Rapporto sulla vulnerabilità di WordPress: maggio 2021, parte 2

Pubblicato: 2021-05-14

I plugin e i temi vulnerabili sono la ragione principale per cui i siti Web WordPress vengono violati. Il rapporto settimanale sulle vulnerabilità di WordPress basato su WPScan copre i recenti plug-in, temi e vulnerabilità principali di WordPress e cosa fare se si esegue uno dei plug-in o temi vulnerabili sul tuo sito web.

Ogni vulnerabilità include un livello di gravità Bassa , Media , Alta o Critica . La divulgazione responsabile e la segnalazione delle vulnerabilità sono parte integrante del mantenimento della sicurezza della community di WordPress. Per favore condividi questo post con i tuoi amici per aiutare a spargere la voce e rendere WordPress più sicuro per tutti!

Nel rapporto di maggio, parte 2

    Vulnerabilità principali di WordPress

    Nessuna nuova vulnerabilità del core di WordPress è stata rivelata questo mese.

    Vulnerabilità del plugin WordPress

    1. Semplice modifica della lingua dell'amministratore

    Plugin: semplice modifica della lingua di amministrazione
    Vulnerabilità : modifica arbitraria delle impostazioni internazionali dell'utente
    Patchato nella versione : 2.0.2
    Punteggio di gravità : 4.3 Medio

    La vulnerabilità è stata corretta, quindi dovresti aggiornare alla versione 2.0.2+.

    2. Spedire a Ecourier

    Plugin: Spedisci a eCourier
    Vulnerabilità : aggiornamento delle impostazioni del plugin tramite CSRF
    Patchato nella versione : 1.0.2
    Punteggio di gravità : 5.4 Medio

    La vulnerabilità è stata corretta, quindi dovresti aggiornare alla versione 1.0.2+.

    3. Corriere elettronico Tracker pacchi

    Plugin: Parcel Tracker eCourier
    Vulnerabilità : aggiornamento delle impostazioni del plugin tramite CSRF
    Patchato nella versione : 1.0.2
    Punteggio di gravità : 5.4 Medio

    La vulnerabilità è stata corretta, quindi dovresti aggiornare alla versione 1.0.2+.

    4. Slider prodotto PickPlugins per WooCommerce

    Plugin: PickPlugins Product Slider per WooCommerce
    Vulnerabilità : Scripting cross-site riflesso
    Patchato nella versione : 1.13.22
    Punteggio di gravità : 7.1 Alto

    La vulnerabilità è stata corretta, quindi dovresti aggiornare alla versione 1.13.22+.

    5. Hana FLV Player

    Plugin: Hana FLV Player
    Vulnerabilità : Scripting cross-site archiviato autenticato
    Patchato nella versione : nessuna correzione nota
    Punteggio di gravità : 3,8 Basso

    Questa vulnerabilità NON è stata corretta. Disinstalla ed elimina il plug-in fino al rilascio di una patch.

    6. Connettore Hotjar

    Plugin: connettore Hotjar
    Vulnerabilità : Scripting cross-site archiviato autenticato
    Patchato nella versione : nessuna correzione nota – plugin chiuso
    Punteggio di gravità : 3,8 Basso

    Questa vulnerabilità NON è stata corretta. Disinstalla ed elimina il plug-in fino al rilascio di una patch.

    7. GA Google Analytics

    Plugin: GA Google Analytics
    Vulnerabilità : Scripting cross-site archiviato autenticato
    Patchato nella versione : nessuna correzione nota
    Punteggio di gravità : 5.9 Medio

    Questa vulnerabilità NON è stata corretta. Disinstalla ed elimina il plug-in fino al rilascio di una patch.

    8. Target First Plugin

    Plugin: Target First Plugin
    Vulnerabilità : script cross-site archiviati non autenticati tramite chiave di licenza
    Patchato nella versione : 1.0
    Punteggio di gravità : 7.2 Alto

    La vulnerabilità è stata corretta, quindi dovresti aggiornare alla versione 1.0+.

    9. Leads-5050 informazioni sui visitatori

    Plugin: Leads-5050 Visite Insights
    Vulnerabilità : modifica della licenza non autorizzata
    Patchato nella versione : 1.1.0
    Punteggio di gravità : 7.1 Alto

    La vulnerabilità è stata corretta, quindi dovresti aggiornare alla versione 1.1.0+.

    10. DSGVO Tutto in uno per WP

    Plugin: DSGVO All in one per WP
    Vulnerabilità : Scripting cross-site archiviato non autenticato
    Patchato nella versione : 4.0
    Punteggio di gravità : 8.3 Alto

    La vulnerabilità è stata corretta, quindi dovresti aggiornare alla versione 4.0+.

    11. UltimateWoo

    Plugin: UltimateWoo
    Vulnerabilità : iniezione di oggetti PHP
    Patchato nella versione : nessuna correzione nota – plugin chiuso
    Punteggio di gravità : 5.6 Medio

    Questa vulnerabilità NON è stata corretta. Disinstalla ed elimina il plug-in fino al rilascio di una patch.

    12. Membro definitivo

    Plugin: membro definitivo
    Vulnerabilità : Scripting Cross-Site riflesso autenticato
    Patchato nella versione : 2.1.20
    Punteggio di gravità : 4.4 Medio

    La vulnerabilità è stata corretta, quindi dovresti aggiornare alla versione 2.1.20+.

    13. Ottimizzazione automatica

    Plugin: Ottimizzazione automatica
    Vulnerabilità : Scripting cross-site archiviato autenticato
    Patchato nella versione : 2.8.4
    Punteggio di gravità : 6.6 Medio

    La vulnerabilità è stata corretta, quindi dovresti aggiornare alla versione 2.8.4+.

    14. Zlick Paywall

    Plugin: Zlick Paywall
    Vulnerabilità : bypass CSRF
    Patchato nella versione : 2.2.2
    Punteggio di gravità : 3.1 Basso

    La vulnerabilità è stata corretta, quindi dovresti aggiornare alla versione 2.2.2+.

    15. Lista dei desideri e confronto di ThemeHigh WooCommerce

    Plugin: Lista dei desideri e confronto di ThemeHigh WooCommerce
    Vulnerabilità : chiamata AJAX non autorizzata
    Patchato nella versione : 1.0.5
    Punteggio di gravità : 7.2 Alto

    La vulnerabilità è stata corretta, quindi dovresti aggiornare alla versione 1.0.5+.

    16. Semplici omaggi

    Plugin: semplici omaggi
    Vulnerabilità : Scripting cross-site riflesso non autenticato
    Patchato nella versione : 2.36.2
    Punteggio di gravità : 7.1 Alto

    La vulnerabilità è stata corretta, quindi dovresti aggiornare alla versione 2.36.2+.

    17. Prenotazioni del ristorante ReDi

    Plugin: Prenotazioni Ristorante ReDi
    Vulnerabilità : Scripting cross-site archiviato non autenticato
    Patchato nella versione : 21.0426
    Punteggio di gravità : 7.1 Alto

    La vulnerabilità è stata corretta, quindi dovresti aggiornare alla versione 21.0426+.

    18. Pacchetto SEO tutto in uno

    Plugin: Pacchetto SEO All in One
    Vulnerabilità : esecuzione di codice remoto
    Patchato nella versione : 4.1.0.2
    Punteggio di gravità : 6.6 Medio

    La vulnerabilità è stata corretta, quindi dovresti aggiornare alla versione 4.1.0.2+.

    19. SollevatoreLMS

    Plugin: LifterLMS
    Vulnerabilità : Scripting cross-site archiviato autenticato in Modifica profilo
    Patchato nella versione : 4.21.1
    Punteggio di gravità : 7.4 Alto

    Vulnerabilità : Scripting Cross-Site riflesso tramite codice coupon in Checkout
    Patchato nella versione : 4.21.1
    Punteggio di gravità : 6.1 Medio

    La vulnerabilità è stata corretta, quindi dovresti aggiornare alla versione 4.21.1+.

    Vulnerabilità dei temi WordPress

    Nessuna nuova vulnerabilità del tema è stata rivelata questo mese.

    Una nota sulla divulgazione responsabile

    Ci si potrebbe chiedere perché una vulnerabilità venga rivelata se offre agli hacker un exploit per attaccare. Bene, è molto comune per un ricercatore di sicurezza trovare e segnalare privatamente la vulnerabilità allo sviluppatore del software prima che diventi pubblica.

    Con una divulgazione responsabile , il rapporto iniziale del ricercatore viene presentato privatamente agli sviluppatori dell'azienda proprietaria del software, ma con un accordo sul fatto che i dettagli completi verranno pubblicati una volta resa disponibile una patch. Per vulnerabilità di sicurezza significative, potrebbe esserci un leggero ritardo nella divulgazione della vulnerabilità per dare a più persone il tempo di applicare le patch.

    Il ricercatore di sicurezza può fornire allo sviluppatore del software una scadenza per rispondere alla segnalazione o per fornire una patch. Se questa scadenza non viene rispettata, il ricercatore può rivelare pubblicamente la vulnerabilità per esercitare pressioni sullo sviluppatore affinché rilasci una patch.

    La divulgazione pubblica di una vulnerabilità e l'apparente introduzione di una vulnerabilità Zero-Day, un tipo di vulnerabilità che non ha patch e viene sfruttata allo stato brado, può sembrare controproducente. Ma è l'unica leva che un ricercatore ha per fare pressione sullo sviluppatore per correggere la vulnerabilità.

    Se un hacker dovesse scoprire la vulnerabilità, potrebbe tranquillamente utilizzare l'Exploit e causare danni all'utente finale (questo sei tu), mentre lo sviluppatore del software si accontenta di lasciare la vulnerabilità senza patch. Project Zero di Google ha linee guida simili quando si tratta di rivelare le vulnerabilità. Pubblicano i dettagli completi della vulnerabilità dopo 90 giorni, indipendentemente dal fatto che la vulnerabilità sia stata corretta o meno.

    Come proteggere il tuo sito Web WordPress da temi e plugin vulnerabili

    Esistono tre ottimi modi per proteggere automaticamente i tuoi siti Web da temi e plug-in vulnerabili:

    1. Abilitazione degli aggiornamenti automatici per plugin e temi
    2. Scanner del sito del plugin iThemes Security Pro
    3. Gestione delle versioni in iThemes Security

    1. Abilita gli aggiornamenti automatici per plugin e temi

    A partire da WordPress 5.5, puoi abilitare gli aggiornamenti automatici per plugin e temi. Perché gli aggiornamenti automatici dovrebbero essere inseriti nel core di WordPress? I plugin e i temi obsoleti sono ancora il motivo principale per cui i siti WordPress vengono violati. Le versioni delle versioni spesso includono importanti patch di sicurezza per chiudere le vulnerabilità (basta controllare quanti problemi di sicurezza con temi e plug-in vengono rivelati di mese in mese nel nostro riepilogo delle vulnerabilità di WordPress). Ecco perché eseguire sempre l'ultima versione di qualsiasi plugin o tema che hai installato sul tuo sito è una best practice di sicurezza.

    Ora il core di WordPress ti consentirà di impostare plugin e temi per l'aggiornamento automatico dal tuo pannello di controllo di WordPress > Plugin > Plugin installati e aspetto > Pagine dei temi. In questo modo, puoi sempre sapere che il tuo sito sta eseguendo l'ultimo codice disponibile.

    2. Attiva lo scanner del sito del plugin iThemes Security Pro

    Lo scanner del sito del plug-in iThemes Security Pro è un altro modo per proteggere e proteggere il tuo sito Web WordPress dalla causa numero uno di tutti gli hack del software: plug-in obsoleti e temi con vulnerabilità note. Site Scanner verifica la presenza di vulnerabilità note sul tuo sito e applica automaticamente una patch, se disponibile.

    I 3 tipi di vulnerabilità di WordPress verificati dallo scanner del sito iThemes Security Pro:

    1. Vulnerabilità principali di WordPress
    2. Vulnerabilità dei plugin
    3. Vulnerabilità del tema

    Per abilitare la scansione del sito sul tuo sito, vai alle impostazioni di iThemes Security Pro e fai clic sul pulsante Abilita nel modulo delle impostazioni della scansione del sito .

    Per attivare una scansione manuale del sito, fare clic sul pulsante Scansiona ora sul widget Scansione sito situato nella barra laterale destra delle impostazioni di sicurezza.

    I risultati della scansione del sito verranno visualizzati nel widget.

    Se la scansione del sito rileva una vulnerabilità, fare clic sul collegamento della vulnerabilità per visualizzare la pagina dei dettagli.

    Nella pagina della vulnerabilità di Site Scan, vedrai se è disponibile una correzione per la vulnerabilità. Se è disponibile una patch, puoi fare clic sul pulsante Aggiorna plug-in per applicare la correzione sul tuo sito web.

    Potrebbe esserci un ritardo tra la disponibilità di una patch e l'aggiornamento del database delle vulnerabilità della sicurezza di iThemes per riflettere la correzione. In questo caso, puoi disattivare la notifica per non ricevere più avvisi relativi alla vulnerabilità.

    Importante: non dovresti disattivare l'audio di una notifica di vulnerabilità finché non hai confermato che la tua versione corrente include una correzione di sicurezza o la vulnerabilità non interessa il tuo sito.

    3. Abilita la gestione delle versioni in iThemes Security Pro

    La funzione di gestione delle versioni di iThemes Security Pro ti consente di avere un po' più di controllo sugli aggiornamenti automatici per WordPress, plugin e temi.

    Ecco i tre modi in cui iThemes Security Pro Version Management offre maggiore flessibilità rispetto agli aggiornamenti automatici di WordPress predefiniti.

    1. Gestione semplificata di plug-in e temi : gestisci tutti gli aggiornamenti di plug-in e temi dalle impostazioni di gestione della versione.
    2. Aggiungi periodi di ritardo personalizzati per gli aggiornamenti di plugin e temi: gli aggiornamenti automatici di WordPress offrono solo la possibilità di applicare gli aggiornamenti immediatamente. L'utilità di pianificazione degli aggiornamenti ti consente di creare un ritardo personalizzato. Il ritardo può essere una buona opzione per plug-in o temi che tendono a richiedere alcune versioni successive per risolvere i problemi dopo una versione principale.
    3. Applica solo aggiornamenti che risolvono vulnerabilità note: applica solo aggiornamenti che risolvono vulnerabilità note. Questa opzione è perfetta se ti piace eseguire manualmente tutti i tuoi aggiornamenti ma vuoi ricevere immediatamente le patch di sicurezza.

    Oltre a ciò, Gestione versioni ha anche opzioni per rafforzare il tuo sito Web quando esegui software obsoleto e scansiona vecchi siti Web.

    Per iniziare a utilizzare Gestione versioni, abilita il modulo nella pagina principale delle impostazioni di sicurezza.

    Ora fai clic sul pulsante Configura impostazioni per dare un'occhiata più da vicino alle impostazioni.

    • Aggiornamenti WordPress : installa automaticamente l'ultima versione di WordPress.
    • Aggiornamenti plug-in : installa automaticamente gli ultimi aggiornamenti plug-in. L'abilitazione di questa impostazione disabiliterà la funzione dei plugin di aggiornamento automatico di WordPress per evitare conflitti.
    • Aggiornamenti del tema : installa automaticamente gli ultimi aggiornamenti del tema. L'abilitazione di questa impostazione disabiliterà la funzione di aggiornamento automatico del tema di WordPress per evitare conflitti.
    • Rafforza il sito durante l'esecuzione di software obsoleto : aggiungi automaticamente protezioni extra al sito quando un aggiornamento disponibile non è stato installato per un mese.
      • Forza tutti gli utenti che non hanno abilitato il doppio fattore a fornire un codice di accesso inviato al proprio indirizzo e-mail prima di accedere nuovamente.
      • Disabilita l'editor di file WP (che impedisce alle persone di modificare il plug-in o il codice del tema).
      • Disabilita i pingback XML-RPC e blocca più tentativi di autenticazione per richiesta XML-RPC (entrambi renderanno XML-RPC più forte contro gli attacchi senza doverlo disattivare completamente).
    • Scansione di vecchi siti WordPress : esegui una scansione giornaliera dell'account di hosting per i vecchi siti WordPress che potrebbero consentire a un utente malintenzionato di compromettere il server. Un singolo sito WordPress obsoleto con una vulnerabilità potrebbe consentire agli aggressori di compromettere tutti gli altri siti sullo stesso account di hosting.
    • Aggiornamento automatico se corregge la vulnerabilità : questa opzione funziona in tandem con iThemes Security Pro Site Scan per controllare il tuo sito Web per le vulnerabilità note di WordPress, plugin e temi e applicare una patch quando è disponibile.

    Ora diamo un'occhiata più da vicino alla configurazione di plugin e aggiornamenti dei temi. Prima di iniziare, volevo ricordare che l'abilitazione del plug-in e delle impostazioni di aggiornamento del tema disabiliterà la funzione di aggiornamento automatico di WordPress per evitare conflitti.

    Sia il plugin che le impostazioni di aggiornamento del tema hanno tre scelte.

    1. Vuoto/Nessuno : lasciando vuota l'impostazione, WordPress potrà gestire gli aggiornamenti del plugin e del tema.
    2. Personalizzato : l'opzione Personalizzato ti consente di personalizzare gli aggiornamenti in modo preciso a tuo piacimento. Ne parleremo di più tra poco.
    3. Tutto – Tutto aggiornerà tutti i tuoi plugin o temi non appena sarà disponibile un aggiornamento.

    Ora diamo un'occhiata più da vicino all'opzione Personalizzata .

    La selezione dell'opzione Personalizza fornisce tre diverse scelte per il plugin e gli aggiornamenti del tema.

    1. Abilita : scegli quali plugin vuoi aggiornare subito dopo una nuova versione.
    2. Disabilita : utilizzare questa opzione per i plug-in che si desidera aggiornare manualmente.
    3. Ritardo : l'opzione Ritardo consente di impostare il numero di giorni in cui si desidera ritardare l'aggiornamento di una versione. Questa può essere una buona opzione per gli sviluppatori che tendono ad aver bisogno di alcune versioni successive per risolvere i problemi dopo una versione principale.

    Ottieni iThemes Security Pro oggi stesso

    iThemes Security Pro, il nostro plug-in di sicurezza per WordPress, offre oltre 50 modi per proteggere e proteggere il tuo sito Web dalle vulnerabilità di sicurezza comuni di WordPress. Con WordPress, l'autenticazione a due fattori, la protezione dalla forza bruta, l'imposizione di password complesse e altro ancora, puoi aggiungere un ulteriore livello di sicurezza al tuo sito web.

    Ottieni iThemes Security Pro