Rapporto sulla vulnerabilità di WordPress: dicembre 2021, parte 2
Pubblicato: 2021-12-15Plugin e temi vulnerabili sono il motivo n. 1 per cui i siti Web WordPress vengono violati. Il rapporto settimanale sulle vulnerabilità di WordPress fornito da WPScan copre i recenti plugin, temi e vulnerabilità principali di WordPress e cosa fare se esegui uno dei plugin o temi vulnerabili sul tuo sito web.
Ciascuna vulnerabilità avrà un livello di gravità Basso , Medio , Alto o Critico . La divulgazione responsabile e la segnalazione delle vulnerabilità sono parte integrante della sicurezza della community di WordPress.
Condividi questo post con i tuoi amici per aiutare a spargere la voce e rendere WordPress più sicuro per tutti.
Notizie WordPress: perdita di dati Gravatar
Questa settimana Gravatar, un servizio globale per avatar unici, è stato violato, anche se Gravatar assicura che non c'è stato alcun hack.
I dati sono stati raschiati, il che non costituisce una violazione perché le password e altre informazioni private non sono state prese. Al contrario, le informazioni pubblicamente disponibili sono state raccolte in un modo che normalmente non è facile da ottenere. In teoria, qualcuno dovrebbe conoscere il nome utente dell'utente Gravatar per poter accedere all'indirizzo email di quell'utente. Lo scraping ha consentito all'attaccante di scaricare i nomi utente e le e-mail contemporaneamente.
Vulnerabilità principali di WordPress
L'ultima versione del core di WordPress è la 5.8.2. Come best practice, assicurati sempre di eseguire l'ultima versione del core di WordPress!
Vulnerabilità dei plugin di WordPress
In questa sezione sono state divulgate le ultime vulnerabilità del plugin di WordPress. Ciascun elenco di plug-in include il tipo di vulnerabilità, il numero di versione se patchato e il livello di gravità.
1. Gestore degli eventi
Plugin: Gestione eventi
Vulnerabilità : Admin+ SQL injection
Patchato nella versione : 5.9.8
Punteggio di gravità : medio
Plugin: Gestione eventi
Vulnerabilità : Cross-Site Scripting (XSS)
Patchato nella versione : 5.9.8
Punteggio di gravità : basso
2. Recensioni ricche di Starfish
Plugin: Rich Recensioni di Starfish
Vulnerabilità : Admin+ SQL injection
Patchato nella versione : 1.9.6
Punteggio di gravità : medio
3. Typebot
Plugin: Typebot
Vulnerabilità : Admin+ Stored Cross Site Scripting
Patchato nella versione : 1.4.3
Punteggio di gravità : basso
4. Modulo di contatto e modulo di contatto Elementor Builder
Plugin: modulo di contatto e modulo per i lead Elementor Builder
Vulnerabilità : scripting cross-site archiviato non autenticato
Patchato nella versione : 1.6.4
Punteggio di gravità : alto
5. Gestione download
Plugin: Download Manager
Vulnerabilità : Abbonati + Script tra siti archiviati
Patchato nella versione : 3.2.22
Punteggio di gravità : alto
6. Aggregatore WP RSS
Plugin: Abbonato + Script tra siti archiviati
Vulnerabilità : Admin+ SQL injection
Patchato nella versione : 4.19.3
Punteggio di gravità : alto
7. Buttonizer – Pulsante di azione mobile intelligente
Plugin: Buttonizer – Pulsante di azione mobile intelligente
Vulnerabilità : Admin+ Script tra siti archiviati
Patchato nella versione : 2.5.5
Punteggio di gravità : basso
8. Registrazione della posta WP
Plugin: registrazione della posta WP
Vulnerabilità : Framework Redux obsoleto
Patchato nella versione : 1.10.0
Punteggio di gravità : medio
9. Stetico
Plugin: Stetic
Vulnerabilità : CSRF allo scripting cross-site archiviato
Patchato nella versione : nessuna correzione nota – plug-in chiuso
Punteggio di gravità : alto
10. Modulo di contatto con Captcha
Plugin: modulo di contatto con Captcha
Vulnerabilità : CSRF allo scripting cross-site archiviato
Patchato nella versione : nessuna correzione nota – plug-in chiuso
Punteggio di gravità : alto
11. Supporto eccezionale
Plugin: supporto eccezionale
Vulnerabilità : Scripting incrociato riflesso
Patchato nella versione : 6.0.7
Punteggio di gravità : alto
12. Forum di Asgaros
Plugin: Forum di Asgaros
Vulnerabilità : Admin+ Script tra siti archiviati
Patchato nella versione : 1.15.14
Punteggio di gravità : basso
13. Cache LiteSpeed
Plugin: LiteSpeed Cache
Vulnerabilità : bypass del controllo IP per XSS archiviato non autenticato
Patchato nella versione : 4.4.4
Punteggio di gravità : alto
Plugin: LiteSpeed Cache
Vulnerabilità : Admin+ Scripting cross-site riflesso
Patchato nella versione : 4.4.4
Punteggio di gravità : alto
14. Videoconferenza con Zoom
Plugin: Videoconferenza con Zoom
Vulnerabilità : Scripting incrociato riflesso
Patchato nella versione : 3.8.16
Punteggio di gravità : alto
15. Booster per Woocommerce
Plugin: Booster per Woocommerce
Vulnerabilità : Scripting cross-site riflesso nel modulo di fatturazione PDF
Patchato nella versione : 5.4.9
Punteggio di gravità : alto
Plugin: Booster per Woocommerce
Vulnerabilità : Scripting cross-site riflesso nel modulo generale
Patchato nella versione : 5.4.9
Punteggio di gravità : alto
Plugin: Booster per Woocommerce
Vulnerabilità : Scripting cross-site riflesso nel modulo feed XML del prodotto
Patchato nella versione : 5.4.9
Punteggio di gravità : alto
16. Pacchetto potenziamento velocità
Plugin: Pacchetto Speed Booster
Vulnerabilità : Admin+ SQL injection
Patchato nella versione : 4.3.3.1
Punteggio di gravità : medio
17. OMG
Plugin: OMGF
Vulnerabilità : Admin+ Cancellazione arbitraria della cartella tramite Path Traversal
Patchato nella versione : 4.5.12
Punteggio di gravità : medio
18. CAOS
Plugin: CAOS
Vulnerabilità : Admin+ Cancellazione arbitraria della cartella tramite Path Traversal
Patchato nella versione : 4.1.9
Punteggio di gravità : medio
19. Motore di viaggio WP
Plugin: WP Travel Engine
Vulnerabilità : Editor + Script tra siti archiviati
Patchato nella versione : 5.3.1
Punteggio di gravità : basso
20. Scarica Monitor
Plugin: Scarica Monitor
Vulnerabilità : Admin+ SQL injection
Patchato nella versione : 4.4.5
Punteggio di gravità : medio
21. Calcolatore del mutuo / Calcolatore del prestito
Plugin: calcolatrice ipoteca / calcolatrice prestito
Vulnerabilità : Contributor+ Scripting cross-site archiviato
Patchato nella versione : 1.5.17
Punteggio di gravità : medio
22. Campioni di variazione per WooCommerce
Plugin: campioni di variazione per WooCommerce
Vulnerabilità : Abbonati + Script tra siti archiviati
Patchato nella versione : 2.1.2
Punteggio di gravità : alto
23. Annunci di affiliazione ClickBank
Plugin: Annunci di affiliazione ClickBank
Vulnerabilità : CSRF allo scripting cross-site archiviato
Patchato nella versione : nessuna correzione nota – plug-in chiuso
Punteggio di gravità : alto
Plugin: Annunci di affiliazione ClickBank
Vulnerabilità : Admin+ Script tra siti archiviati
Patchato nella versione : nessuna correzione nota – plug-in chiuso
Punteggio di gravità : basso
24. Campi personalizzati avanzati
Plugin: campi personalizzati avanzati
Vulnerabilità : Abbonato+ Visualizzazione arbitraria di gruppi di campi/di ACF e spostamento dei campi
Patchato nella versione : 5.11
Punteggio di gravità : medio
25. Canto
Plugin: Canto
Vulnerabilità : SSRF cieco non autenticato
Patchato nella versione : nessuna correzione nota
Punteggio di gravità : medio
26. Galleria All-In-One
Plugin: All-In-One-Gallery
Vulnerabilità : amministratore + inclusione di file locali
Patchato nella versione : 2.5.0
Punteggio di gravità : basso
Come proteggere il tuo sito Web WordPress da temi e plugin vulnerabili
Come puoi vedere da questo rapporto, ogni settimana vengono divulgate molte nuove vulnerabilità di plugin e temi di WordPress. Sappiamo che può essere difficile rimanere aggiornati su ogni divulgazione di vulnerabilità segnalata, quindi il plug-in iThemes Security Pro rende facile assicurarsi che il tuo sito non stia eseguendo un tema, un plug-in o una versione core di WordPress con una vulnerabilità nota.
1. Installa il plug-in iThemes Security Pro
Il plug-in iThemes Security Pro rafforza il tuo sito WordPress contro i modi più comuni in cui i siti Web vengono violati. Con oltre 30 modi per proteggere il tuo sito in un plug-in facile da usare.
2. Abilita la scansione del sito per verificare la presenza di vulnerabilità note
La funzione di gestione della versione in iThemes Security Pro si integra con la scansione del sito per proteggere il tuo sito. Temi vulnerabili, plug-in e versioni principali di WordPress verranno aggiornati automaticamente per te.
3. Attivare Rilevamento modifiche file
La chiave per individuare rapidamente una violazione della sicurezza è monitorare le modifiche ai file sul tuo sito web. La funzione di rilevamento delle modifiche dei file in iThemes Security Pro eseguirà la scansione dei file del tuo sito Web e ti avviserà quando si verificano modifiche sul tuo sito Web.
Ottieni iThemes Security Pro con il monitoraggio della sicurezza del sito web 24 ore su 24, 7 giorni su 7
iThemes Security Pro, il nostro plug-in di sicurezza per WordPress, offre oltre 50 modi per proteggere e proteggere il tuo sito Web dalle comuni vulnerabilità di sicurezza di WordPress. Con WordPress, l'autenticazione a due fattori, la protezione dalla forza bruta, l'imposizione di password complesse e altro ancora, puoi aggiungere ulteriori livelli di sicurezza al tuo sito web.
