Rapporto sulla vulnerabilità di WordPress: giugno 2021, parte 3

Pubblicato: 2021-06-16

I plugin e i temi vulnerabili sono la ragione principale per cui i siti Web WordPress vengono violati. Il rapporto settimanale sulle vulnerabilità di WordPress basato su WPScan copre i recenti plug-in, temi e vulnerabilità principali di WordPress e cosa fare se si esegue uno dei plug-in o temi vulnerabili sul tuo sito web.

Ogni vulnerabilità avrà un livello di gravità Bassa , Media , Alta o Critica . La divulgazione responsabile e la segnalazione delle vulnerabilità sono parte integrante del mantenimento della sicurezza della community di WordPress. Per favore condividi questo post con i tuoi amici per aiutare a spargere la voce e rendere WordPress più sicuro per tutti.

Nel rapporto di giugno, parte 3
    Ricevi il report settimanale sulle vulnerabilità di WordPress direttamente nella tua casella di posta!
    Iscriviti ora

    Vulnerabilità principali di WordPress

    Ad oggi, la versione attuale di WordPress è 5.7.2. Assicurati che tutti i tuoi siti web siano aggiornati!

    Nessuna nuova vulnerabilità del core di WordPress è stata rivelata questo mese. Assicurati di eseguire WordPress 5.7.2 su tutti i tuoi siti.

    Vulnerabilità del plugin WordPress

    1. Recentemente

    Plugin: Recentemente
    Vulnerabilità : iniezione di codice autenticato
    Patchato nella versione : 3.0.5
    Gravità : Alta

    Plugin: Recentemente
    Vulnerabilità : Scripting cross-site archiviato autenticato
    Patchato nella versione : 3.0.5
    Gravità : Media

    2. Post popolari di WordPress

    Plugin: WordPress articoli popolari
    Vulnerabilità : iniezione di codice autenticato
    Patchato nella versione : 5.3.3
    Punteggio di gravità : alto

    Plugin: WordPress articoli popolari
    Vulnerabilità : Scripting cross-site archiviato autenticato
    Patchato nella versione : 5.3.3
    Punteggio di gravità : medio

    3. Indurimento WP

    Plugin: WP Hardening
    Vulnerabilità : Scripting cross-site riflesso tramite URI
    Patchato nella versione : 1.2.2
    Punteggio di gravità : medio

    Plugin: WP Hardening
    Vulnerabilità : Scripting cross-site riflesso tramite historyvalue
    Patchato nella versione : 1.2.2
    Punteggio di gravità : alto

    4. Commenti Mi piace Non mi piace

    Plugin: Commenti Mi piace Non mi piace
    Vulnerabilità : Aggiungi Mi piace/Non mi piace Bypass
    Patchato nella versione : 1.1.4
    Punteggio di gravità : medio

    5. Editor file di configurazione WP

    Plugin: WP Config File Editor
    Vulnerabilità : Scripting cross-site archiviato autenticato
    Patchato nella versione : nessuna correzione nota
    Punteggio di gravità : medio

    6. Colonne di amministrazione gratuite e professionali

    Plugin: colonne di amministrazione gratuite
    Vulnerabilità : Scripting cross-site archiviato autenticato
    Patchato nella versione : 4.3
    Punteggio di gravità : medio

    Plugin: Colonne di amministrazione Pro
    Vulnerabilità : Scripting cross-site archiviato autenticato
    Patchato nella versione : 5.5.1
    Punteggio di gravità : medio

    7. WP Google Maps

    Plugin: WP Google Maps
    Vulnerabilità : Scripting cross-site archiviato autenticato
    Patchato nella versione : 8.1.12
    Punteggio di gravità : medio

    8. Gateway di pagamento Stripe per WooCommerce

    Plugin: gateway di pagamento Stripe per WooCommerce
    Vulnerabilità : Scripting cross-site riflesso
    Patchato nella versione : 3.6.0
    Punteggio di gravità : alto

    9. Qtranslate Slug

    Plugin: Qtranslate Slug
    Vulnerabilità : bypass CSRF
    Patchato nella versione : nessuna correzione nota
    Punteggio di gravità : medio

    10. CSS-js-php personalizzato

    Plugin: personalizzato css-js-php
    Vulnerabilità : bypass CSRF
    Patchato nella versione : nessuna correzione nota
    Punteggio di gravità : medio

    11. Ruoli multipli

    Plugin: più ruoli
    Vulnerabilità : bypass CSRF
    Patchato nella versione : nessuna correzione nota
    Punteggio di gravità : medio

    12. Soluzione di mercato multivendor per WooCommerce

    Plugin: soluzione Marketplace multivendor per WooCommerce
    Vulnerabilità : bypass CSRF
    Patchato nella versione : 3.74
    Punteggio di gravità : medio

    13. JoomSport

    Logo JoomSport

    Plugin: JoomSport
    Vulnerabilità : iniezione di oggetti PHP non autenticati
    Patchato nella versione : 5.1.8
    Punteggio di gravità : medio

    14. Smart Slider 3

    Plugin: Smart Slider 3
    Vulnerabilità : Scripting cross-site archiviato autenticato
    Patchato nella versione : 3.5.0.9
    Punteggio di gravità : medio

    15. Politica sui cookie facile

    Plugin: Politica sui cookie facile
    Vulnerabilità : controllo dell'accesso interrotto allo scripting cross-site archiviato
    Patchato nella versione : nessuna correzione nota
    Punteggio di gravità : alto

    16. Welcart e-commerce

    Plugin: e-commerce Welcart
    Vulnerabilità : scripting tra siti
    Patchato nella versione : 2.2.4
    Punteggio di gravità : medio

    17. Preghiera WP

    Plugin: WP Preghiera
    Vulnerabilità : aggiornamento arbitrario delle impostazioni del plug-in tramite CSRF
    Patchato nella versione : 1.6.7
    Punteggio di gravità : medio

    Vulnerabilità dei temi WordPress

    1. Jannah

    Tema: Jannah
    Vulnerabilità : Scripting cross-site riflesso
    Patchato nella versione : 5.4.4
    Punteggio di gravità : alto

    2. Tema del motore

    Tema: tema del motore
    Vulnerabilità : inclusione di file locali non autenticati
    Patchato nella versione : 3.1.0
    Punteggio di gravità : alto

    3. Immobiliare 7

    Tema: Immobiliare 7
    Vulnerabilità : 3.1.1
    Patchato nella versione : Reflected Cross-Site Scripting
    Punteggio di gravità : alto

    Una nota sulla divulgazione responsabile

    Ci si potrebbe chiedere perché una vulnerabilità venga rivelata se offre agli hacker un exploit per attaccare. Bene, è molto comune per un ricercatore di sicurezza trovare e segnalare privatamente la vulnerabilità allo sviluppatore del software.

    Con una divulgazione responsabile , il rapporto iniziale del ricercatore viene presentato privatamente agli sviluppatori dell'azienda proprietaria del software, ma con un accordo sul fatto che i dettagli completi verranno pubblicati una volta resa disponibile una patch. Per vulnerabilità di sicurezza significative, potrebbe esserci un leggero ritardo nella divulgazione della vulnerabilità per dare a più persone il tempo di applicare le patch.

    Il ricercatore di sicurezza può fornire allo sviluppatore del software una scadenza per rispondere alla segnalazione o per fornire una patch. Se questa scadenza non viene rispettata, il ricercatore può rivelare pubblicamente la vulnerabilità per esercitare pressioni sullo sviluppatore affinché rilasci una patch.

    La divulgazione pubblica di una vulnerabilità e l'apparente introduzione di una vulnerabilità Zero-Day, un tipo di vulnerabilità che non ha patch e viene sfruttata allo stato brado, può sembrare controproducente. Ma è l'unica leva che un ricercatore ha per fare pressione sullo sviluppatore per correggere la vulnerabilità.

    Se un hacker dovesse scoprire la vulnerabilità, potrebbe tranquillamente utilizzare l'Exploit e causare danni all'utente finale (questo sei tu), mentre lo sviluppatore del software si accontenta di lasciare la vulnerabilità senza patch. Project Zero di Google ha linee guida simili quando si tratta di rivelare le vulnerabilità. Pubblicano i dettagli completi della vulnerabilità dopo 90 giorni, indipendentemente dal fatto che la vulnerabilità sia stata corretta o meno.

    Ricevi un avviso e-mail quando iThemes Security Pro rileva una vulnerabilità nota sul tuo sito

    Lo scanner del sito del plug-in iThemes Security Pro è un altro modo per proteggere e proteggere il tuo sito Web WordPress dalla causa numero uno di tutti gli hack del software: plug-in obsoleti e temi con vulnerabilità note. Site Scanner verifica la presenza di vulnerabilità note sul tuo sito e applica automaticamente una patch, se disponibile.

    Il plug-in iThemes Security Pro può inviarti via email i risultati di una scansione del sito se trova plug-in, temi o versioni core di WordPress vulnerabili sul tuo sito. I risultati della scansione del sito verranno visualizzati nel widget.

    Se la scansione del sito rileva una vulnerabilità, fare clic sul collegamento della vulnerabilità per visualizzare la pagina dei dettagli.

    Dopo aver abilitato la pianificazione della scansione del sito, vai alle impostazioni del Centro notifiche del plug-in. In questa schermata, scorri fino alla sezione Risultati scansione sito .

    Fare clic sulla casella per abilitare l'e-mail di notifica, quindi fare clic sul pulsante Salva impostazioni .

    Ora, durante le scansioni pianificate del sito, riceverai un'e-mail se iThemes Security Pro scopre vulnerabilità note. L'e-mail sarà simile a questa.

    risultati-scansione-sito

    Ottieni iThemes Security Pro per proteggere il tuo sito

    iThemes Security Pro, il nostro plug-in di sicurezza per WordPress, offre oltre 50 modi per proteggere e proteggere il tuo sito Web dalle vulnerabilità di sicurezza comuni di WordPress. Con WordPress, l'autenticazione a due fattori, la protezione dalla forza bruta, l'imposizione di password complesse e altro ancora, puoi aggiungere un ulteriore livello di sicurezza al tuo sito web.

    Ottieni iThemes Security Pro

    Ti sei perso qualcuno dei rapporti sulle vulnerabilità di WordPress di giugno?

    Segui qui sotto:

    • Giugno 2021, Parte 1
    • Giugno 2021, parte 2