Raccolta delle vulnerabilità di WordPress: giugno 2020, parte 1
Pubblicato: 2020-08-18Durante la prima metà di giugno sono stati resi noti nuovi plugin di WordPress e vulnerabilità dei temi, quindi vogliamo tenerti informato. In questo post, trattiamo i recenti plugin di WordPress, i temi e le vulnerabilità principali e cosa fare se stai eseguendo uno dei plugin o temi vulnerabili sul tuo sito web.
Il riepilogo delle vulnerabilità di WordPress è diviso in tre diverse categorie:
- Nucleo di WordPress
- Plugin WordPress
- Temi WordPress
Ogni vulnerabilità avrà un grado di minaccia basso , medio , alto o critico .
Vulnerabilità principali di WordPress
1. Aggiornamento a WordPress 5.4.2 – Critico
La versione 5.4.2 di WordPress è ora disponibile. Si tratta di un'importante versione di sicurezza e manutenzione. Le versioni precedenti sono interessate da più bug di sicurezza, che sono stati corretti nella versione 5.4.2. Se non hai ancora aggiornato alla 5.4, esistono anche versioni aggiornate della 5.3 e precedenti che risolvono i problemi di sicurezza.
Puoi scaricare WordPress 5.4.2 da WordPress.org o visitare la dashboard di amministrazione di WP > Aggiornamenti e fare clic su Aggiorna ora . Se disponi di siti che supportano gli aggiornamenti automatici in background, dovrebbero essere già stati aggiornati.
Vulnerabilità del plugin WordPress
Finora sono state scoperte diverse nuove vulnerabilità dei plugin di WordPress questo mese. Assicurati di seguire l'azione suggerita di seguito per aggiornare il plug-in o disinstallarlo completamente.
1. Trascina e rilascia il caricamento di più file per il modulo di contatto 7 - Critico
Trascina e rilascia il caricamento di più file per le versioni Contact Form 7 inferiori alla 1.3.3.3 presentano una vulnerabilità di bypass caricamento file non autenticato.
2. Page Builder: PageLayer – Trascina e rilascia il costruttore di siti Web – Alto
Page Builder: PageLayer – Le versioni del generatore di siti Web Drag and Drop inferiori alla 1.1.2 hanno un AJAX non protetto che porta a XSS e un CSRF che porta a vulnerabilità XSS.
3. Mappe MapPress – Critiche
Le versioni di MapPress Maps inferiori alla 2.54.6 presentano una vulnerabilità di Verifiche di capacità improprie nelle chiamate AJAX.
4. Griglia delle tessere finali della galleria fotografica delle immagini – Critico
Image Photo Gallery Final Tiles Grid versioni precedenti alla 3.4.19 presentano una vulnerabilità di Authenticated Stored Cross-Site Scripting.
5. bbPress – Critico
Le versioni di bbPress inferiori alla 2.6.5 presentano una vulnerabilità di escalation dei privilegi non autenticata quando è abilitata la registrazione del nuovo utente.
6. Multi-schedulatore – Alto
Tutte le versioni di Multi Scheduler hanno una cancellazione arbitraria dei record tramite vulnerabilità CSRF.
7. Ricerca di lavoro – Alta
Le versioni di JobSearch precedenti alla 1.5.1 presentano una vulnerabilità di Reflected Cross-Site Scripting non autenticato.
8. AdRotate – Medio
Le versioni di AdRotate precedenti alla 5.8.4 presentano una vulnerabilità di Authenticated SQL Injection.
9. Elementor Page Builder – Alto
Le versioni di Elementor Page Builder inferiori alla 2.9.10 presentano una vulnerabilità XSS memorizzata autenticata.
10. SportsPress – Alto
Le versioni di SportsPress precedenti alla 2.7.2 presentano una vulnerabilità di Authenticated Stored Cross-Site Scripting.
Temi WordPress
1. Carriera – Alta
Le versioni Careerfy inferiori alla 3.9.0 presentano una vulnerabilità di Reflected Cross-Site Scripting non autenticato.
2. Giornale – Alto
Le versioni dei giornali precedenti alla 10.3.4 presentano una vulnerabilità Authenticated Reflected Cross-Site Scripting.
Nuovo! Proteggi il tuo sito Web WordPress con iThemes Security Site Scan.
Sapevi che il 60% delle violazioni dei siti Web riguarda vulnerabilità per le quali una patch era disponibile ma non applicata? Ciò significa che avere un software con vulnerabilità note installato sul tuo sito offre agli hacker i progetti di cui hanno bisogno per prendere il controllo del tuo sito.
Ogni giorno, diventa sempre più difficile tenere traccia di ogni vulnerabilità di WordPress divulgata . Devi confrontare quell'elenco con le versioni di plugin e temi che hai installato sul tuo sito... e assicurarti di essere costantemente aggiornato.
Per risolvere questo problema, oggi siamo lieti di annunciare che il plug-in iThemes Security Pro sta implementando un modo migliore per proteggere i tuoi siti dalle vulnerabilità del software , il colpevole numero uno dei siti WordPress compromessi e compromessi.
Il nuovo e migliorato WordPress Security Site Scan basato su iThemes esegue controlli automatici per le vulnerabilità note del sito Web e, se è disponibile una patch, iThemes Security Pro ora applicherà automaticamente la correzione per te ... quindi non è necessario. Wow. è un po' di tranquillità.
Un plugin di sicurezza per WordPress può aiutarti a proteggere il tuo sito web
iThemes Security Pro, il nostro plug-in di sicurezza per WordPress, offre oltre 30 modi per proteggere e proteggere il tuo sito Web dalle vulnerabilità di sicurezza comuni di WordPress. Con WordPress, l'autenticazione a due fattori, la protezione dalla forza bruta, l'imposizione di password complesse e altro ancora, puoi aggiungere un ulteriore livello di sicurezza al tuo sito web.
Ogni settimana, Michael mette insieme il Rapporto sulla vulnerabilità di WordPress per aiutare a mantenere i tuoi siti al sicuro. In qualità di Product Manager di iThemes, ci aiuta a continuare a migliorare la gamma di prodotti iThemes. È un nerd gigante e ama imparare tutto ciò che è tecnologico, vecchio e nuovo. Puoi trovare Michael che esce con sua moglie e sua figlia, leggendo o ascoltando musica quando non lavora.
