Rapporto sulla vulnerabilità di WordPress: gennaio 2022, parte 1
Pubblicato: 2022-01-06Plugin e temi vulnerabili sono il motivo n. 1 per cui i siti Web WordPress vengono violati. Il rapporto settimanale sulle vulnerabilità di WordPress fornito da WPScan copre i recenti plugin, temi e vulnerabilità principali di WordPress e cosa fare se esegui uno dei plugin o temi vulnerabili sul tuo sito web.
Ciascuna vulnerabilità avrà un livello di gravità Basso , Medio , Alto o Critico . La divulgazione responsabile e la segnalazione delle vulnerabilità sono parte integrante della sicurezza della community di WordPress. Novità in questo rapporto: le vulnerabilità sono ora elencate in base al numero di installazioni attive, anziché alla data di divulgazione.
Condividi questo post con i tuoi amici per aiutare a spargere la voce e rendere WordPress più sicuro per tutti !
Riepilogo del rapporto sulle vulnerabilità di WordPress 2021: 1.263 vulnerabilità divulgate; Plugin al 98%.
- Nel 2021 sono state rivelate in totale 1.263 vulnerabilità di plugin e temi. Le vulnerabilità dei plugin di WordPress rappresentavano il 98% di tutte le vulnerabilità segnalate.
- Settembre 2021 ha visto il maggior numero di vulnerabilità segnalate, con un totale di 323 vulnerabilità divulgate solo in quel mese.
- I tipi più comuni di vulnerabilità dei plug-in divulgati nel 2021 sono stati il cross-site scripting (XSS) e le iniezioni SQL. La maggior parte degli autori di plugin ha rilasciato patch, mentre alcuni plugin rimangono ancora chiusi.
- A causa dell'aumento delle rivelazioni di vulnerabilità, abbiamo modificato la frequenza della segnalazione di vulnerabilità a una volta alla settimana, anziché due volte al mese.
- Grazie al tuo feedback, abbiamo anche iniziato a elencare le divulgazioni dei plug-in in ordine o le installazioni attive. Abbiamo anche iniziato a raggruppare i plug-in per free e pro, con una sezione separata per plug-in chiusi e plug-in per nessuna soluzione nota.
Vulnerabilità principali di WordPress
L'ultima versione del core di WordPress è la 5.8.2. Come best practice, assicurati sempre di eseguire l'ultima versione del core di WordPress!
Vulnerabilità dei plugin di WordPress
In questa sezione sono state divulgate le ultime vulnerabilità del plugin di WordPress. Ciascun elenco di plug-in include il tipo di vulnerabilità, le installazioni attive, il numero di versione se patchato e il livello di gravità.
1. Updraft Plus
Plugin: Updraft Plus
Vulnerabilità : Scripting incrociato riflesso
Installazione attiva : 3+ milioni
Patchato nella versione : 1.16.569
Punteggio di gravità : alto
Plugin: Updraft Plus
Vulnerabilità : Admin+ Script tra siti archiviati
Installazione attiva : 3+ milioni
Patchato nella versione : 1.6.59
Punteggio di gravità : basso
Plugin: Updraft Plus
Vulnerabilità : amministratore + inclusione di file locali
Installazione attiva : 3+ milioni
Patchato nella versione : 1.16.59
Punteggio di gravità : medio
2. Convertitore WebP per media
Plugin: Convertitore WebP per media
Vulnerabilità : reindirizzamento aperto non autenticato
Installazione attiva : oltre 100.000
Patchato nella versione : 4.0.3
Punteggio di gravità : medio
3. WOOF – Filtro prodotti per WooCommerce
Plugin: WOOF – Filtro prodotti per WooCommerce
Vulnerabilità : Scripting incrociato riflesso
Installazione attiva : oltre 100.000
Patchato nella versione : 1.2.6.3
Punteggio di gravità : alto
4. ImparaStampa
Plugin: LearnPress
Vulnerabilità : Admin+ Script tra siti archiviati
Installazione attiva : oltre 100.000
Patchato nella versione : 4.1.3.2
Punteggio di gravità : medio
5. Clonazione della pagina del post WP
Plugin: WP Post Page Clone
Vulnerabilità : accesso post non autorizzato
Installazione attiva : oltre 80.000
Patchato nella versione : 1.2
Punteggio di gravità : medio
6. Tipi di file aggiuntivi WP
Plugin: Tipi di file extra WP
Vulnerabilità : CSRF allo scripting cross-site archiviato
Installazione attiva : oltre 50.000
Patchato nella versione : 0.5.1
Punteggio di gravità : alto
7. Tutor LMS
Plugin: Tutor LMS
Vulnerabilità : Abbonati + Script tra siti archiviati
Installazione attiva : oltre 40.000
Patchato nella versione : 1.9.12
Punteggio di gravità : alto
Plugin: Tutor LMS
Vulnerabilità : Scripting incrociato riflesso
Installazione attiva : oltre 40.000
Patchato nella versione : 1.9.12
Punteggio di gravità : alto
8. Dashboard e pagina di accesso personalizzati
Plugin: dashboard e pagina di accesso personalizzati
Vulnerabilità : Admin+ Script tra siti archiviati
Installazione attiva : oltre 40.000
Patchato nella versione : 7.0
Punteggio di gravità : medio
9. Domande frequenti finali
Plugin: domande frequenti
Vulnerabilità : Creazione di FAQ arbitrarie per abbonati+
Installazione attiva : oltre 30.000
Patchato nella versione : 2.1.2
Punteggio di gravità : medio
10. Frontend utente di WP
Plugin: Frontend utente WP
Vulnerabilità : SQL injection allo scripting cross-site riflesso
Installazione attiva : oltre 30.000
Patchato nella versione : 3.5.26
Punteggio di gravità : alto
11. mioCred
Plugin: myCred
Vulnerabilità : Scripting incrociato riflesso
Installazione attiva : oltre 20.000
Patchato nella versione : 2.4
Punteggio di gravità : alto
12. Effetti al passaggio dell'immagine definitivi
Plugin: Effetti al passaggio dell'immagine Ultimate
Vulnerabilità : Scripting incrociato riflesso
Installazione attiva : oltre 20.000
Patchato nella versione : 9.7.1
Punteggio di gravità : alto
13. Qubely
Plugin: Qubely
Vulnerabilità : Creazione di FAQ arbitrarie per abbonati+
Installazione attiva : oltre 10.000
Patchato nella versione : 1.7.8
Punteggio di gravità : medio
14. Registrazione Magic
Plugin: Registrazione Magic
Vulnerabilità : Scripting incrociato riflesso
Installazione attiva : oltre 10.000
Patchato nella versione : 5.0.1.9
Punteggio di gravità : alto
15. Monitoraggio degli ordini per WooCommerce
Plugin: monitoraggio degli ordini per WooCommerce
Vulnerabilità : Scripting incrociato riflesso
Installazione attiva : oltre 10.000
Patchato nella versione : 1.1.10
Punteggio di gravità : alto
16. Libreria di collegamento
Plugin: Libreria di collegamenti
Vulnerabilità : Scripting incrociato riflesso
Installazione attiva : oltre 10.000
Patchato nella versione : 7.2.8
Punteggio di gravità : medio
Plugin: Libreria di collegamenti
Vulnerabilità : ripristino delle impostazioni della libreria tramite CSRF
Installazione attiva : oltre 10.000
Patchato nella versione : 7.2.8
Punteggio di gravità : medio
Plugin: Libreria di collegamenti
Vulnerabilità : eliminazione di collegamenti arbitrari non autenticati
Installazione attiva : oltre 10.000
Patchato nella versione : 7.2.8
Punteggio di gravità : medio
17. Compagno AF
Plugin: Compagno AF
Vulnerabilità : installazione e attivazione arbitraria di plug-in tramite CSRF
Installazione attiva : oltre 9.000
Patchato nella versione : 1.2.0
Punteggio di gravità : alto
18. Widget Elenco autori KNR
Plugin: Widget Elenco autori KNR
Vulnerabilità : SQL injection non autenticata
Installazione attiva : 200+
Patchato nella versione : 3.0.0
Punteggio di gravità : critico
19. Informazioni sull'utente del cookie WP
Plugin: Informazioni utente WP Cookie
Vulnerabilità : Admin+ SQL injection
Installazione attiva : 200+
Patchato nella versione : 1.0.9
Punteggio di gravità : medio
Vulnerabilità del plug-in di WordPress: plug-in chiuso
In questa sezione, le ultime vulnerabilità dei plugin di WordPress sono state divulgate nei plugin chiusi. Ciascun elenco di plug-in include il tipo di vulnerabilità, il livello di gravità e la data di chiusura.
20. Strumenti di laboratorio
Plugin: LabTools
Vulnerabilità : Abbonamento + eliminazione arbitraria della pubblicazione
Patchato nella versione : nessuna correzione nota – plug-in chiuso
Punteggio di gravità : medio
21. Controllo del dominio
Plugin: Controllo dominio
Vulnerabilità : Scripting incrociato riflesso
Patchato nella versione : nessuna correzione nota – plug-in chiuso
Punteggio di gravità : alto
22. Visualizzatore registro errori
Plugin: Visualizzatore registro errori
Vulnerabilità : cancellazione arbitraria di file di testo tramite CSRF
Patchato nella versione : nessuna correzione nota – plug-in chiuso
Punteggio di gravità : basso
23. Il WP ha visitato i paesi ricaricati
Plugin: WP Paesi visitati ricaricati
Vulnerabilità : Scripting incrociato riflesso
Patchato nella versione : 3.1.1- plugin chiuso
Punteggio di gravità : alto
24. Corsi di apprendimento
Plugin: Corsi di apprendimento
Vulnerabilità : Admin+ Script tra siti archiviati
Patchato nella versione : 5.0 – plugin chiuso
Punteggio di gravità : basso
25. Sondaggio perfetto
Plugin: sondaggio perfetto
Vulnerabilità : chiamata AJAX non autorizzata a XSS archiviato/aggiornamento delle impostazioni del sondaggio
Patchato nella versione : 1.5.2 – plugin chiuso
Punteggio di gravità : alto
Plugin: sondaggio perfetto
Vulnerabilità : chiamata AJAX non autorizzata a XSS archiviato/aggiornamento delle impostazioni del sondaggio
Patchato nella versione : 1.5.2 – plugin chiuso
Punteggio di gravità : alto
Plugin: sondaggio perfetto
Vulnerabilità : SQL injection non autenticata
Patchato nella versione : 1.5.2 – plugin chiuso
Punteggio di gravità : alto
Plugin: sondaggio perfetto
Vulnerabilità : Scripting incrociato riflesso
Patchato nella versione : 1.5.2 – plugin chiuso
Punteggio di gravità : alto
Plugin: sondaggio perfetto
Vulnerabilità : scripting cross-site archiviato non autenticato
Patchato nella versione : nessuna correzione nota – plug-in chiuso
Punteggio di gravità : alto
Vulnerabilità dei plugin di WordPress: nessuna correzione nota
In questa sezione, le ultime vulnerabilità dei plugin di WordPress sono state divulgate nei plugin chiusi. Ciascun elenco di plug-in include il tipo di vulnerabilità, il livello di gravità e la data di chiusura.
26. Mediamatico
Plugin: Mediamatic
Vulnerabilità : Abbonato + SQL injection
Installazione attiva : oltre 3.000
Patchato nella versione : nessuna correzione nota
Punteggio di gravità : alto
Come proteggere il tuo sito Web WordPress da temi e plugin vulnerabili
Come puoi vedere da questo rapporto, ogni settimana vengono divulgate molte nuove vulnerabilità di plugin e temi di WordPress. Sappiamo che può essere difficile rimanere aggiornati su ogni divulgazione di vulnerabilità segnalata, quindi il plug-in iThemes Security Pro rende facile assicurarsi che il tuo sito non stia eseguendo un tema, un plug-in o una versione core di WordPress con una vulnerabilità nota.
1. Installa il plug-in iThemes Security Pro
Il plug-in iThemes Security Pro rafforza il tuo sito WordPress contro i modi più comuni in cui i siti Web vengono violati. Con oltre 30 modi per proteggere il tuo sito in un plug-in facile da usare.
2. Abilita la scansione del sito per verificare la presenza di vulnerabilità note
La funzione di gestione della versione in iThemes Security Pro si integra con la scansione del sito per proteggere il tuo sito. Temi vulnerabili, plug-in e versioni principali di WordPress verranno aggiornati automaticamente per te.
3. Attivare Rilevamento modifiche file
La chiave per individuare rapidamente una violazione della sicurezza è monitorare le modifiche ai file sul tuo sito web. La funzione di rilevamento delle modifiche dei file in iThemes Security Pro eseguirà la scansione dei file del tuo sito Web e ti avviserà quando si verificano modifiche sul tuo sito Web.
Ottieni iThemes Security Pro con il monitoraggio della sicurezza del sito web 24 ore su 24, 7 giorni su 7
iThemes Security Pro, il nostro plug-in di sicurezza per WordPress, offre oltre 50 modi per proteggere e proteggere il tuo sito Web dalle comuni vulnerabilità di sicurezza di WordPress. Con WordPress, l'autenticazione a due fattori, la protezione dalla forza bruta, l'imposizione di password complesse e altro ancora, puoi aggiungere ulteriori livelli di sicurezza al tuo sito web.
