Rapporto sulla vulnerabilità di WordPress: settembre 2021, parte 3

I plugin e i temi vulnerabili sono la ragione principale per cui i siti Web WordPress vengono violati. Il rapporto settimanale sulle vulnerabilità di WordPress basato su WPScan copre i recenti plug-in, temi e vulnerabilità principali di WordPress e cosa fare se si esegue uno dei plug-in o temi vulnerabili sul tuo sito web.

Ogni vulnerabilità avrà un livello di gravità Bassa , Media , Alta o Critica . La divulgazione responsabile e la segnalazione delle vulnerabilità sono parte integrante del mantenimento della sicurezza della community di WordPress.

Essendo uno dei più grandi rapporti sulle vulnerabilità di WordPress fino ad oggi, condividi questo post con i tuoi amici per aiutare a spargere la voce e rendere WordPress più sicuro per tutti.

Vulnerabilità principali di WordPress

Diversi problemi di sicurezza principali di WordPress sono stati divulgati e risolti. WordPress 5.8.1 è stato rilasciato come release di sicurezza e manutenzione. Come best practice, assicurati sempre di eseguire l'ultima versione del core di WordPress!

1. WordPress da 5.4 a 5.8

Vulnerabilità : esposizione dei dati tramite API REST
Patchato nella versione : 5.8.1
Punteggio di gravità : medio

Vulnerabilità : XSS autenticato nell'editor blocchi
Patchato nella versione : 5.8.1
Punteggio di gravità : medio

Vulnerabilità : aggiornamento della libreria Lodash
Patchato nella versione : 5.8.1
Punteggio di gravità : medio

Vulnerabilità del plugin WordPress

In questa sezione sono state divulgate le ultime vulnerabilità del plugin WordPress. Ogni elenco di plug-in include il tipo di vulnerabilità, il numero di versione se patchato e il livello di gravità.

1. Pinterest automatico

Plugin: Pinterest automatico
Vulnerabilità : aggiornamento delle opzioni arbitrarie non autenticate
Patchato nella versione : 4.14.4
Punteggio di gravità : critico

2. WordPress automatico

Plugin: WordPress automatico
Vulnerabilità : aggiornamento delle opzioni arbitrarie non autenticate
Patchato nella versione : 3.53.3
Punteggio di gravità : critico

3. ELEX WooCommerce Google Shopping

Plugin: ELEX WooCommerce Google Shopping
Vulnerabilità : Reflected Cross-Site Scripting (XSS)
Patchato nella versione : 1.2.4
Punteggio di gravità : alto

4. Registrazione utente

Plugin: registrazione utente
Vulnerabilità : Scripting tra siti archiviati con privilegi ridotti
Patchato nella versione : 2.0.2
Punteggio di gravità : medio

5. uElenco

Plugin: uListing
Vulnerabilità : aggiornamento arbitrario dell'opzione blog tramite CSRF
Patchato nella versione : 2.0.9
Punteggio di gravità : alto

6. Prenotazione dell'ora dell'appuntamento

Plugin: Prenotazione Orario Appuntamento
Vulnerabilità : Scripting cross-site archiviato autenticato
Patchato nella versione : 1.3.16
Punteggio di gravità : basso

Plugin: Prenotazione Orario Appuntamento
Vulnerabilità : XSS archiviato autenticato
Patchato nella versione : 1.3.17
Punteggio di gravità : basso

7. UtentiWP

Plugin: UsersWP
Vulnerabilità : Scripting cross-site riflesso
Patchato nella versione : 1.2.2.29
Punteggio di gravità : medio

8. Calendario editoriale di PublishPress

Plugin: Calendario editoriale di PublishPress
Vulnerabilità : Scripting cross-site riflesso
Patchato nella versione : 3.5.1
Punteggio di gravità : alto

9. Meglio Trova e Sostituisci

Plugin: migliore ricerca e sostituzione
Vulnerabilità : Scripting cross-site riflesso
Patchato nella versione : 1.2.9
Punteggio di gravità : alto

10. Glossario dei suggerimenti CM

Plugin: CM Tooltip Glossario
Vulnerabilità : Collaboratore + Scripting tra siti archiviati
Patchato nella versione : 3.9.21
Punteggio di gravità : medio

11. Gateway di pagamento Bitcoin / AltCoin per WooCommerce

Plugin: Gateway di pagamento Bitcoin / AltCoin per WooCommerce
Vulnerabilità : Scripting cross-site riflesso
Patchato nella versione : 1.6.1
Punteggio di gravità : alto

12. Calendario degli eventi moderni Lite

Plugin: Calendario degli eventi moderni Lite
Vulnerabilità : Admin+ Stored Cross-Site Scripting
Patchato nella versione : 5.22.2
Punteggio di gravità : basso

13. Il mio chatbot

Tema: Il mio Chatbot
Vulnerabilità : Reflected Cross-Site Scripting (XSS)
Patchato nella versione : nessuna correzione nota
Punteggio di gravità : alto

14. Pagina duplicata

Plugin: pagina duplicata
Vulnerabilità : Admin+ Stored Cross-Site Scripting
Patchato nella versione : 4.4.3
Punteggio di gravità : medio

15. Effetto meteo

Plugin: effetto meteo
Vulnerabilità : Admin+ Stored Cross-Site Scripting
Patchato nella versione : 1.3.6
Punteggio di gravità : basso

Plugin: effetto meteo
Vulnerabilità : da CSRF a script tra siti archiviati
Patchato nella versione : 1.3.4
Punteggio di gravità : alto

16. Quiz incatenato

Plugin: Quiz incatenato
Vulnerabilità : Scripting cross-site archiviato autenticato
Patchato nella versione : 1.2.7.2
Punteggio di gravità : basso

17. Elenco delle persone accademiche WP

Plugin : WP Academic People List
Vulnerabilità : Scripting cross-site riflesso
Patchato nella versione : nessuna correzione nota
Punteggio di gravità : medio

18. Konnichiwa! abbonamento

Plugin : Konnichiwa! abbonamento
Vulnerabilità : Scripting cross-site riflesso
Patchato nella versione : nessuna correzione nota
Punteggio di gravità : medio

19. Carosello di copertine 3D

Plugin : 3D Cover Carousel
Vulnerabilità : Scripting cross-site riflesso
Patchato nella versione : nessuna correzione nota
Punteggio di gravità : medio

20. Altro da Google

Plugin : Altro da Google
Vulnerabilità : Scripting cross-site riflesso
Patchato nella versione : nessuna correzione nota
Punteggio di gravità : medio

21. Autenticazione SAMLphp semplice

Plugin : semplice autenticazione SAMLphp
Vulnerabilità : Scripting cross-site riflesso
Patchato nella versione : nessuna correzione nota
Punteggio di gravità : medio

22. Plugin menu personalizzato

Plugin : Plugin menu personalizzato
Vulnerabilità : Scripting cross-site riflesso
Patchato nella versione : nessuna correzione nota
Punteggio di gravità : medio

23. Widget Amici di Twitter

Plugin : Widget Amici di Twitter
Vulnerabilità : Scripting cross-site riflesso
Patchato nella versione : nessuna correzione nota
Punteggio di gravità : medio

24. RentPress

Plugin : RentPress
Vulnerabilità : Scripting cross-site riflesso
Patchato nella versione : nessuna correzione nota
Punteggio di gravità : medio

25. Responsabile noleggio SP

Plugin : SP Rental Manager
Vulnerabilità : SQL Injection non autenticato
Patchato nella versione : nessuna correzione nota
Punteggio di gravità : alto

26. Email di attivazione dell'utente

Plugin : Email di attivazione dell'utente
Vulnerabilità : Scripting cross-site riflesso
Patchato nella versione : nessuna correzione nota
Punteggio di gravità : medio

27. WP Google Maps

Plugin: WP Google Maps
Vulnerabilità : più Admin + Scripting cross-site archiviati
Patchato nella versione : 8.1.13
Punteggio di gravità : basso

28. Directory geografica

Plugin: GeoDirectory
Vulnerabilità : Scripting Cross-Site archiviato (XSS) autenticato (admin+)
Patchato nella versione : 2.1.1.3
Punteggio di gravità : medio

29. TraduciPremere

Plugin: TranslatePress
Vulnerabilità : Scripting cross-site archiviato autenticato
Patchato nella versione : 2.0.9
Punteggio di gravità : basso

30. Posta il contatore del titolo

Plugin : Post Title Counter
Vulnerabilità : Scripting cross-site riflesso
Patchato nella versione : nessuna correzione nota
Punteggio di gravità : medio

31. Inserimento video di YouTube

Plugin : Inserimento video di YouTube
Vulnerabilità : Scripting cross-site riflesso
Patchato nella versione : nessuna correzione nota
Punteggio di gravità : medio

32. Avvisi

Plugin : Avvisi
Vulnerabilità : Scripting cross-site riflesso
Patchato nella versione : nessuna correzione nota
Punteggio di gravità : medio

33. DJ EmailPubblica

Plugin : DJ EmailPublish
Vulnerabilità : Scripting cross-site riflesso
Patchato nella versione : nessuna correzione nota
Punteggio di gravità : medio

34. Ancora un altro plugin bol.com

Plugin : ancora un altro plug-in bol.com
Vulnerabilità : Scripting cross-site riflesso
Patchato nella versione : nessuna correzione nota
Punteggio di gravità : medio

35. WP-T-Wap

Plugin : WP-T-Wap
Vulnerabilità : Scripting cross-site riflesso
Patchato nella versione : nessuna correzione nota
Punteggio di gravità : medio

36. SEO sulla pagina + pulsante chat di Whatsapp

Plugin : SEO sulla pagina + pulsante chat di Whatsapp
Vulnerabilità : Scripting cross-site riflesso
Patchato nella versione : nessuna correzione nota
Punteggio di gravità : medio

37. Script WP

Plugin : script WP
Vulnerabilità : Scripting cross-site riflesso
Patchato nella versione : nessuna correzione nota
Punteggio di gravità : medio

38. Mappe e luoghi di progettazione WP

Plugin : WP Design Maps & Places
Vulnerabilità : Scripting cross-site riflesso
Patchato nella versione : nessuna correzione nota
Punteggio di gravità : medio

39. Moduli di acquisizione dell'agente saggio

Plugin : Wise Agent Capture Forms
Vulnerabilità : Scripting cross-site riflesso
Patchato nella versione : nessuna correzione nota
Punteggio di gravità : medio

40. Modifica commenti XT

Plugin : Modifica commenti XT
Vulnerabilità : Scripting cross-site riflesso
Patchato nella versione : nessuna correzione nota
Punteggio di gravità : medio

41. RSVPMaker Excel

Plugin : RSVPMaker Excel
Vulnerabilità : Scripting cross-site riflesso
Patchato nella versione : nessuna correzione nota
Punteggio di gravità : medio

42. Barra di caricamento del bordo

Plugin : barra di caricamento dei bordi
Vulnerabilità : Scripting cross-site riflesso
Patchato nella versione : nessuna correzione nota
Punteggio di gravità : medio

43. Semplici miniature arruffate

Plugin : miniature arruffate semplici
Vulnerabilità : Scripting cross-site riflesso
Patchato nella versione : nessuna correzione nota
Punteggio di gravità : medio

44. Negozio semplice di WordPress

Plugin : WordPress Negozio semplice
Vulnerabilità : Scripting cross-site riflesso
Patchato nella versione : nessuna correzione nota
Punteggio di gravità : medio

45. Gateway di pagamento WooCommerce per categoria

Plugin : gateway di pagamento WooCommerce per categoria
Vulnerabilità : Scripting cross-site riflesso
Patchato nella versione : nessuna correzione nota
Punteggio di gravità : medio

46. ​​Dati del sito web personalizzati

Plugin : dati del sito Web personalizzati
Vulnerabilità : Scripting cross-site riflesso
Patchato nella versione : nessuna correzione nota
Punteggio di gravità : medio

47. Ricerca avanzata

Plugin : ricerca avanzata
Vulnerabilità : Scripting cross-site riflesso
Patchato nella versione : nessuna correzione nota
Punteggio di gravità : medio

48. Integrazione di Moneybird per WooCommerce

Plugin : Integrazione di Moneybird per WooCommerce
Vulnerabilità : Scripting cross-site riflesso
Patchato nella versione : nessuna correzione nota
Punteggio di gravità : medio

49. Analisi del ragno

Plugin : Spideranalyse
Vulnerabilità : Scripting cross-site riflesso
Patchato nella versione : nessuna correzione nota
Punteggio di gravità : medio

50. Abbonamento OSD

Plugin : abbonamento OSD
Vulnerabilità : Scripting cross-site riflesso
Patchato nella versione : nessuna correzione nota
Punteggio di gravità : medio

51. Feedify Web Push Notifications

Plugin : Feedify Web Push Notifications
Vulnerabilità : Scripting cross-site riflesso
Patchato nella versione : nessuna correzione nota
Punteggio di gravità : medio

52. Testo a discesa e scorrevole

Plugin : menu a discesa e testo scorrevole
Vulnerabilità : Scripting cross-site riflesso
Patchato nella versione : nessuna correzione nota
Punteggio di gravità : medio

53. Integrazione GNU-Mailman

Plugin : integrazione GNU-Mailman
Vulnerabilità : Scripting cross-site riflesso
Patchato nella versione : nessuna correzione nota
Punteggio di gravità : medio

54. Libreria di bug

Plugin : libreria di bug
Vulnerabilità : Scripting cross-site riflesso
Patchato nella versione : nessuna correzione nota
Punteggio di gravità : medio

55. SMS OVH

Plugin : SMS OVH
Vulnerabilità : Scripting cross-site riflesso
Patchato nella versione : nessuna correzione nota
Punteggio di gravità : medio

56. MoolaMojo

Plugin : MoolaMojo
Vulnerabilità : Scripting cross-site riflesso
Patchato nella versione : nessuna correzione nota
Punteggio di gravità : medio

57. Plugin InviteBox WordPress

Plugin : Plugin InviteBox WordPress
Vulnerabilità : Scripting cross-site riflesso
Patchato nella versione : nessuna correzione nota
Punteggio di gravità : medio

58. wp-pubblicazioni

Plugin : wp-publications
Vulnerabilità : inclusione di file locali
Patchato nella versione : nessuna correzione nota
Punteggio di gravità : alto

59. Orario e programma degli eventi di MotoPress

Plugin: Orario e Programma degli Eventi di MotoPress
Vulnerabilità : Autore + Scripting tra siti archiviati
Patchato nella versione : 2.3.19
Punteggio di gravità : medio

60. Rimuovi collegamento commento e altri strumenti di commento

Plugin: Rimuovi collegamento commento e altri strumenti di commento
Vulnerabilità : cancellazione arbitraria dei commenti tramite CSRF
Patchato nella versione : 2.1.6
Punteggio di gravità : medio

61. Calendario di prenotazione semplice WP

Plugin: Calendario di prenotazione semplice di WP
Vulnerabilità : iniezione SQL autenticata
Patchato nella versione : 2.0.6
Punteggio di gravità : medio

62. Blocca e ferma i robot dannosi

Plugin: blocca e blocca i bot dannosi
Vulnerabilità : iniezioni SQL autenticate
Patchato nella versione : 6.60
Punteggio di gravità : medio

63. Abbonamenti membri a pagamento

Plugin: abbonamenti membri a pagamento
Vulnerabilità : iniezione SQL autenticata
Patchato nella versione : 2.4.2
Punteggio di gravità : medio

64. Fisarmonica facile

Plugin: Easy Accordion
Vulnerabilità : Admin+ Stored Cross-Site Scripting
Patchato nella versione : 2.0.22
Punteggio di gravità : basso

Vulnerabilità dei temi WordPress

1. Avvolgere

Tema: avvolgere
Vulnerabilità : Reflected Cross-Site Scripting (XSS)
Patchato nella versione : 4.8.4
Punteggio di gravità : medio

Una nota sulla divulgazione responsabile

Ci si potrebbe chiedere perché una vulnerabilità venga rivelata se offre agli hacker un exploit per attaccare. Bene, è molto comune per un ricercatore di sicurezza trovare e segnalare privatamente la vulnerabilità allo sviluppatore del software.

Con una divulgazione responsabile , il rapporto iniziale del ricercatore viene presentato privatamente agli sviluppatori dell'azienda proprietaria del software, ma con un accordo sul fatto che i dettagli completi verranno pubblicati una volta resa disponibile una patch. Per vulnerabilità di sicurezza significative, potrebbe esserci un leggero ritardo nella divulgazione della vulnerabilità per dare a più persone il tempo di applicare le patch.

Il ricercatore di sicurezza può fornire allo sviluppatore del software una scadenza per rispondere alla segnalazione o per fornire una patch. Se questa scadenza non viene rispettata, il ricercatore può rivelare pubblicamente la vulnerabilità per esercitare pressioni sullo sviluppatore affinché rilasci una patch.

La divulgazione pubblica di una vulnerabilità e l'apparente introduzione di una vulnerabilità Zero-Day, un tipo di vulnerabilità che non ha patch e viene sfruttata allo stato brado, può sembrare controproducente. Ma è l'unica leva che un ricercatore ha per fare pressione sullo sviluppatore per correggere la vulnerabilità.

Se un hacker dovesse scoprire la vulnerabilità, potrebbe tranquillamente utilizzare l'Exploit e causare danni all'utente finale (questo sei tu), mentre lo sviluppatore del software si accontenta di lasciare la vulnerabilità senza patch. Project Zero di Google ha linee guida simili quando si tratta di rivelare le vulnerabilità. Pubblicano i dettagli completi della vulnerabilità dopo 90 giorni, indipendentemente dal fatto che la vulnerabilità sia stata corretta o meno.

Come proteggere il tuo sito Web WordPress da temi e plugin vulnerabili

Come puoi vedere da questo rapporto, ogni settimana vengono rivelati molti nuovi plugin di WordPress e vulnerabilità dei temi. Sappiamo che può essere difficile rimanere al passo con ogni divulgazione di vulnerabilità segnalata, quindi il plug-in iThemes Security Pro rende facile assicurarsi che il tuo sito non esegua un tema, un plug-in o una versione core di WordPress con una vulnerabilità nota.

1. Attiva lo scanner del sito iThemes Security Pro

Lo scanner del sito del plug-in iThemes Security Pro esegue la scansione alla ricerca del motivo n. 1 per cui i siti WordPress vengono compromessi: plug-in e temi obsoleti con vulnerabilità note. Site Scanner verifica la presenza di vulnerabilità note sul tuo sito e applica automaticamente una patch, se disponibile.

Per abilitare la scansione del sito su nuove installazioni, vai alla scheda Verifica del sito nel menu Funzioni all'interno del plug-in e fai clic sull'interruttore per abilitare la scansione del sito .

Per attivare una scansione manuale del sito, fare clic sul pulsante Scansiona ora nella scheda Dashboard di sicurezza della scansione del sito.

Se la scansione del sito rileva una vulnerabilità, fare clic sul collegamento della vulnerabilità per visualizzare la pagina dei dettagli.

Nella pagina della vulnerabilità di Site Scan, vedrai se è disponibile una correzione per la vulnerabilità. Se è disponibile una patch, puoi fare clic sul pulsante Aggiorna plug-in per applicare la correzione sul tuo sito web.

2. Attiva la gestione della versione per l'aggiornamento automatico se corregge la vulnerabilità

La funzione di gestione della versione in iThemes Security Pro si integra con la scansione del sito per proteggere il tuo sito quando il software obsoleto non viene aggiornato abbastanza rapidamente. Anche le misure di sicurezza più efficaci falliranno se stai eseguendo software vulnerabile sul tuo sito web. Queste impostazioni aiutano a proteggere il tuo sito con opzioni per l'aggiornamento automatico alle nuove versioni se esiste una vulnerabilità nota ed è disponibile una patch.

Dalla pagina Impostazioni in iThemes Security Pro, vai alla schermata Funzionalità. Fare clic sulla scheda Verifica sito. Da qui, usa l'interruttore per abilitare la gestione delle versioni. Utilizzando l'ingranaggio delle impostazioni, puoi configurare ancora più impostazioni, incluso il modo in cui desideri che iThemes Security Pro gestisca gli aggiornamenti di WordPress, plug-in, temi e protezione aggiuntiva.

Assicurati di selezionare la casella Aggiornamento automatico se risolve una vulnerabilità in modo che iThemes Security Pro aggiorni automaticamente un plug-in o un tema se corregge una vulnerabilità rilevata dallo Scanner del sito.

3. Ricevi un avviso e-mail quando iThemes Security Pro rileva una vulnerabilità nota sul tuo sito

Dopo aver abilitato la pianificazione della scansione del sito, vai alle impostazioni del Centro notifiche del plug-in. In questa schermata, scorri fino alla sezione Risultati scansione sito .

Fare clic sulla casella per abilitare l'e-mail di notifica, quindi fare clic sul pulsante Salva impostazioni .

Ora, durante le scansioni pianificate del sito, riceverai un'e-mail se iThemes Security Pro scopre vulnerabilità note. L'e-mail sarà simile a questa.

Ottieni iThemes Security Pro e riposa un po' più facilmente stasera

iThemes Security Pro, il nostro plug-in di sicurezza per WordPress, offre oltre 50 modi per proteggere e proteggere il tuo sito Web dalle vulnerabilità di sicurezza comuni di WordPress. Con WordPress, l'autenticazione a due fattori, la protezione dalla forza bruta, l'imposizione di password complesse e altro, puoi aggiungere ulteriori livelli di sicurezza al tuo sito web.

Ottieni iThemes Security Pro

Michael Moore

Ogni settimana, Michael mette insieme il Rapporto sulla vulnerabilità di WordPress per aiutare a mantenere i tuoi siti al sicuro. In qualità di Product Manager di iThemes, ci aiuta a continuare a migliorare la gamma di prodotti iThemes. È un nerd gigante e ama imparare tutto ciò che è tecnologico, vecchio e nuovo. Puoi trovare Michael che esce con sua moglie e sua figlia, leggendo o ascoltando musica quando non lavora.