Raccolta delle vulnerabilità di WordPress: dicembre 2020, parte 1

Pubblicato: 2020-12-09

Durante la prima metà di dicembre sono state divulgate nuove vulnerabilità relative a plugin e temi di WordPress. Questo post copre i recenti plug-in, temi e vulnerabilità principali di WordPress e cosa fare se esegui uno dei plug-in o temi vulnerabili sul tuo sito web.

Il riepilogo delle vulnerabilità di WordPress è diviso in tre diverse categorie: core di WordPress, plugin di WordPress e temi di WordPress.

Nel rapporto di dicembre, parte 1

    Vulnerabilità principali di WordPress

    Nessuna nuova vulnerabilità del core di WordPress è stata rivelata questo mese.

    Tuttavia, ieri è stata rilasciata una nuova versione principale del core di WordPress. WordPress 5.6 include diverse nuove funzionalità e miglioramenti, quindi assicurati di aggiornare.

    Vulnerabilità del plugin WordPress

    1. WPJobBoard

    Le versioni di WPJobBoard inferiori alla 5.7.0 presentano vulnerabilità SQL Injection non autenticate, Reflected XSS e XFS.

    La vulnerabilità è stata corretta e dovresti aggiornare alla versione 5.7.0.

    2. Plugin WP Google Map

    Le versioni del plugin WP Google Map sotto la 4.1.4 presentano una vulnerabilità di Authenticated SQL Injection.

    La vulnerabilità è stata corretta e dovresti aggiornare alla versione 4.1.4.

    3. BuddyPress

    Versioni di BuddyPress inferiori alla 6.4.0 Mancanza di capacità Verifica vulnerabilità.

    La vulnerabilità è stata corretta e dovresti aggiornare alla versione 6.4.0.

    4. Responsabile eventi

    Le versioni di Events Manager precedenti alla 5.9.8 presentano una vulnerabilità di Cross-Site Scripting e SQL Injection.

    La vulnerabilità è stata corretta e dovresti aggiornare alla versione 5.9.8.

    5. Porta dell'età

    Le versioni di Age Gate precedenti alla 2.13.5 presentano una vulnerabilità di reindirizzamento aperto non autenticato.

    La vulnerabilità è stata corretta e dovresti aggiornare alla versione 2.13.5.

    6. Canto

    Tutte le versioni di Canto presentano una vulnerabilità SSRF Blind non autenticata.

    Rimuovi il plug-in fino al rilascio di una correzione di sicurezza.

    7. Generatore di profili

    Le versioni di Profile Builder inferiori alla 3.3.3 presentano una vulnerabilità di Authenticated Blind SQL Injection.

    La vulnerabilità è stata corretta e dovresti aggiornare alla versione 2.2.9.

    8. Abbonamenti a pagamento Pro

    Le versioni Pro degli abbonamenti a pagamento inferiori alla 2.5.1 presentano una vulnerabilità Authenticated Cross-Site Scripting.

    La vulnerabilità è stata corretta e dovresti aggiornare alla versione 2.5.1.

    9. Themify Portfolio Post

    Le versioni di Themify Portfolio Post precedenti alla 1.1.6 sono una vulnerabilità di Authenticated Stored Cross-Site Scripting.

    La vulnerabilità è stata corretta e dovresti aggiornare alla versione 1.1.6.

    10. Facile WP SMTP

    Le versioni di Easy WP SMTP inferiori alla 1.4.3 presentano una vulnerabilità di divulgazione del registro di debug.

    La vulnerabilità è stata corretta e dovresti aggiornare alla versione 1.4.3.

    Vulnerabilità dei temi WordPress

    1. Wibar

    Le versioni Wibar precedenti alla 1.2.1 presentano una vulnerabilità Authenticated Stored Cross-Site Scripting.

    La vulnerabilità è stata corretta e dovresti aggiornare alla versione 1.2.1.

    Suggerimento per la sicurezza di dicembre: perché hai bisogno di un utente universale per il supporto

    Ogni volta che crei un nuovo utente sul tuo sito web, aggiungi un altro punto di ingresso che un hacker potrebbe sfruttare. Ma ci saranno probabilmente momenti in cui potresti aver bisogno di un aiuto esterno per il tuo sito web, come quando cerchi supporto o dopo aver assunto un appaltatore indipendente. Hai bisogno di un modo sicuro e protetto per aggiungere l'accesso amministrativo temporaneo al tuo sito web.

    Concedere l'accesso esterno al tuo sito web: le tue tipiche cattive opzioni

    In genere, hai due opzioni per fornire l'accesso esterno al tuo sito web…. e nessuno dei due è fantastico .

    1. Condividi le credenziali dell'utente amministratore

    La tua prima e peggiore opzione è condividere il nome utente e la password del tuo utente amministratore di WordPress.

    Perché condividere le tue credenziali di amministratore è un'idea terribile

    • Sicurezza ridotta : se condividi le credenziali dell'utente, dovrai disabilitare l'autenticazione a due fattori per consentire alla persona che utilizza le tue credenziali di accedere. Google ha condiviso sul suo blog che l'utilizzo dell'autenticazione a due fattori o della verifica in due passaggi può bloccare il 100% degli attacchi bot automatizzati. Disabilitare l'autenticazione a due fattori, anche per un breve periodo di tempo, riduce drasticamente la sicurezza del tuo sito web.
    • Scomodo : la condivisione delle credenziali richiede la modifica della password. Se dimentichi di cambiare la password, ci sono una o più persone che hanno accesso come amministratore al tuo sito web ogni volta che lo desiderano.

    2. Crea un utente separato per il supporto tecnico

    Anche se creare un nuovo utente amministratore per lo specialista dell'assistenza è meglio che condividere le tue credenziali di amministratore, non è comunque eccezionale.

    Perché creare un utente per la tecnologia di supporto è terribile?

    • Maggiore vulnerabilità : la creazione di un nuovo utente amministratore aggiunge un altro punto di ingresso che potrebbe essere sfruttato. Se non disponi di una politica per la password, il tecnico di supporto potrebbe scegliere una password debole, rendendo il tuo accesso a WordPress più vulnerabile agli attacchi.
    • Sconveniente : eseguire il processo di configurazione di un nuovo utente ogni volta che è necessario un aiuto esterno richiede molto tempo. Devi creare il nuovo utente e poi ricordarti di eliminare l'utente quando non avrà più bisogno di accedere al tuo sito web. È una best practice per la sicurezza di WordPress rimuovere tutti gli utenti inutilizzati dal tuo sito web.

    Concedere l'accesso esterno al tuo sito web: il modo migliore

    La funzione di escalation privilegi di iThemes Security Pro ti consente di concedere temporaneamente a un utente funzionalità extra.

    L'escalation dei privilegi rende facile e sicuro creare un utente universale che puoi dare a qualsiasi sviluppatore esterno o tecnico di supporto che necessita di un accesso temporaneo al tuo sito web.

    Con Privilege Escalation, è possibile creare un nuovo utente e denominarlo Supporto e assegnargli il ruolo utente Abbonato. La prossima volta che devi fornire un accesso temporaneo al tuo sito web, puoi spostare l'utente del supporto da un abbonato a un amministratore. Vedremo come eseguire questa operazione più avanti nel post, ma prima parliamo del motivo per cui l'escalation dei privilegi è un modo migliore per concedere l'accesso al tuo sito web.

    Perché l'escalation dei privilegi è migliore?

    • Facile : non devi creare un nuovo utente ogni volta che devi concedere l'accesso al tuo sito web.
    • Automatico : l'escalation dei privilegi dura solo 24 ore. Dopo 24 ore, l'utente perde automaticamente tutti i privilegi aggiuntivi. Non devi ricordarti di rimuovere gli utenti o modificare le password.
    • Nessun sacrificio nella sicurezza : puoi comunque richiedere a questo utente di supporto universale di utilizzare il metodo e-mail a due fattori per accedere, il che significa che hai lo stesso livello di sicurezza degli altri utenti amministratori. Poiché il ruolo effettivo dell'utente è un abbonato, non corri alcun rischio reale di lasciarlo sul tuo sito web.

    Come utilizzare l'escalation dei privilegi in iThemes Security Pro

    Per iniziare, abilita l' escalation privilegi nella pagina principale delle impostazioni di sicurezza.

    È possibile creare un nuovo utente e denominarlo Supporto e assegnargli il ruolo utente Abbonato. La prossima volta che devi fornire un accesso temporaneo al tuo sito web, vai alla pagina del profilo dell'utente dell'assistenza .

    Aggiorna l'indirizzo e-mail per consentire alla persona di supporto esterno di richiedere una nuova password. Quindi scorrere verso il basso fino a visualizzare le impostazioni di escalation privilegi temporanei. Fare clic sull'interruttore Imposta ruolo temporaneo e selezionare Amministratore. L'utente avrà ora accesso come amministratore per le prossime 24 ore.

    Se non hanno bisogno di tutte le 24 ore, puoi revocare l'escalation dei privilegi dalla pagina del profilo utente. Se hai bisogno di più di 24 ore, puoi impostare il numero esatto di giorni di cui hai bisogno nel campo Giorni .

    Vedere come funziona

    Un plugin di sicurezza per WordPress può aiutarti a proteggere il tuo sito web

    iThemes Security Pro, il nostro plug-in di sicurezza per WordPress, offre oltre 50 modi per proteggere e proteggere il tuo sito Web dalle vulnerabilità di sicurezza comuni di WordPress. Con WordPress, l'autenticazione a due fattori, la protezione dalla forza bruta, l'imposizione di password complesse e altro ancora, puoi aggiungere un ulteriore livello di sicurezza al tuo sito web.

    Ottieni iThemes Security Pro

    raccolta di vulnerabilità