Rapporto sulla vulnerabilità di WordPress: ottobre 2021, parte 1

Pubblicato: 2021-10-06

I plugin e i temi vulnerabili sono la ragione principale per cui i siti Web WordPress vengono violati. Il rapporto settimanale sulle vulnerabilità di WordPress basato su WPScan copre i recenti plug-in, temi e vulnerabilità principali di WordPress e cosa fare se si esegue uno dei plug-in o temi vulnerabili sul tuo sito web.

Ogni vulnerabilità avrà un livello di gravità Bassa , Media , Alta o Critica . La divulgazione responsabile e la segnalazione delle vulnerabilità sono parte integrante del mantenimento della sicurezza della community di WordPress.

Per favore condividi questo post con i tuoi amici per aiutare a spargere la voce e rendere WordPress più sicuro per tutti.

Contenuti del Rapporto del 6 ottobre 2021
    Vuoi che questo rapporto venga consegnato nella tua casella di posta ogni settimana?
    Iscriviti alla mail settimanale

    Vulnerabilità principali di WordPress

    L'ultima versione del core di WordPress è la 5.8.1 è stata rilasciata come versione di sicurezza e manutenzione. Come best practice, assicurati sempre di eseguire l'ultima versione del core di WordPress!

    Vulnerabilità del plugin WordPress

    In questa sezione sono state divulgate le ultime vulnerabilità del plugin WordPress. Ogni elenco di plug-in include il tipo di vulnerabilità, il numero di versione se patchato e il livello di gravità.

    1. Strumenti WP DSGVO

    Plugin: WP DSGVO Tools
    Vulnerabilità : aggiornamento delle impostazioni del plug-in non autenticato allo scripting cross-site archiviato
    Patchato nella versione : 3.1.24 – plugin chiuso
    Punteggio di gravità : alto

    Questa vulnerabilità è stata corretta, ma il plugin è stato chiuso. Dovresti trovare un sostituto al più presto.

    2. Grandi citazioni

    Plugin: Grandi citazioni
    Vulnerabilità : Admin+ Stored Cross-Site Scripting
    Patchato nella versione : nessuna correzione nota – plugin chiuso
    Punteggio di gravità : basso

    Questa vulnerabilità NON è stata corretta. Disinstalla ed elimina il plug-in fino al rilascio di una patch.

    3. Debug WP

    Plugin: debug WP
    Vulnerabilità : aggiornamento delle impostazioni del plugin non autenticato
    Patchato nella versione : 2.11.0
    Punteggio di gravità : medio

    La vulnerabilità è stata corretta, quindi dovresti aggiornare alla versione 2.11.0.

    4. Controlla e registra l'e-mail

    Plugin: controlla e registra l'e-mail
    Vulnerabilità : Admin+ SQL injection
    Patchato nella versione : 1.0.3
    Punteggio di gravità : medio

    La vulnerabilità è stata corretta, quindi dovresti aggiornare alla versione 1.0.3.

    5. Permalink Manager Lite

    Plugin: Permalink Manager Lite
    Vulnerabilità : Admin+ SQL Injection
    Patchato nella versione : 2.2.13.1
    Punteggio di gravità : medio

    La vulnerabilità è stata corretta, quindi dovresti aggiornare alla versione 2.2.13.1.

    6. Tabella dei prodotti WooCommerce Lite

    Plugin: WooCommerce Product Table Lite
    Vulnerabilità : Scripting cross-site riflesso
    Patchato nella versione : 2.4.0
    Punteggio di gravità : medio

    La vulnerabilità è stata corretta, quindi dovresti aggiornare alla versione 2.4.0.

    7. Generatore di tabelle WP

    Plugin: WP Table Builder
    Vulnerabilità : Scripting cross-site riflesso
    Patchato nella versione : 1.3.10
    Punteggio di gravità : alto

    La vulnerabilità è stata corretta, quindi dovresti aggiornare alla versione 1.3.10.

    8. Generatore di moduli visivi

    Plugin: Visual Form Builder
    Vulnerabilità : Admin+ Stored Cross-Site Scripting
    Patchato nella versione : 3.0.4
    Punteggio di gravità : basso

    La vulnerabilità è stata corretta, quindi dovresti aggiornare alla versione 3.0.4.

    9. NinjaForms

    Plugin: NinjaForms
    Vulnerabilità: Admin+ Stored Cross-Site Scripting
    Patchato nella versione : 3.5.8.2
    Punteggio di gravità : basso

    La vulnerabilità è stata corretta, quindi dovresti aggiornare alla versione 3.5.8.2.

    10. Appuntamento

    Plugin: Wappointment
    Vulnerabilità : Scripting cross-site archiviato non autenticato
    Patchato nella versione : 2.2.5
    Punteggio di gravità : alto

    La vulnerabilità è stata corretta, quindi dovresti aggiornare alla versione 2.2.5.

    11. Conto alla rovescia e conto alla rovescia, timer di vendita WooCommerce

    Plugin: conto alla rovescia e conto alla rovescia, timer di vendita WooCommerce
    Vulnerabilità : da CSRF a script tra siti archiviati
    Patchato nella versione : 1.5.8
    Punteggio di gravità : alto

    La vulnerabilità è stata corretta, quindi dovresti aggiornare alla versione 1.5.8.

    11. uListing

    Plugin: uListing
    Vulnerabilità : aggiornamento delle impostazioni tramite CSRF
    Patchato nella versione : 2.0.6
    Punteggio di gravità : medio

    La vulnerabilità è stata corretta, quindi dovresti aggiornare alla versione 2.0.6.

    Plugin: uListing
    Vulnerabilità : SQL Injection non autenticato
    Patchato nella versione : 2.0.4
    Punteggio di gravità : alto

    La vulnerabilità è stata corretta, quindi dovresti aggiornare alla versione 2.0.4.

    Plugin: uListing
    Vulnerabilità : escalation di privilegi non autenticati
    Patchato nella versione : 2.0.6
    Punteggio di gravità : medio

    La vulnerabilità è stata corretta, quindi dovresti aggiornare alla versione 2.0.6.

    Plugin: uListing
    Vulnerabilità : modifica dei ruoli utente tramite CSRF
    Patchato nella versione : 2.0.6
    Punteggio di gravità : medio

    La vulnerabilità è stata corretta, quindi dovresti aggiornare alla versione 2.0.6.

    Plugin: uListing
    Vulnerabilità : CSRF multiple
    Patchato nella versione : 2.0.6
    Punteggio di gravità : medio

    La vulnerabilità è stata corretta, quindi dovresti aggiornare alla versione 2.0.6.

    Plugin: uListing
    Vulnerabilità : Scripting cross-site riflesso
    Patchato nella versione : 2.0.6
    Punteggio di gravità : medio

    La vulnerabilità è stata corretta, quindi dovresti aggiornare alla versione 2.0.6.

    Plugin: uListing
    Vulnerabilità : IDOR autenticato
    Patchato nella versione : 2.0.6
    Punteggio di gravità : medio

    La vulnerabilità è stata corretta, quindi dovresti aggiornare alla versione 2.0.6.

    12. Modalità di manutenzione YITH

    Plugin: YITH Maintenance Mode
    Vulnerabilità : più Admin + Scripting cross-site archiviati
    Patchato nella versione : 1.4.0
    Punteggio di gravità : basso

    La vulnerabilità è stata corretta, quindi dovresti aggiornare alla versione 1.4.0.

    Plugin: YITH Maintenance Mode
    Vulnerabilità : Admin+ Stored Cross-Site Scripting
    Patchato nella versione : 1.3.8
    Punteggio di gravità : basso

    La vulnerabilità è stata corretta, quindi dovresti aggiornare alla versione 1.3.8.

    13. Moduli di contatto WordPress di Cimatti

    Plugin: Moduli di contatto WordPress di Cimatti
    Vulnerabilità : Admin+ Stored Cross-Site Scripting
    Patchato nella versione : 1.4.12
    Punteggio di gravità : basso

    La vulnerabilità è stata corretta, quindi dovresti aggiornare alla versione 1.4.12.

    14. Tag OG

    Plugin: tag OG
    Vulnerabilità : aggiornamento delle impostazioni del plugin tramite CSRF
    Patchato nella versione : 2.0.2
    Punteggio di gravità : medio

    La vulnerabilità è stata corretta, quindi dovresti aggiornare alla versione 2.0.2.

    15. Directory aziendale dei collegamenti

    Plugin: Connections Business Directory
    Vulnerabilità : Admin+ Stored Cross-Site Scripting
    Patchato nella versione : 10.4.3
    Punteggio di gravità : basso

    La vulnerabilità è stata corretta, quindi dovresti aggiornare alla versione 10.4.3.

    16. Precaricatore piatto

    Plugin: Flat Preloader
    Vulnerabilità : Admin+ Stored Cross-Site Scripting
    Patchato nella versione : 1.5.5
    Punteggio di gravità : medio

    La vulnerabilità è stata corretta, quindi dovresti aggiornare alla versione 1.5.5.

    Plugin: Flat Preloader
    Vulnerabilità : da CSRF a script tra siti archiviati
    Patchato nella versione : 1.54
    Punteggio di gravità : alto

    La vulnerabilità è stata corretta, quindi dovresti aggiornare alla versione 1.5.4.

    17. Fantastica nuvola di tag

    Plugin: Cool Tag Cloud
    Vulnerabilità : Collaboratore + Scripting tra siti archiviati
    Patchato nella versione : 2.26
    Punteggio di gravità : medio

    La vulnerabilità è stata corretta, quindi dovresti aggiornare alla versione 2.26.

    18. in costruzione

    Plugin: in costruzione
    Vulnerabilità : Scripting cross-site riflesso
    Patchato nella versione : 1.19
    Punteggio di gravità : alto

    La vulnerabilità è stata corretta, quindi dovresti aggiornare alla versione 1.19.

    19. Menu del ristorante di MotoPress

    Plugin: Menu Ristorante di MotoPress
    Vulnerabilità : Scripting cross-site archiviato autenticato
    Patchato nella versione : nessuna correzione nota – plugin chiuso
    Punteggio di gravità : basso

    Questa vulnerabilità NON è stata corretta. Questo plugin è stato chiuso il 20 settembre 2021. Disinstalla ed elimina.

    20. AutomatorWP

    Plugin: AutomatorWP
    Vulnerabilità : autorizzazione mancante e aumento dei privilegi
    Patchato nella versione : 1.7.6
    Punteggio di gravità : medio

    La vulnerabilità è stata corretta, quindi dovresti aggiornare alla versione 1.7.6.

    21. Reazioni WP Lite

    Plugin: WP Reactions Lite
    Vulnerabilità : Scripting cross-site archiviato autenticato
    Patchato nella versione : 1.3.6
    Punteggio di gravità : basso

    La vulnerabilità è stata corretta, quindi dovresti aggiornare alla versione 1.3.6.

    22. Listino prezzi alla moda

    Plugin: Listino prezzi alla moda
    Vulnerabilità : abbonato + caricamento arbitrario di immagini
    Patchato nella versione : 6.9.1
    Punteggio di gravità : medio

    La vulnerabilità è stata corretta, quindi dovresti aggiornare alla versione 6.9.1.

    Plugin: Listino prezzi alla moda
    Vulnerabilità : caricamento di immagini arbitrarie non autenticate
    Patchato nella versione : 6.9.0
    Punteggio di gravità : medio

    La vulnerabilità è stata corretta, quindi dovresti aggiornare alla versione 6.9.0.

    23 semplici icone social

    Plugin: icone social facili
    Vulnerabilità : Scripting cross-site riflesso
    Patchato nella versione : 3.0.9
    Punteggio di gravità : alto

    La vulnerabilità è stata corretta, quindi dovresti aggiornare alla versione 3.0.9.

    Plugin: icone social facili
    Vulnerabilità : Scripting cross-site riflesso
    Patchato nella versione : 3.1.3
    Punteggio di gravità : alto

    La vulnerabilità è stata corretta, quindi dovresti aggiornare alla versione 3.1.3.

    24. Recupero feed RSS di WPeMatico

    Plugin: WPeMatico Feed RSS Fetcher
    Vulnerabilità : Admin+ Stored Cross-Site Scripting
    Patchato nella versione : 2.6.12
    Punteggio di gravità : basso

    La vulnerabilità è stata corretta, quindi dovresti aggiornare alla versione 2.6.12.

    25. Gestore di download di WordPress

    Plugin: WordPress Download Manager
    Vulnerabilità : Admin+ Stored Cross-Site Scripting
    Patchato nella versione : 3.2.16
    Punteggio di gravità : basso

    La vulnerabilità è stata corretta, quindi dovresti aggiornare alla versione 3.2.16.

    26. Calendario degli eventi moderni Lite

    Plugin: Calendario degli eventi moderni Lite
    Vulnerabilità : Scripting cross-site archiviato autenticato
    Patchato nella versione : 5.22.3
    Punteggio di gravità : basso

    La vulnerabilità è stata corretta, quindi dovresti aggiornare alla versione 5.22.3.

    27. Credova_Financial

    Plugin: Credova_Financial
    Vulnerabilità : divulgazione di informazioni sensibili
    Patchato nella versione : 1.4.9
    Punteggio di gravità : medio

    La vulnerabilità è stata corretta, quindi dovresti aggiornare alla versione 1.4.9.

    28. JS Job Manager

    Plugin: JS Job Manager
    Vulnerabilità : installazione/attivazione di plug-in arbitrari non autenticati
    Patchato nella versione : nessuna correzione nota – plugin chiuso
    Punteggio di gravità : critico

    Questa vulnerabilità NON è stata corretta. Questo plugin è stato chiuso il 30 settembre 2021. Disinstalla ed elimina.

    29. Eventi semplificati

    Plugin: eventi semplificati
    Vulnerabilità : Multi CSRF a Scripting Cross-Site archiviato ed eliminazione di eventi
    Patchato nella versione : 1.5.50
    Punteggio di gravità : alto

    La vulnerabilità è stata corretta, quindi dovresti aggiornare alla versione 1.5.50.

    30. Strisce per WooCommerce

    Plugin: Stripe per WooCommerce
    Vulnerabilità : controlli di autorizzazione mancanti al dirottamento dell'account finanziario
    Patchato nella versione : 3.3.10
    Punteggio di gravità : medio

    La vulnerabilità è stata corretta, quindi dovresti aggiornare alla versione 3.3.10.

    Come proteggere il tuo sito Web WordPress da temi e plugin vulnerabili

    Come puoi vedere da questo rapporto, ogni settimana vengono rivelati molti nuovi plugin di WordPress e vulnerabilità dei temi. Sappiamo che può essere difficile rimanere al passo con ogni divulgazione di vulnerabilità segnalata, quindi il plug-in iThemes Security Pro rende facile assicurarsi che il tuo sito non esegua un tema, un plug-in o una versione core di WordPress con una vulnerabilità nota.

    1. Attiva lo scanner del sito iThemes Security Pro

    Lo scanner del sito del plug-in iThemes Security Pro esegue la scansione alla ricerca del motivo n. 1 per cui i siti WordPress vengono compromessi: plug-in e temi obsoleti con vulnerabilità note. Site Scanner verifica la presenza di vulnerabilità note sul tuo sito e applica automaticamente una patch, se disponibile.

    Per abilitare la scansione del sito su nuove installazioni, vai alla scheda Verifica del sito nel menu Funzioni all'interno del plug-in e fai clic sull'interruttore per abilitare la scansione del sito .

    Questa immagine ha l'attributo alt vuoto; il suo nome file è enable-site-scan-1-1024x519.png

    Per attivare una scansione manuale del sito, fare clic sul pulsante Scansiona ora nella scheda Dashboard di sicurezza della scansione del sito.

    Questa immagine ha l'attributo alt vuoto; il suo nome file è Site-Scans-Security-Card.png

    Se la scansione del sito rileva una vulnerabilità, fare clic sul collegamento della vulnerabilità per visualizzare la pagina dei dettagli.

    Questa immagine ha l'attributo alt vuoto; il nome del file è vulnerabilities-details-page-1024x580.png

    Nella pagina della vulnerabilità di Site Scan, vedrai se è disponibile una correzione per la vulnerabilità. Se è disponibile una patch, puoi fare clic sul pulsante Aggiorna plug-in per applicare la correzione sul tuo sito web.

    2. Attiva la gestione della versione per l'aggiornamento automatico se corregge la vulnerabilità

    La funzione di gestione della versione in iThemes Security Pro si integra con la scansione del sito per proteggere il tuo sito quando il software obsoleto non viene aggiornato abbastanza rapidamente. Anche le misure di sicurezza più efficaci falliranno se stai eseguendo software vulnerabile sul tuo sito web. Queste impostazioni aiutano a proteggere il tuo sito con opzioni per l'aggiornamento automatico alle nuove versioni se esiste una vulnerabilità nota ed è disponibile una patch.

    Dalla pagina Impostazioni in iThemes Security Pro, vai alla schermata Funzionalità. Fare clic sulla scheda Verifica sito. Da qui, usa l'interruttore per abilitare la gestione delle versioni. Utilizzando l'ingranaggio delle impostazioni, puoi configurare ancora più impostazioni, incluso il modo in cui desideri che iThemes Security Pro gestisca gli aggiornamenti di WordPress, plug-in, temi e protezione aggiuntiva.

    Assicurati di selezionare la casella Aggiornamento automatico se risolve una vulnerabilità in modo che iThemes Security Pro aggiorni automaticamente un plug-in o un tema se corregge una vulnerabilità rilevata dallo Scanner del sito.

    Gestione delle versioni di iThemes Security Pro

    3. Ricevi un avviso e-mail quando iThemes Security Pro rileva una vulnerabilità nota sul tuo sito

    Dopo aver abilitato la pianificazione della scansione del sito, vai alle impostazioni del Centro notifiche del plug-in. In questa schermata, scorri fino alla sezione Risultati scansione sito .

    Questa immagine ha l'attributo alt vuoto; il nome del file è site-scan-results-1024x550.jpg

    Fare clic sulla casella per abilitare l'e-mail di notifica, quindi fare clic sul pulsante Salva impostazioni .

    Ora, durante le scansioni pianificate del sito, riceverai un'e-mail se iThemes Security Pro scopre vulnerabilità note. L'e-mail sarà simile a questa.

    risultati-scansione-sito

    Ottieni iThemes Security Pro e riposa un po' più facilmente stasera

    iThemes Security Pro, il nostro plug-in di sicurezza per WordPress, offre oltre 50 modi per proteggere e proteggere il tuo sito Web dalle vulnerabilità di sicurezza comuni di WordPress. Con WordPress, l'autenticazione a due fattori, la protezione dalla forza bruta, l'imposizione di password complesse e altro, puoi aggiungere ulteriori livelli di sicurezza al tuo sito web.

    • Scanner del sito per vulnerabilità di plugin e temi
    • Dashboard di sicurezza del sito web in tempo reale
    • Rilevamento modifica file
    • Registri di sicurezza di WordPress
    • Dispositivi affidabili
    • reCAPTCHA
    • Protezione dalla forza bruta
    • Autenticazione a due fattori
    • Link di accesso magici
    • Aumento dei privilegi
    • Controllo e rifiuto di password compromesse

    Ottieni iThemes Security Pro