Rapporto sulla vulnerabilità di WordPress: maggio 2021, parte 4

Pubblicato: 2021-05-27

I plugin e i temi vulnerabili sono la ragione principale per cui i siti Web WordPress vengono violati. Il rapporto settimanale sulle vulnerabilità di WordPress basato su WPScan copre i recenti plug-in, temi e vulnerabilità principali di WordPress e cosa fare se si esegue uno dei plug-in o temi vulnerabili sul tuo sito web.

Ogni vulnerabilità avrà un livello di gravità Bassa , Media , Alta o Critica . La divulgazione responsabile e la segnalazione delle vulnerabilità sono parte integrante del mantenimento della sicurezza della community di WordPress. Per favore condividi questo post con i tuoi amici per aiutare a spargere la voce e rendere WordPress più sicuro per tutti.

Nel rapporto di maggio, parte 4
    Iscriviti alla newsletter settimanale di WordPress Security News & Updates
    Iscriviti ora

    Vulnerabilità principali di WordPress

    Questo mese porta una versione di sicurezza di WordPress 5.7.2 con un problema di sicurezza che interessa le versioni di WordPress tra 3.7 e 5.7. Se non hai ancora aggiornato alla 5.7, anche tutte le versioni di WordPress dalla 3.7 sono state aggiornate per correggere un problema di sicurezza di PHPMailer in caso di Object Injection.

    1. Versione di sicurezza di WordPress 5.7.2

    Vulnerabilità : iniezione di oggetti in PHPMailer
    Patchato nella versione : 5.7.2
    Punteggio di gravità : medio

    La vulnerabilità è stata corretta, quindi dovresti aggiornare tutti i tuoi siti oggi a WordPress 5.7.2.

    Vulnerabilità del plugin WordPress

    1. Funnel Builder di CartFlows

    Plugin: Funnel Builder di CartFlows
    Vulnerabilità : Scripting cross-site archiviato autenticato
    Patchato nella versione : 1.6.13
    Gravità : Media

    La vulnerabilità è stata corretta, quindi dovresti aggiornare alla versione 1.6.13+.

    2. Pulsanti scorrimento pagina su/giù

    Plugin: pulsanti di scorrimento pagina su/giù
    Vulnerabilità : Scripting cross-site archiviato autenticato
    Patchato nella versione : 1.4
    Punteggio di gravità : medio

    La vulnerabilità è stata corretta, quindi dovresti aggiornare alla versione 1.4+.

    3. Plugin WordPress per immagini istantanee

    Plugin: Plugin WordPress per immagini istantanee
    Vulnerabilità : Scripting cross-site archiviato autenticato e XFS
    Patchato nella versione : 4.4.0.1
    Punteggio di gravità : medio

    La vulnerabilità è stata corretta, quindi dovresti aggiornare alla versione 4.4.0.1+.

    4. Registrazione CM Pro

    Plugin: CM Registration Pro
    Vulnerabilità : iniezione di oggetti PHP
    Patchato nella versione : 3.2.1
    Punteggio di gravità : medio

    La vulnerabilità è stata corretta, quindi dovresti aggiornare alla versione 3.2.1+.

    5. Preghiera WP

    Plugin: WP Preghiera
    Vulnerabilità : Scripting cross-site archiviato autenticato
    Patchato nella versione : 1.6.2
    Punteggio di gravità : alto

    La vulnerabilità è stata corretta, quindi dovresti aggiornare alla versione 1.6.2+.

    6. Statistiche WP

    Plugin: Statistiche WP
    Vulnerabilità : SQL Injection non autenticato
    Patchato nella versione : 13.0.8
    Punteggio di gravità : alto

    La vulnerabilità è stata corretta, quindi dovresti aggiornare alla versione 13.0.8+.

    7. Registro di volo

    Plugin: FlightLog
    Vulnerabilità : iniezione SQL autenticata
    Patchato nella versione : nessuna correzione nota
    Punteggio di gravità : alto

    Questa vulnerabilità NON è stata corretta. Disinstalla ed elimina il plug-in fino al rilascio di una patch.

    8. Incorporamento video

    Plugin: FlightLog
    Vulnerabilità : iniezione SQL autenticata
    Patchato nella versione : nessuna correzione nota
    Punteggio di gravità : alto

    Questa vulnerabilità NON è stata corretta. Disinstalla ed elimina il plug-in fino al rilascio di una patch.

    Vulnerabilità dei temi WordPress

    1. Servizi di riparazione auto

    Tema: Servizi di riparazione auto
    Vulnerabilità : Cross-Site-Scripting riflesso non autenticato e XFS
    Patchato nella versione : 4.0
    Punteggio di gravità : alto

    La vulnerabilità è stata corretta, quindi dovresti aggiornare alla versione 4.0+.

    Una nota sulla divulgazione responsabile

    Ci si potrebbe chiedere perché una vulnerabilità venga rivelata se offre agli hacker un exploit per attaccare. Bene, è molto comune per un ricercatore di sicurezza trovare e segnalare privatamente la vulnerabilità allo sviluppatore del software.

    Con una divulgazione responsabile , il rapporto iniziale del ricercatore viene presentato privatamente agli sviluppatori dell'azienda proprietaria del software, ma con un accordo sul fatto che i dettagli completi verranno pubblicati una volta resa disponibile una patch. Per vulnerabilità di sicurezza significative, potrebbe esserci un leggero ritardo nella divulgazione della vulnerabilità per dare a più persone il tempo di applicare le patch.

    Il ricercatore di sicurezza può fornire allo sviluppatore del software una scadenza per rispondere alla segnalazione o per fornire una patch. Se questa scadenza non viene rispettata, il ricercatore può rivelare pubblicamente la vulnerabilità per esercitare pressioni sullo sviluppatore affinché rilasci una patch.

    La divulgazione pubblica di una vulnerabilità e l'apparente introduzione di una vulnerabilità Zero-Day, un tipo di vulnerabilità che non ha patch e viene sfruttata allo stato brado, può sembrare controproducente. Ma è l'unica leva che un ricercatore ha per fare pressione sullo sviluppatore per correggere la vulnerabilità.

    Se un hacker dovesse scoprire la vulnerabilità, potrebbe tranquillamente utilizzare l'Exploit e causare danni all'utente finale (questo sei tu), mentre lo sviluppatore del software si accontenta di lasciare la vulnerabilità senza patch. Project Zero di Google ha linee guida simili quando si tratta di rivelare le vulnerabilità. Pubblicano i dettagli completi della vulnerabilità dopo 90 giorni, indipendentemente dal fatto che la vulnerabilità sia stata corretta o meno.

    Come proteggere il tuo sito Web WordPress da temi e plugin vulnerabili

    Site Scanner del plug-in iThemes Security Pro è un ottimo modo per proteggere e proteggere il tuo sito Web WordPress dalla causa n. 1 di tutti gli hack del software: plug-in obsoleti e temi con vulnerabilità note.

    Site Scanner verifica la presenza di vulnerabilità note sul tuo sito e applica automaticamente una patch, se disponibile.

    3 tipi di vulnerabilità di WordPress verificate da iThemes Security Pro

    1. Vulnerabilità di WordPress
    2. Vulnerabilità dei plugin
    3. Vulnerabilità del tema

    Per abilitare la scansione del sito su nuove installazioni, vai alle impostazioni di iThemes Security Pro e fai clic sul pulsante Abilita nel modulo delle impostazioni della scansione del sito .

    Per attivare una scansione manuale del sito, fare clic sul pulsante Scansiona ora sul widget Scansione sito situato nella barra laterale destra delle impostazioni di sicurezza.

    I risultati della scansione del sito verranno visualizzati nel widget.

    Se la scansione del sito rileva una vulnerabilità, fare clic sul collegamento della vulnerabilità per visualizzare la pagina dei dettagli.

    Nella pagina della vulnerabilità di Site Scan, vedrai se è disponibile una correzione per la vulnerabilità. Se è disponibile una patch, puoi fare clic sul pulsante Aggiorna plug-in per applicare la correzione sul tuo sito web.

    Potrebbe esserci un ritardo tra la disponibilità di una patch e l'aggiornamento del database delle vulnerabilità della sicurezza di iThemes per riflettere la correzione. In questo caso, puoi disattivare la notifica per non ricevere più avvisi relativi alla vulnerabilità.

    Importante: non dovresti disattivare l'audio di una notifica di vulnerabilità finché non hai confermato che la tua versione corrente include una correzione di sicurezza o la vulnerabilità non interessa il tuo sito.

    iThemes Security Pro, il nostro plug-in di sicurezza per WordPress, offre oltre 50 modi per proteggere e proteggere il tuo sito Web dalle vulnerabilità di sicurezza comuni di WordPress. Con WordPress, l'autenticazione a due fattori, la protezione dalla forza bruta, l'imposizione di password complesse e altro ancora, puoi aggiungere un ulteriore livello di sicurezza al tuo sito web.

    Ottieni iThemes Security Pro

    Aggiornati sui precedenti rapporti sulle vulnerabilità di WordPress per maggio 2021

    Manca un rapporto? Ecco i report di maggio 2021.

    • Maggio 2021 Parte 3
    • Maggio 2021 Parte 2
    • Maggio 2021 Parte 1
    Rapporto sulla vulnerabilità di WordPress