Raccolta delle vulnerabilità di WordPress: aprile 2020, parte 1

Pubblicato: 2020-08-18

Durante la prima metà di aprile sono stati divulgati nuovi plug-in di WordPress e vulnerabilità dei temi, quindi vogliamo tenerti informato. In questo post, trattiamo i recenti plugin di WordPress, i temi e le vulnerabilità principali e cosa fare se stai eseguendo uno dei plugin o temi vulnerabili sul tuo sito web.

Il riepilogo delle vulnerabilità di WordPress è diviso in quattro diverse categorie:

  1. Nucleo di WordPress
  2. Plugin WordPress
  3. Temi WordPress

Vulnerabilità principali di WordPress

Non sono state divulgate vulnerabilità di WordPress nel 2020.

Vulnerabilità del plugin WordPress

Finora sono state scoperte diverse nuove vulnerabilità dei plugin di WordPress questo mese. Assicurati di seguire l'azione suggerita di seguito per aggiornare il plug-in o disinstallarlo completamente.

1. IMPress per broker IDX

IMPress per IDX Broker al di sotto della versione 2.6.2 ha una creazione, modifica/eliminazione di post autenticata e Authenticated Stored Cross-Site Scripting (XSS) tramite vulnerabilità non protette 'idx_update_recaptcha_key'.

Le vulnerabilità sono state corrette e dovresti aggiornare alla versione 2.6.2.

2. Banner pop-up CM per WordPress

I banner pop-up CM per le versioni di WordPress precedenti alla 1.4.11 presentano una vulnerabilità XSS memorizzata autenticata.

La vulnerabilità è stata corretta e dovresti aggiornare alla versione 1.4.11.

3. Classifica matematica

Le versioni di Rank Math inferiori alla 1.0.4.1 presentano vulnerabilità relative alla creazione di reindirizzamento e all'escalation dei privilegi.

Le vulnerabilità sono state corrette e dovresti aggiornare alla versione 1.4.1.

4. LifterLMS

Le versioni di LifterLMS inferiori alla 3.37.15 presentano una vulnerabilità di scrittura file arbitraria.

La vulnerabilità è stata corretta e dovresti aggiornare alla versione 3.37.15.

5. Elementor Page Builder

Le versioni di Elementor Page Builder inferiori alla 2.9.6 presentano una vulnerabilità di escalation dei privilegi in modalità provvisoria autenticata.

La vulnerabilità è stata corretta e dovresti aggiornare alla versione 2.9.6.

6. Impara Dash

Le versioni di LearnDash inferiori alla 3.1.6 presentano una vulnerabilità SQL Injection non autenticata.

La vulnerabilità è stata corretta e dovresti aggiornare alla versione 3.1.6.

7. Accedi tramite Auth0

Le versioni Login by Auth0 inferiori alla 4.0.0 presentano più vulnerabilità.

La vulnerabilità è stata corretta e dovresti aggiornare alla versione 4.0.0.

8. WordPress WP-Ricerca avanzata

Le versioni di WordPress WP-Advanced-Search inferiori alla 3.3.6 presentano una vulnerabilità SQL Injection non autenticata.

La vulnerabilità è stata corretta e dovresti aggiornare alla versione 3.3.6.

9. Modulo di contatto 7 Datepicker

Tutte le versioni di Contact Form 7 Datepicker presentano una vulnerabilità Authenticated Stored Cross-Site Scripting.

Rimuovi il plugin, è stato chiuso nel repository dei plugin di WordPress.org in attesa di revisione.

10. Galleria d'arte

Tutte le versioni di Art-Picture-Gallery presentano una vulnerabilità di caricamento file arbitrario non autenticato.

Rimuovi il plugin, è stato chiuso nel repository dei plugin di WordPress.org in attesa di revisione.

11. Informazioni sull'ultima modifica del WP

Le versioni di WP Last Modified Info inferiori alla 1.6.6 presentano una vulnerabilità XSS memorizzata autenticata.

La vulnerabilità è stata corretta e dovresti aggiornare alla versione 1.6.6.

12. WP Lead Plus X

Tutte le versioni di WP Lead Plus X presentano una vulnerabilità Cross-Site Request Forgery.

Rimuovi il plugin fino al rilascio di una patch.

13. Ultimate Addons per Gutenberg

Ultimate Addons per le versioni di Gutenberg inferiori alla 1.14.8 hanno una vulnerabilità di modifica delle impostazioni autenticate.

La vulnerabilità è stata corretta e dovresti aggiornare alla versione 1.14.8.

14. Klarna Checkout per WooCommerce

Le versioni di Klarna Checkout per WooCommerce inferiori alla 2.0.10 presentano una vulnerabilità di disattivazione, attivazione e installazione del plug-in arbitrario autenticato.

15. Tickera – Biglietti per eventi WordPress

Tickera – Le versioni di WordPress Event Ticketing inferiori alla 3.4.6.9 presentano una vulnerabilità di esposizione di dati sensibili non autenticati.

La vulnerabilità è stata corretta e dovresti aggiornare alla versione 3.4.6.9.

16. Sondaggio reattivo

Tutte le versioni di Responsive Poll hanno autenticazione interrotta e controlli di capacità mancanti sulle chiamate AJAX.

Rimuovi il plugin, è stato chiuso nel repository dei plugin di WordPress.org in attesa di revisione.

17. Assistente libreria multimediale

Le versioni di Media Library Assistant precedenti alla 2.82 presentano vulnerabilità di Authenticated Stored Cross-Site Scripting e Unauthenticated Limited Local File Inclusion.

La vulnerabilità è stata corretta e dovresti aggiornare alla versione 2.82.

Temi WordPress

Non sono state divulgate vulnerabilità del tema nell'aprile 2020.

Come essere proattivi riguardo alle vulnerabilità dei temi e dei plugin di WordPress

L'esecuzione di software obsoleto è il motivo principale per cui i siti WordPress vengono violati. È fondamentale per la sicurezza del tuo sito WordPress che tu abbia una routine di aggiornamento. Dovresti accedere ai tuoi siti almeno una volta alla settimana per eseguire gli aggiornamenti.

Gli aggiornamenti automatici possono aiutare

Gli aggiornamenti automatici sono un'ottima scelta per i siti Web WordPress che non cambiano molto spesso. La mancanza di attenzione spesso lascia questi siti trascurati e vulnerabili agli attacchi. Anche con le impostazioni di sicurezza consigliate, l'esecuzione di software vulnerabile sul tuo sito può fornire a un utente malintenzionato un punto di accesso al tuo sito.

Utilizzando la funzione di gestione della versione del plug-in iThemes Security Pro, puoi abilitare gli aggiornamenti automatici di WordPress per assicurarti di ricevere le ultime patch di sicurezza. Queste impostazioni aiutano a proteggere il tuo sito con opzioni per l'aggiornamento automatico alle nuove versioni o per aumentare la sicurezza dell'utente quando il software del sito non è aggiornato.

Opzioni di aggiornamento per la gestione delle versioni
  • Aggiornamenti WordPress: installa automaticamente l'ultima versione di WordPress.
  • Aggiornamenti automatici del plug-in: installa automaticamente gli ultimi aggiornamenti del plug-in. Questo dovrebbe essere abilitato a meno che tu non mantenga attivamente questo sito su base giornaliera e installi gli aggiornamenti manualmente poco dopo il loro rilascio.
  • Aggiornamenti automatici del tema: installa automaticamente gli ultimi aggiornamenti del tema. Questo dovrebbe essere abilitato a meno che il tuo tema non abbia personalizzazioni di file.
  • Controllo granulare sugli aggiornamenti di plug-in e temi : potresti avere plug-in/temi che desideri aggiornare manualmente o ritardare l'aggiornamento fino a quando la versione non ha avuto il tempo di dimostrarsi stabile. Puoi scegliere Personalizzato per l'opportunità di assegnare a ciascun plug-in o tema l'aggiornamento immediato ( Abilita ), non aggiornarlo automaticamente ( Disabilita ) o aggiorna con un ritardo di un determinato numero di giorni ( Ritardo ).
Rafforzamento e allerta per problemi critici
  • Rafforza il sito durante l'esecuzione di software obsoleto : aggiungi automaticamente protezioni extra al sito quando un aggiornamento disponibile non è stato installato per un mese. Il plug-in iThemes Security abiliterà automaticamente una sicurezza più rigorosa quando un aggiornamento non è stato installato per un mese. Innanzitutto, costringerà tutti gli utenti che non hanno abilitato il doppio fattore a fornire un codice di accesso inviato al proprio indirizzo e-mail prima di accedere nuovamente. In secondo luogo, disattiverà l'editor di file WP (per impedire alle persone di modificare il plug-in o il codice del tema) , XML-RPC pingback e bloccano più tentativi di autenticazione per richiesta XML-RPC (entrambi renderanno XML-RPC più forte contro gli attacchi senza doverlo disattivare completamente).
  • Cerca altri vecchi siti WordPress : questo controllerà la presenza di altre installazioni di WordPress obsolete sul tuo account di hosting. Un singolo sito WordPress obsoleto con una vulnerabilità potrebbe consentire agli aggressori di compromettere tutti gli altri siti sullo stesso account di hosting.
  • Invia notifiche e-mail : per problemi che richiedono un intervento, viene inviata un'e-mail agli utenti a livello di amministratore.

Gestire più siti WP? Aggiorna plug-in, temi e core contemporaneamente dalla dashboard di iThemes Sync

iThemes Sync è la nostra dashboard centrale per aiutarti a gestire più siti WordPress. Dalla dashboard di sincronizzazione, puoi visualizzare gli aggiornamenti disponibili per tutti i tuoi siti e quindi aggiornare plug-in, temi e core di WordPress con un clic . Puoi anche ricevere notifiche email giornaliere quando è disponibile un nuovo aggiornamento di versione.

Prova Sync GRATIS per 30 giorniUlteriori informazioni

Un plugin di sicurezza per WordPress può aiutarti a proteggere il tuo sito web

iThemes Security Pro, il nostro plug-in di sicurezza per WordPress, offre oltre 30 modi per proteggere e proteggere il tuo sito Web dalle vulnerabilità di sicurezza comuni di WordPress. Con WordPress, l'autenticazione a due fattori, la protezione dalla forza bruta, l'imposizione di password complesse e altro ancora, puoi aggiungere un ulteriore livello di sicurezza al tuo sito web.

Scopri di più sulla sicurezza di WordPress con 10 suggerimenti chiave. Scarica ora l'ebook: una guida alla sicurezza di WordPress
Scarica ora