WordPress e cosa fare se si esegue uno dei plug-in o temi vulnerabili sul tuo sito web.
Ogni vulnerabilità avrà un livello di gravità Bassa , Media , Alta o Critica . La divulgazione responsabile e la segnalazione delle vulnerabilità sono parte integrante del mantenimento della sicurezza della community di WordPress.
Essendo uno dei più grandi rapporti sulle vulnerabilità di WordPress fino ad oggi, condividi questo post con i tuoi amici per aiutare a spargere la voce e rendere WordPress più sicuro per tutti.
Vulnerabilità principali di WordPress
1. Accesso pulito
Plugin: accesso pulito
Vulnerabilità : Scripting cross-site riflesso
Patchato nella versione : 1.12.6.4
Punteggio di gravità : medio
2. SliceWP
Plugin: SliceWP
Vulnerabilità : Reflected Cross-Site Scripting (XSS)
Patchato nella versione : 1.0.46
Punteggio di gravità : alto
3. Gestore di download di WordPress
Plugin: WordPress Download Manager
Vulnerabilità : aggiornamento delle impostazioni del modello di posta elettronica tramite CSRF
Patchato nella versione : 3.2.13
Punteggio di gravità : medio
4. Parla! Email petizioni
Plugin: SpeakOut! Email petizioni
Vulnerabilità : Scripting cross-site riflesso
Patchato nella versione : 2.13.3
Punteggio di gravità : alto
5. Recensioni del sito
Plugin: Recensioni del sito
Vulnerabilità : XSS archiviato autenticato
Patchato nella versione : 5.13.1
Punteggio di gravità : basso
6. Tutor LMS
Plugin: Tutor LMS
Vulnerabilità : Scripting cross-site riflesso
Patchato nella versione : 1.9.6
Punteggio di gravità : alto
7. Barra di notifica WPFront
Plugin: barra di notifica WPFront
Vulnerabilità : XSS archiviato autenticato
Patchato nella versione : 2.1.08087
Punteggio di gravità : basso
8. Generatore di moduli
Plugin: Form Builder
Vulnerabilità : Reflected Cross-Site Scripting (XSS)
Patchato nella versione : 1.9.8.5
Punteggio di gravità : alto
Plugin: Form Builder
Vulnerabilità : Scripting cross-site archiviato autenticato
Patchato nella versione : 1.9.8.4
Punteggio di gravità : basso
9. Backup WPvivid
Plugin: WPvivid Backup
Vulnerabilità : Scripting cross-site riflesso
Patchato nella versione : 0.9.56
Punteggio di gravità : alto
10. Aggiungi a qualsiasi
Plugin: AddToAny
Vulnerabilità : XSS archiviato autenticato
Patchato nella versione : 1.7.46
Punteggio di gravità : basso
11. Interrompi la sicurezza degli spammer
Plugin: Arresta la sicurezza degli spammer
Vulnerabilità : XSS archiviato autenticato
Patchato nella versione : 2021.18
Punteggio di gravità : basso
12. Parole chiave e meta
Plugin: parole chiave e meta
Vulnerabilità : da CSRF a Stored Cross-Site Scripting (XSS)
Patchato nella versione : nessuna correzione nota
Punteggio di gravità : alto
13. Struttura Titano
Plugin: Titan Framework
Vulnerabilità : Reflected Cross-Site Scripting (XSS)
Patchato nella versione : nessuna correzione nota
Punteggio di gravità : alto
Influisce sui plugin:
- 4k-icon-fonts-for-visual-composer – Nessuna correzione nota – plugin chiuso
- adblock-notify-by-bweb – Nessuna correzione nota
- affiliate-pro – Nessuna correzione nota – plugin chiuso
- amp-extensions – Nessuna correzione nota
- aoi-tori – Nessuna correzione conosciuta
- impressionante-supporto – Nessuna correzione nota
- betteroptin – Nessuna correzione conosciuta – plugin chiuso
- border-loading-bar – Nessuna correzione nota
- catchers-helpdesk – Nessuna correzione nota
- categorie-galleria – Nessuna correzione nota
- categorie-gallery-woocommerce – Nessuna correzione nota
- cf7-customizer – Nessuna correzione nota
- Clinicalwp-core – Nessuna correzione nota
- cool-facebook-page-feed-timeline – Nessuna correzione nota – plugin chiuso
- custom-scroll-bar-designer – Nessuna correzione nota
- colori-selezione-testo-personalizzati – Nessuna correzione nota
- disable-image-right-click – Nessuna correzione nota
- easy-gallery-slideshow – Nessuna correzione nota
- easy-google-map – Nessuna correzione nota
- easy-justified-gallery – Nessuna correzione nota
- email-my-posts – Nessuna correzione nota
- exit-popup-show – Nessuna correzione nota
- blocchi-widget-ricerca voli – Nessuna correzione nota
- icone-con-collegamenti-widget – Nessuna correzione conosciuta – plugin chiuso
- icustomizer – Nessuna correzione nota
- live-chat-facebook-fanpage – Nessuna correzione nota
- media-mirror – Nessuna correzione nota
- mobile-menu – Nessuna correzione nota
- popup-modal-for-youtube – Nessuna correzione nota
- project-app – Nessuna correzione nota
- seatgeek-affiliate-tickets – Nessuna soluzione nota
- seo-dashboard-by-gutewebsites-de – Nessuna correzione nota
- share-woocommerce-email – Nessuna correzione nota
- simple-behace-portfolio – Nessuna correzione nota
- stars-menu – Nessuna correzione conosciuta – plugin chiuso
- station-pro – Nessuna correzione nota
- post-sticky-related – Nessuna correzione conosciuta – plugin chiuso
- tcs3 – Nessuna correzione nota
- template-events-calendar – Nessuna correzione nota
- total-sales-for-woocommerce – Nessuna soluzione nota
- tr-easy-google-analytics – Nessuna correzione nota – plugin chiuso
- venture-event-manager – Nessuna soluzione nota
- w3s-cf7-zoho – Nessuna correzione nota
- webhotelier – Nessuna correzione nota
- woo-availability-date – Nessuna correzione nota
- woo-whatsapp-request-quote – Nessuna correzione nota – plugin chiuso
- woosaleskit-bar – Nessuna correzione nota – plugin chiuso
- yandex-money-button – Nessuna correzione nota
14. WP Fusion Lite
Plugin: WP Fusion Lite
Vulnerabilità : CSRF alla cancellazione dei dati
Patchato nella versione : 3.37.30
Punteggio di gravità : medio
Plugin: WP Fusion Lite
Vulnerabilità : Reflected Cross-Site Scripting (XSS)
Patchato nella versione : 3.37.30
Punteggio di gravità : alto
Plugin: WP Fusion Lite
Vulnerabilità : Reflected Cross-Site Scripting (XSS)
Patchato nella versione : 3.37.31
Punteggio di gravità : alto
15. Blocca e ferma i robot dannosi
Plugin: blocca e blocca i bot dannosi
Vulnerabilità : iniezioni SQL autenticate
Patchato nella versione : 6.60
Punteggio di gravità : medio
16. Calendario di prenotazione semplice WP
Plugin: Calendario di prenotazione semplice di WP
Vulnerabilità : iniezioni SQL autenticate
Patchato nella versione : 2.0.6
Punteggio di gravità : medio
17. Abbonamenti membri a pagamento
Plugin: abbonamenti membri a pagamento
Vulnerabilità : iniezioni SQL autenticate
Patchato nella versione : 2.4.2
Punteggio di gravità : medio
18. Favicon di RealFaviconGenerator
Plugin: Favicon di RealFaviconGenerator
Vulnerabilità : Reflected Cross-Site Scripting (XSS)
Patchato nella versione : 1.3.22
Punteggio di gravità : alto
19. Alipay
Plugin: Alipay
Vulnerabilità : iniezione SQL autenticata
Patchato nella versione : nessuna correzione nota
Punteggio di gravità : medio
20. Cashtomer
Plugin: Cashtomer
Vulnerabilità : iniezione SQL autenticata
Patchato nella versione : nessuna correzione nota
Punteggio di gravità : medio
21. Abbonamento a WordPress SwiftCloud.io
Plugin: Abbonamento WordPress SwiftCloud.io
Vulnerabilità : iniezione SQL autenticata
Patchato nella versione : nessuna correzione nota
Punteggio di gravità : medio
22. Abbonamento a WordPress SwiftCloud.io
Plugin: Evidenziatore di commenti
Vulnerabilità : iniezione SQL autenticata
Patchato nella versione : nessuna correzione nota
Punteggio di gravità : medio
23. Facile Manager di Testimonianze
Plugin: Easy Testimonial Manager
Vulnerabilità : iniezione SQL autenticata
Patchato nella versione : nessuna correzione nota
Punteggio di gravità : medio
24. Incorpora video di Youtube
Plugin: incorpora video di Youtube
Vulnerabilità : iniezione SQL autenticata
Patchato nella versione : nessuna correzione nota
Punteggio di gravità : medio
25. Maestro di quiz e sondaggi
Plugin: Quiz e Survey Master
Vulnerabilità : Scripting cross-site riflesso
Patchato nella versione : 7.1.14
Punteggio di gravità : alto
26. Prenota appuntamento online
Plugin: Prenota appuntamento online
Vulnerabilità : Authenticated Stored Cross-Site Scripting (XSS)
Patchato nella versione : 1.39
Punteggio di gravità : basso
27. Google Authenticator di miniOrange
Plugin: Google Authenticator di miniOrange
Vulnerabilità : Scripting cross-site riflesso
Patchato nella versione : 5.4.40
Punteggio di gravità : alto
28. Autenticazione a due fattori
Plugin: autenticazione a due fattori
Vulnerabilità : Scripting cross-site riflesso
Patchato nella versione : 1.0.8
Punteggio di gravità : alto
29. Tempo di preghiera quotidiano
Plugin: ora di preghiera quotidiana
Vulnerabilità : XSS archiviato autenticato
Patchato nella versione : 2021.08.10
Punteggio di gravità : basso
30. Generatore di visualizzazioni post personalizzate
Plugin: generatore di visualizzazione post personalizzata
Vulnerabilità : Scripting cross-site riflesso
Patchato nella versione : nessuna correzione nota
Punteggio di gravità : alto
31. Lettore video FV Flowplayer
Plugin: Lettore video FV Flowplayer
Vulnerabilità : Scripting cross-site riflesso
Patchato nella versione : 7.5.3.727
Punteggio di gravità : alto
32. Galleria di immagini
Plugin: Galleria di immagini
Vulnerabilità : XSS archiviato autenticato
Patchato nella versione : nessuna correzione nota
Punteggio di gravità : basso
33. Gestore delle licenze software
Plugin: Gestore licenze software
Vulnerabilità : Scripting cross-site riflesso
Patchato nella versione : 4.4.8 (plugin chiuso)
Punteggio di gravità : alto
34. Per pagina Aggiungi alla testa
Plugin: per pagina Aggiungi alla testa
Vulnerabilità : XSS archiviato autenticato
Patchato nella versione : nessuna correzione nota
Punteggio di gravità : basso
Plugin: per pagina Aggiungi alla testa
Vulnerabilità : da CSRF a XSS memorizzato
Patchato nella versione : 1.4.4 (plugin chiuso)
Punteggio di gravità : alto
35. Securimage-WP-Fisso
Plugin: Securimage-WP-Fixed
Vulnerabilità : Reflected Cross-Site Scripting (XSS)
Patchato nella versione : nessuna correzione nota
Punteggio di gravità : alto
36. Esportazione di immagini
Plugin: esportazione immagine
Vulnerabilità : Directory traversal
Patchato nella versione : nessuna correzione nota
Punteggio di gravità : critico
37. Dispositivo di scorrimento del testo del contenuto sul post
Plugin: dispositivo di scorrimento del testo del contenuto sul post
Vulnerabilità : Authenticated Stored Cross-Site Scripting (XSS)
Patchato nella versione : 6.9
Punteggio di gravità : medio
38. Generatore di moduli di contatto
Plugin: generatore di moduli di contatto
Vulnerabilità : Falsità di richieste multisito multiple (CSRF)
Patchato nella versione : nessuna correzione nota
Punteggio di gravità : alto
39. Calendar_plugin
Plugin: Calendar_plugin
Vulnerabilità : Scripting cross-site riflesso
Patchato nella versione : nessuna correzione nota
Punteggio di gravità : alto
40. Aggiungi barra laterale
Plugin: aggiungi barra laterale
Vulnerabilità : Scripting cross-site riflesso
Patchato nella versione : nessuna correzione nota
Punteggio di gravità : alto
41. Tag SEO WP
Plugin: WP SEO Tag
Vulnerabilità : Scripting cross-site riflesso
Patchato nella versione : nessuna correzione nota
Punteggio di gravità : alto
42. Moova per WooCommerce
Plugin: Moova per WooCommerce
Vulnerabilità : Scripting cross-site riflesso
Patchato nella versione : nessuna correzione nota
Punteggio di gravità : alto
43. Rotatore tagline jQuery
Plugin: jQuery Tagline Rotator
Vulnerabilità : Scripting cross-site riflesso
Patchato nella versione : nessuna correzione nota
Punteggio di gravità : alto
44. Tabella dei prezzi Plugmatter Lite
Plugin: Plugmatter Pricing Table Lite
Vulnerabilità : Scripting cross-site riflesso
Patchato nella versione : nessuna correzione nota
Punteggio di gravità : alto
45. Newsletter popup semplice
Plugin: semplice newsletter popup
Vulnerabilità : Scripting cross-site riflesso
Patchato nella versione : nessuna correzione nota
Punteggio di gravità : alto
46. TipoFR
Plugin: TypoFR
Vulnerabilità : Scripting cross-site riflesso
Patchato nella versione : nessuna correzione nota
Punteggio di gravità : alto
47. WP Songbook
Plugin: WP Songbook
Vulnerabilità : Scripting cross-site riflesso
Patchato nella versione : nessuna correzione nota
Punteggio di gravità : alto
48. Relazioni tipo post personalizzato
Plugin: relazioni tipo post personalizzato
Vulnerabilità : Scripting cross-site riflesso
Patchato nella versione : nessuna correzione nota
Punteggio di gravità : alto
49. Videochiamate a 2 vie e chat casuale
Plugin: videochiamate a 2 vie e chat casuale
Vulnerabilità : Scripting cross-site riflesso
Patchato nella versione : nessuna correzione nota
Punteggio di gravità : alto
50. Fontana WP
Plugin: WP Fountain
Vulnerabilità : Scripting cross-site riflesso
Patchato nella versione : nessuna correzione nota
Punteggio di gravità : alto
51. Utilizzo dei media
Plugin: utilizzo dei media
Vulnerabilità : Scripting cross-site riflesso
Patchato nella versione : nessuna correzione nota
Punteggio di gravità : alto
52. Mappe degli scarabocchi
Plugin: Scribble Maps
Vulnerabilità : Scripting cross-site riflesso
Patchato nella versione : nessuna correzione nota
Punteggio di gravità : alto
53. Giochi multiplayer
Plugin: giochi multiplayer
Vulnerabilità : Scripting cross-site riflesso
Patchato nella versione : nessuna correzione nota
Punteggio di gravità : alto
54. Skaut bazar
Plugin: Skaut bazar
Vulnerabilità : Scripting cross-site riflesso
Patchato nella versione : nessuna correzione nota
Punteggio di gravità : alto
55. Avvisi e-mail intelligenti
Plugin: avvisi e-mail intelligenti
Vulnerabilità : Scripting cross-site riflesso
Patchato nella versione : nessuna correzione nota
Punteggio di gravità : alto
56. Portafoglio Behance semplice
Plugin: portafoglio semplice Behance
Vulnerabilità : Scripting cross-site riflesso
Patchato nella versione : nessuna correzione nota
Punteggio di gravità : alto
Vulnerabilità dei temi WordPress
Una nota sulla divulgazione responsabile
Ci si potrebbe chiedere perché una vulnerabilità venga rivelata se offre agli hacker un exploit per attaccare. Bene, è molto comune per un ricercatore di sicurezza trovare e segnalare privatamente la vulnerabilità allo sviluppatore del software.
Con una divulgazione responsabile , il rapporto iniziale del ricercatore viene presentato privatamente agli sviluppatori dell'azienda proprietaria del software, ma con un accordo sul fatto che i dettagli completi verranno pubblicati una volta resa disponibile una patch. Per vulnerabilità di sicurezza significative, potrebbe esserci un leggero ritardo nella divulgazione della vulnerabilità per dare a più persone il tempo di applicare le patch.
Il ricercatore di sicurezza può fornire allo sviluppatore del software una scadenza per rispondere alla segnalazione o per fornire una patch. Se questa scadenza non viene rispettata, il ricercatore può rivelare pubblicamente la vulnerabilità per esercitare pressioni sullo sviluppatore affinché rilasci una patch.
La divulgazione pubblica di una vulnerabilità e l'apparente introduzione di una vulnerabilità Zero-Day, un tipo di vulnerabilità che non ha patch e viene sfruttata allo stato brado, può sembrare controproducente. Ma è l'unica leva che un ricercatore ha per fare pressione sullo sviluppatore per correggere la vulnerabilità.
Se un hacker dovesse scoprire la vulnerabilità, potrebbe tranquillamente utilizzare l'Exploit e causare danni all'utente finale (questo sei tu), mentre lo sviluppatore del software si accontenta di lasciare la vulnerabilità senza patch. Project Zero di Google ha linee guida simili quando si tratta di rivelare le vulnerabilità. Pubblicano i dettagli completi della vulnerabilità dopo 90 giorni, indipendentemente dal fatto che la vulnerabilità sia stata corretta o meno.
Come proteggere il tuo sito Web WordPress da temi e plugin vulnerabili
Come puoi vedere da questo rapporto, ogni settimana vengono rivelati molti nuovi plugin di WordPress e vulnerabilità dei temi. Sappiamo che può essere difficile rimanere al passo con ogni divulgazione di vulnerabilità segnalata, quindi il plug-in iThemes Security Pro rende facile assicurarsi che il tuo sito non esegua un tema, un plug-in o una versione core di WordPress con una vulnerabilità nota.
1. Attiva lo scanner del sito iThemes Security Pro
Lo scanner del sito del plug-in iThemes Security Pro esegue la scansione alla ricerca del motivo n. 1 per cui i siti WordPress vengono compromessi: plug-in e temi obsoleti con vulnerabilità note. Site Scanner verifica la presenza di vulnerabilità note sul tuo sito e applica automaticamente una patch, se disponibile.
Per abilitare la scansione del sito su nuove installazioni, vai alla scheda Verifica del sito nel menu Funzioni all'interno del plug-in e fai clic sull'interruttore per abilitare la scansione del sito .
Per attivare una scansione manuale del sito, fare clic sul pulsante Scansiona ora nella scheda Dashboard di sicurezza della scansione del sito.
Se la scansione del sito rileva una vulnerabilità, fare clic sul collegamento della vulnerabilità per visualizzare la pagina dei dettagli.
Nella pagina della vulnerabilità di Site Scan, vedrai se è disponibile una correzione per la vulnerabilità. Se è disponibile una patch, puoi fare clic sul pulsante Aggiorna plug-in per applicare la correzione sul tuo sito web.
2. Attiva la gestione delle versioni
La funzione di gestione della versione in iThemes Security Pro si integra con la scansione del sito per proteggere il tuo sito quando il software obsoleto non viene aggiornato abbastanza rapidamente. Anche le misure di sicurezza più efficaci falliranno se stai eseguendo software vulnerabile sul tuo sito web. Queste impostazioni aiutano a proteggere il tuo sito con opzioni per l'aggiornamento automatico alle nuove versioni se esiste una vulnerabilità nota ed è disponibile una patch.
Dalla pagina Impostazioni in iThemes Security Pro, vai alla schermata Funzionalità. Fare clic sulla scheda Verifica sito. Da qui, usa l'interruttore per abilitare la gestione delle versioni. Utilizzando l'ingranaggio delle impostazioni, puoi configurare ancora più impostazioni, incluso il modo in cui desideri che iThemes Security Pro gestisca gli aggiornamenti di WordPress, plug-in, temi e protezione aggiuntiva.
Assicurati di selezionare la casella Aggiornamento automatico se risolve una vulnerabilità in modo che iThemes Security Pro aggiorni automaticamente un plug-in o un tema se corregge una vulnerabilità rilevata dallo Scanner del sito.
3. Ricevi un avviso e-mail quando iThemes Security Pro rileva una vulnerabilità nota sul tuo sito
Dopo aver abilitato la pianificazione della scansione del sito, vai alle impostazioni del Centro notifiche del plug-in. In questa schermata, scorri fino alla sezione Risultati scansione sito .
Fare clic sulla casella per abilitare l'e-mail di notifica, quindi fare clic sul pulsante Salva impostazioni .
Ora, durante le scansioni pianificate del sito, riceverai un'e-mail se iThemes Security Pro scopre vulnerabilità note. L'e-mail sarà simile a questa.
Ottieni iThemes Security Pro e riposa un po' più facilmente stasera
iThemes Security Pro, il nostro plug-in di sicurezza per WordPress, offre oltre 50 modi per proteggere e proteggere il tuo sito Web dalle vulnerabilità di sicurezza comuni di WordPress. Con WordPress, l'autenticazione a due fattori, la protezione dalla forza bruta, l'imposizione di password complesse e altro ancora, puoi aggiungere un ulteriore livello di sicurezza al tuo sito web.
Ogni settimana, Michael mette insieme il Rapporto sulla vulnerabilità di WordPress per aiutare a mantenere i tuoi siti al sicuro. In qualità di Product Manager di iThemes, ci aiuta a continuare a migliorare la gamma di prodotti iThemes. È un nerd gigante e ama imparare tutto ciò che è tecnologico, vecchio e nuovo. Puoi trovare Michael che esce con sua moglie e sua figlia, leggendo o ascoltando musica quando non lavora.
