Rapporto sulla vulnerabilità di WordPress: maggio 2021, parte 2
Pubblicato: 2021-05-14I plugin e i temi vulnerabili sono la ragione principale per cui i siti Web WordPress vengono violati. Il rapporto settimanale sulle vulnerabilità di WordPress basato su WPScan copre i recenti plug-in, temi e vulnerabilità principali di WordPress e cosa fare se si esegue uno dei plug-in o temi vulnerabili sul tuo sito web.
Ogni vulnerabilità include un livello di gravità Bassa , Media , Alta o Critica . La divulgazione responsabile e la segnalazione delle vulnerabilità sono parte integrante del mantenimento della sicurezza della community di WordPress. Per favore condividi questo post con i tuoi amici per aiutare a spargere la voce e rendere WordPress più sicuro per tutti!
Vulnerabilità principali di WordPress
Vulnerabilità del plugin WordPress
1. Semplice modifica della lingua dell'amministratore
Plugin: semplice modifica della lingua di amministrazione
Vulnerabilità : modifica arbitraria delle impostazioni internazionali dell'utente
Patchato nella versione : 2.0.2
Punteggio di gravità : 4.3 Medio
2. Spedire a Ecourier
Plugin: Spedisci a eCourier
Vulnerabilità : aggiornamento delle impostazioni del plugin tramite CSRF
Patchato nella versione : 1.0.2
Punteggio di gravità : 5.4 Medio
3. Corriere elettronico Tracker pacchi
Plugin: Parcel Tracker eCourier
Vulnerabilità : aggiornamento delle impostazioni del plugin tramite CSRF
Patchato nella versione : 1.0.2
Punteggio di gravità : 5.4 Medio
4. Slider prodotto PickPlugins per WooCommerce
Plugin: PickPlugins Product Slider per WooCommerce
Vulnerabilità : Scripting cross-site riflesso
Patchato nella versione : 1.13.22
Punteggio di gravità : 7.1 Alto
5. Hana FLV Player
Plugin: Hana FLV Player
Vulnerabilità : Scripting cross-site archiviato autenticato
Patchato nella versione : nessuna correzione nota
Punteggio di gravità : 3,8 Basso
6. Connettore Hotjar
Plugin: connettore Hotjar
Vulnerabilità : Scripting cross-site archiviato autenticato
Patchato nella versione : nessuna correzione nota – plugin chiuso
Punteggio di gravità : 3,8 Basso
7. GA Google Analytics
Plugin: GA Google Analytics
Vulnerabilità : Scripting cross-site archiviato autenticato
Patchato nella versione : nessuna correzione nota
Punteggio di gravità : 5.9 Medio
8. Target First Plugin
Plugin: Target First Plugin
Vulnerabilità : script cross-site archiviati non autenticati tramite chiave di licenza
Patchato nella versione : 1.0
Punteggio di gravità : 7.2 Alto
9. Leads-5050 informazioni sui visitatori
Plugin: Leads-5050 Visite Insights
Vulnerabilità : modifica della licenza non autorizzata
Patchato nella versione : 1.1.0
Punteggio di gravità : 7.1 Alto
10. DSGVO Tutto in uno per WP
Plugin: DSGVO All in one per WP
Vulnerabilità : Scripting cross-site archiviato non autenticato
Patchato nella versione : 4.0
Punteggio di gravità : 8.3 Alto
11. UltimateWoo
Plugin: UltimateWoo
Vulnerabilità : iniezione di oggetti PHP
Patchato nella versione : nessuna correzione nota – plugin chiuso
Punteggio di gravità : 5.6 Medio
12. Membro definitivo
Plugin: membro definitivo
Vulnerabilità : Scripting Cross-Site riflesso autenticato
Patchato nella versione : 2.1.20
Punteggio di gravità : 4.4 Medio
13. Ottimizzazione automatica
Plugin: Ottimizzazione automatica
Vulnerabilità : Scripting cross-site archiviato autenticato
Patchato nella versione : 2.8.4
Punteggio di gravità : 6.6 Medio
14. Zlick Paywall
Plugin: Zlick Paywall
Vulnerabilità : bypass CSRF
Patchato nella versione : 2.2.2
Punteggio di gravità : 3.1 Basso
15. Lista dei desideri e confronto di ThemeHigh WooCommerce
Plugin: Lista dei desideri e confronto di ThemeHigh WooCommerce
Vulnerabilità : chiamata AJAX non autorizzata
Patchato nella versione : 1.0.5
Punteggio di gravità : 7.2 Alto
16. Semplici omaggi
Plugin: semplici omaggi
Vulnerabilità : Scripting cross-site riflesso non autenticato
Patchato nella versione : 2.36.2
Punteggio di gravità : 7.1 Alto
17. Prenotazioni del ristorante ReDi
Plugin: Prenotazioni Ristorante ReDi
Vulnerabilità : Scripting cross-site archiviato non autenticato
Patchato nella versione : 21.0426
Punteggio di gravità : 7.1 Alto
18. Pacchetto SEO tutto in uno
Plugin: Pacchetto SEO All in One
Vulnerabilità : esecuzione di codice remoto
Patchato nella versione : 4.1.0.2
Punteggio di gravità : 6.6 Medio
19. SollevatoreLMS
Plugin: LifterLMS
Vulnerabilità : Scripting cross-site archiviato autenticato in Modifica profilo
Patchato nella versione : 4.21.1
Punteggio di gravità : 7.4 Alto
Vulnerabilità : Scripting Cross-Site riflesso tramite codice coupon in Checkout
Patchato nella versione : 4.21.1
Punteggio di gravità : 6.1 Medio
Vulnerabilità dei temi WordPress
Una nota sulla divulgazione responsabile
Ci si potrebbe chiedere perché una vulnerabilità venga rivelata se offre agli hacker un exploit per attaccare. Bene, è molto comune per un ricercatore di sicurezza trovare e segnalare privatamente la vulnerabilità allo sviluppatore del software prima che diventi pubblica.
Con una divulgazione responsabile , il rapporto iniziale del ricercatore viene presentato privatamente agli sviluppatori dell'azienda proprietaria del software, ma con un accordo sul fatto che i dettagli completi verranno pubblicati una volta resa disponibile una patch. Per vulnerabilità di sicurezza significative, potrebbe esserci un leggero ritardo nella divulgazione della vulnerabilità per dare a più persone il tempo di applicare le patch.
Il ricercatore di sicurezza può fornire allo sviluppatore del software una scadenza per rispondere alla segnalazione o per fornire una patch. Se questa scadenza non viene rispettata, il ricercatore può rivelare pubblicamente la vulnerabilità per esercitare pressioni sullo sviluppatore affinché rilasci una patch.
La divulgazione pubblica di una vulnerabilità e l'apparente introduzione di una vulnerabilità Zero-Day, un tipo di vulnerabilità che non ha patch e viene sfruttata allo stato brado, può sembrare controproducente. Ma è l'unica leva che un ricercatore ha per fare pressione sullo sviluppatore per correggere la vulnerabilità.
Se un hacker dovesse scoprire la vulnerabilità, potrebbe tranquillamente utilizzare l'Exploit e causare danni all'utente finale (questo sei tu), mentre lo sviluppatore del software si accontenta di lasciare la vulnerabilità senza patch. Project Zero di Google ha linee guida simili quando si tratta di rivelare le vulnerabilità. Pubblicano i dettagli completi della vulnerabilità dopo 90 giorni, indipendentemente dal fatto che la vulnerabilità sia stata corretta o meno.
Come proteggere il tuo sito Web WordPress da temi e plugin vulnerabili
Esistono tre ottimi modi per proteggere automaticamente i tuoi siti Web da temi e plug-in vulnerabili:
- Abilitazione degli aggiornamenti automatici per plugin e temi
- Scanner del sito del plugin iThemes Security Pro
- Gestione delle versioni in iThemes Security
1. Abilita gli aggiornamenti automatici per plugin e temi
A partire da WordPress 5.5, puoi abilitare gli aggiornamenti automatici per plugin e temi. Perché gli aggiornamenti automatici dovrebbero essere inseriti nel core di WordPress? I plugin e i temi obsoleti sono ancora il motivo principale per cui i siti WordPress vengono violati. Le versioni delle versioni spesso includono importanti patch di sicurezza per chiudere le vulnerabilità (basta controllare quanti problemi di sicurezza con temi e plug-in vengono rivelati di mese in mese nel nostro riepilogo delle vulnerabilità di WordPress). Ecco perché eseguire sempre l'ultima versione di qualsiasi plugin o tema che hai installato sul tuo sito è una best practice di sicurezza.
Ora il core di WordPress ti consentirà di impostare plugin e temi per l'aggiornamento automatico dal tuo pannello di controllo di WordPress > Plugin > Plugin installati e aspetto > Pagine dei temi. In questo modo, puoi sempre sapere che il tuo sito sta eseguendo l'ultimo codice disponibile.
2. Attiva lo scanner del sito del plugin iThemes Security Pro
Lo scanner del sito del plug-in iThemes Security Pro è un altro modo per proteggere e proteggere il tuo sito Web WordPress dalla causa numero uno di tutti gli hack del software: plug-in obsoleti e temi con vulnerabilità note. Site Scanner verifica la presenza di vulnerabilità note sul tuo sito e applica automaticamente una patch, se disponibile.
I 3 tipi di vulnerabilità di WordPress verificati dallo scanner del sito iThemes Security Pro:
- Vulnerabilità principali di WordPress
- Vulnerabilità dei plugin
- Vulnerabilità del tema
Per abilitare la scansione del sito sul tuo sito, vai alle impostazioni di iThemes Security Pro e fai clic sul pulsante Abilita nel modulo delle impostazioni della scansione del sito .
Per attivare una scansione manuale del sito, fare clic sul pulsante Scansiona ora sul widget Scansione sito situato nella barra laterale destra delle impostazioni di sicurezza.
I risultati della scansione del sito verranno visualizzati nel widget.
Se la scansione del sito rileva una vulnerabilità, fare clic sul collegamento della vulnerabilità per visualizzare la pagina dei dettagli.
Nella pagina della vulnerabilità di Site Scan, vedrai se è disponibile una correzione per la vulnerabilità. Se è disponibile una patch, puoi fare clic sul pulsante Aggiorna plug-in per applicare la correzione sul tuo sito web.
Potrebbe esserci un ritardo tra la disponibilità di una patch e l'aggiornamento del database delle vulnerabilità della sicurezza di iThemes per riflettere la correzione. In questo caso, puoi disattivare la notifica per non ricevere più avvisi relativi alla vulnerabilità.
3. Abilita la gestione delle versioni in iThemes Security Pro
La funzione di gestione delle versioni di iThemes Security Pro ti consente di avere un po' più di controllo sugli aggiornamenti automatici per WordPress, plugin e temi.
Ecco i tre modi in cui iThemes Security Pro Version Management offre maggiore flessibilità rispetto agli aggiornamenti automatici di WordPress predefiniti.
- Gestione semplificata di plug-in e temi : gestisci tutti gli aggiornamenti di plug-in e temi dalle impostazioni di gestione della versione.
- Aggiungi periodi di ritardo personalizzati per gli aggiornamenti di plugin e temi: gli aggiornamenti automatici di WordPress offrono solo la possibilità di applicare gli aggiornamenti immediatamente. L'utilità di pianificazione degli aggiornamenti ti consente di creare un ritardo personalizzato. Il ritardo può essere una buona opzione per plug-in o temi che tendono a richiedere alcune versioni successive per risolvere i problemi dopo una versione principale.
- Applica solo aggiornamenti che risolvono vulnerabilità note: applica solo aggiornamenti che risolvono vulnerabilità note. Questa opzione è perfetta se ti piace eseguire manualmente tutti i tuoi aggiornamenti ma vuoi ricevere immediatamente le patch di sicurezza.
Oltre a ciò, Gestione versioni ha anche opzioni per rafforzare il tuo sito Web quando esegui software obsoleto e scansiona vecchi siti Web.
Per iniziare a utilizzare Gestione versioni, abilita il modulo nella pagina principale delle impostazioni di sicurezza.
Ora fai clic sul pulsante Configura impostazioni per dare un'occhiata più da vicino alle impostazioni.
- Aggiornamenti WordPress : installa automaticamente l'ultima versione di WordPress.
- Aggiornamenti plug-in : installa automaticamente gli ultimi aggiornamenti plug-in. L'abilitazione di questa impostazione disabiliterà la funzione dei plugin di aggiornamento automatico di WordPress per evitare conflitti.
- Aggiornamenti del tema : installa automaticamente gli ultimi aggiornamenti del tema. L'abilitazione di questa impostazione disabiliterà la funzione di aggiornamento automatico del tema di WordPress per evitare conflitti.
- Rafforza il sito durante l'esecuzione di software obsoleto : aggiungi automaticamente protezioni extra al sito quando un aggiornamento disponibile non è stato installato per un mese.
- Forza tutti gli utenti che non hanno abilitato il doppio fattore a fornire un codice di accesso inviato al proprio indirizzo e-mail prima di accedere nuovamente.
- Disabilita l'editor di file WP (che impedisce alle persone di modificare il plug-in o il codice del tema).
- Disabilita i pingback XML-RPC e blocca più tentativi di autenticazione per richiesta XML-RPC (entrambi renderanno XML-RPC più forte contro gli attacchi senza doverlo disattivare completamente).
- Scansione di vecchi siti WordPress : esegui una scansione giornaliera dell'account di hosting per i vecchi siti WordPress che potrebbero consentire a un utente malintenzionato di compromettere il server. Un singolo sito WordPress obsoleto con una vulnerabilità potrebbe consentire agli aggressori di compromettere tutti gli altri siti sullo stesso account di hosting.
- Aggiornamento automatico se corregge la vulnerabilità : questa opzione funziona in tandem con iThemes Security Pro Site Scan per controllare il tuo sito Web per le vulnerabilità note di WordPress, plugin e temi e applicare una patch quando è disponibile.
Ora diamo un'occhiata più da vicino alla configurazione di plugin e aggiornamenti dei temi. Prima di iniziare, volevo ricordare che l'abilitazione del plug-in e delle impostazioni di aggiornamento del tema disabiliterà la funzione di aggiornamento automatico di WordPress per evitare conflitti.
Sia il plugin che le impostazioni di aggiornamento del tema hanno tre scelte.
- Vuoto/Nessuno : lasciando vuota l'impostazione, WordPress potrà gestire gli aggiornamenti del plugin e del tema.
- Personalizzato : l'opzione Personalizzato ti consente di personalizzare gli aggiornamenti in modo preciso a tuo piacimento. Ne parleremo di più tra poco.
- Tutto – Tutto aggiornerà tutti i tuoi plugin o temi non appena sarà disponibile un aggiornamento.
Ora diamo un'occhiata più da vicino all'opzione Personalizzata .
La selezione dell'opzione Personalizza fornisce tre diverse scelte per il plugin e gli aggiornamenti del tema.
- Abilita : scegli quali plugin vuoi aggiornare subito dopo una nuova versione.
- Disabilita : utilizzare questa opzione per i plug-in che si desidera aggiornare manualmente.
- Ritardo : l'opzione Ritardo consente di impostare il numero di giorni in cui si desidera ritardare l'aggiornamento di una versione. Questa può essere una buona opzione per gli sviluppatori che tendono ad aver bisogno di alcune versioni successive per risolvere i problemi dopo una versione principale.
Ottieni iThemes Security Pro oggi stesso
iThemes Security Pro, il nostro plug-in di sicurezza per WordPress, offre oltre 50 modi per proteggere e proteggere il tuo sito Web dalle vulnerabilità di sicurezza comuni di WordPress. Con WordPress, l'autenticazione a due fattori, la protezione dalla forza bruta, l'imposizione di password complesse e altro ancora, puoi aggiungere un ulteriore livello di sicurezza al tuo sito web.
Ottieni iThemes Security Pro
Ogni settimana, Michael mette insieme il Rapporto sulla vulnerabilità di WordPress per aiutare a mantenere i tuoi siti al sicuro. In qualità di Product Manager di iThemes, ci aiuta a continuare a migliorare la gamma di prodotti iThemes. È un nerd gigante e ama imparare tutto ciò che è tecnologico, vecchio e nuovo. Puoi trovare Michael che esce con sua moglie e sua figlia, leggendo o ascoltando musica quando non lavora.
