Raccolta delle vulnerabilità di WordPress: novembre 2019, parte 1
Pubblicato: 2019-11-15Durante la prima metà di novembre sono stati divulgati diversi nuovi plugin di WordPress e vulnerabilità dei temi, quindi vogliamo tenerti informato. In questo post, trattiamo le vulnerabilità recenti di plugin e temi di WordPress e cosa fare se stai eseguendo uno dei plugin o temi vulnerabili sul tuo sito web.
Dividiamo il riepilogo delle vulnerabilità di WordPress in quattro diverse categorie:
- 1. Nucleo di WordPress
- 2. Plugin di WordPress
- 3. Temi WordPress
- 4. Violazioni da tutto il web
*Includiamo violazioni da tutto il Web perché è essenziale essere consapevoli anche delle vulnerabilità al di fuori dell'ecosistema di WordPress. Gli exploit del software del server possono esporre dati sensibili. Le violazioni del database possono esporre le credenziali degli utenti sul tuo sito, aprendo la porta agli aggressori per accedere al tuo sito.
Aggiornamento della sicurezza di base di WordPress
WordPress 5.3 è uscito questa settimana, quindi assicurati di aggiornare i tuoi siti il prima possibile. Ecco una rapida occhiata alle prime 20 nuove funzionalità e miglioramenti in WordPress 5.3.
Vulnerabilità del plugin WordPress
Diverse nuove vulnerabilità dei plugin di WordPress sono state scoperte questo ottobre. Assicurati di seguire l'azione suggerita di seguito per aggiornare il plug-in o disinstallarlo completamente.
1. SVG sicuro
Safe SVG versione 1.9.5 e precedenti è vulnerabile a un attacco Cross-Site Scripting Bypass. La vulnerabilità consente a un utente malintenzionato di aggirare la protezione aggiunta da Safe SVG.
Cosa dovresti fare
2. Cambio valuta per WooCommerce
Currency Switcher for WooCommerce versione 2.11.1 presenta una vulnerabilità Security Restrictions Bypass che consentirebbe a un utente malintenzionato di abilitare una valuta non attualmente abilitata nelle impostazioni.
Cosa dovresti fare
3. Tidio Live Chat
Tidio Live Chat versione 4.1 e precedenti è vulnerabile a una richiesta di contraffazione tra siti che porta a un attacco di script tra siti. La vulnerabilità consentirebbe a un utente malintenzionato di indurre gli amministratori ad aggiungere un payload dannoso che verrebbe presentato a tutti i visitatori.
Cosa dovresti fare
4. IgniteUp – Prossimamente e modalità di manutenzione
IgniteUp – Prossimamente e la modalità di manutenzione versione 3.4 e precedenti presenta più vulnerabilità.
- Cancellazione arbitraria di file
- Iniezione di HTML e CSRF nei messaggi di posta elettronica
- Scripting tra siti archiviati
- Divulgazione dell'indirizzo email degli abbonati
- Cancellazione arbitraria dell'abbonato
- Cambio di modello arbitrario del plugin
Cosa dovresti fare
5. Blog2Social: post e pianificazione automatica sui social media
Blog2Social: Social Media Auto Post & Scheduler versione 5.8.1 presenta una vulnerabilità di Cross-Site Scripting. La vulnerabilità consentirebbe a un utente malintenzionato di eseguire codice HTML e JavaScript arbitrario che potrebbe essere eseguito tramite un collegamento dannoso.
Cosa dovresti fare
6. WP Google Review Slider
WP Google Review Slider versione 6.1 è vulnerabile a un attacco SQL Injection autenticato.
Cosa dovresti fare
7. YITH Plugin Framework (39 plugin individuali)
La suite YITH di plug-in WooCommerce è vulnerabile a un attacco di modifica delle impostazioni autenticate. Questo grafico riassume tutti i 39 plugin YITH vulnerabili:
Riepilogo delle vulnerabilità del plugin YITH
versione 2.2.14.
versione 2.3.15.
1.3.15.
1.3.12.
1.7.1.
1.3.21.
versione 1.3.7.
versione 1.4.9.
versione 1.3.6.
versione 1.2.11.
versione 1.2.13.
versione 1.2.1.
versione 1.2.1.
versione 1.5.23.
versione 1.3.8.
alla versione 1.3.6.
alla versione 1.6.3.
alla versione 1.4.5.
aggiornalo alla versione 1.1.17.
aggiornalo alla versione 1.2.14.
aggiornalo alla versione 1.7.5.
aggiornalo alla versione 1.8.13.
dovrebbe aggiornarlo alla versione 1.1.8.
dovrebbe aggiornarlo alla versione 1.1.13.
dovrebbe aggiornarlo alla versione 1.3.13.
dovresti aggiornarlo alla versione 1.2.15.
dovresti aggiornarlo alla versione 2.0.2.
e dovresti aggiornarlo alla versione
1.3.11.
e dovresti aggiornarlo alla versione
1.3.6.
patchato, e dovresti aggiornarlo
alla versione 1.3.6.
WooCommerce
patchato, e dovresti aggiornare
alla versione 1.0.12.
Casello stradale
patchato, e dovresti aggiornare
alla versione 1.1.13.
patchato, e dovresti
aggiornalo alla versione 1.1.13.
patchato, e dovresti
aggiornalo alla versione
2.1.4.
Venditori
stato rattoppato, e tu
dovrebbe aggiornarlo a
versione 3.4.1.
e risposte
stato rattoppato, e tu
dovrebbe aggiornarlo a
versione 1.2.0.
Carrello abbandonato
è stato patchato,
e dovresti
aggiornalo alla versione
1.2.0.
Acquista per
WooCommerce
è stato patchato,
e dovresti
aggiornalo a
versione 1.2.6.
Notifiche
per
WooCommerce
vulnerabilità
è stato
rattoppato, e tu
dovrebbe aggiornarlo
alla versione
1.2.8.
Temi WordPress
1. Zoner – Tema immobiliare
Zoner Real Estate Theme versione 4.1.1 e precedenti a vulnerabilità di Cross-Site Scripting persistenti e Insecure Direct Object Reference.
Cosa dovresti fare
Come essere proattivi riguardo alle vulnerabilità dei temi e dei plugin di WordPress
L'esecuzione di software obsoleto è il motivo principale per cui i siti WordPress vengono violati. È fondamentale per la sicurezza del tuo sito WordPress che tu abbia una routine di aggiornamento. Dovresti accedere ai tuoi siti almeno una volta alla settimana per eseguire gli aggiornamenti.
Gli aggiornamenti automatici possono aiutare
Gli aggiornamenti automatici sono un'ottima scelta per i siti Web WordPress che non cambiano molto spesso. La mancanza di attenzione spesso lascia questi siti trascurati e vulnerabili agli attacchi. Anche con le impostazioni di sicurezza consigliate, l'esecuzione di software vulnerabile sul tuo sito può fornire a un utente malintenzionato un punto di accesso al tuo sito.
Utilizzando la funzione di gestione della versione del plug-in iThemes Security Pro, puoi abilitare gli aggiornamenti automatici di WordPress per assicurarti di ricevere le ultime patch di sicurezza. Queste impostazioni aiutano a proteggere il tuo sito con opzioni per l'aggiornamento automatico alle nuove versioni o per aumentare la sicurezza dell'utente quando il software del sito non è aggiornato.
Opzioni di aggiornamento per la gestione delle versioni
- Aggiornamenti WordPress: installa automaticamente l'ultima versione di WordPress.
- Aggiornamenti automatici del plug-in: installa automaticamente gli ultimi aggiornamenti del plug-in. Questo dovrebbe essere abilitato a meno che tu non mantenga attivamente questo sito su base giornaliera e installi gli aggiornamenti manualmente poco dopo il loro rilascio.
- Aggiornamenti automatici del tema: installa automaticamente gli ultimi aggiornamenti del tema. Questo dovrebbe essere abilitato a meno che il tuo tema non abbia personalizzazioni di file.
- Controllo granulare sugli aggiornamenti di plug-in e temi : potresti avere plug-in/temi che desideri aggiornare manualmente o ritardare l'aggiornamento fino a quando la versione non ha avuto il tempo di dimostrarsi stabile. Puoi scegliere Personalizzato per l'opportunità di assegnare a ciascun plug-in o tema l'aggiornamento immediato ( Abilita ), non aggiornarlo automaticamente ( Disabilita ) o aggiorna con un ritardo di un determinato numero di giorni ( Ritardo ).
Rafforzamento e allerta per problemi critici
- Rafforza il sito durante l'esecuzione di software obsoleto : aggiungi automaticamente protezioni extra al sito quando un aggiornamento disponibile non è stato installato per un mese. Il plug-in iThemes Security abiliterà automaticamente una sicurezza più rigorosa quando un aggiornamento non è stato installato per un mese. Innanzitutto, costringerà tutti gli utenti che non hanno abilitato il doppio fattore a fornire un codice di accesso inviato al proprio indirizzo e-mail prima di accedere nuovamente. In secondo luogo, disattiverà l'editor di file WP (per impedire alle persone di modificare il plug-in o il codice del tema) , XML-RPC pingback e bloccano più tentativi di autenticazione per richiesta XML-RPC (entrambi renderanno XML-RPC più forte contro gli attacchi senza doverlo disattivare completamente).
- Cerca altri vecchi siti WordPress : questo controllerà la presenza di altre installazioni di WordPress obsolete sul tuo account di hosting. Un singolo sito WordPress obsoleto con una vulnerabilità potrebbe consentire agli aggressori di compromettere tutti gli altri siti sullo stesso account di hosting.
- Invia notifiche e-mail : per problemi che richiedono un intervento, viene inviata un'e-mail agli utenti a livello di amministratore.
Violazioni da tutto il Web
1. Gli utenti di WordPress infettano i propri siti con plugin e temi piratati
Secondo WordFence, c'è stato un aumento della campagna di malvertising WP-VCD. Questo particolare malware è piuttosto fastidioso in quanto è molto difficile da rimuovere completamente da un sito infetto e può diffondersi ad altri siti WordPress sul server. La parte più frustrante per i proprietari di siti che sono stati colpiti dal malware WP-VCD è che hanno infettato il proprio sito. I proprietari di siti che hanno installato versioni gratuite e piratate di plugin e temi a pagamento, hanno ottenuto un po' più di quanto si aspettassero. Il software piratato includeva codice dannoso che creava una backdoor con un tappetino di benvenuto per il virus WP-VCD.
Il primo giorno dell'iThemes WordPress Disaster Week, abbiamo spiegato come prevenire un disastro di sicurezza. Una delle cose significative che abbiamo trattato è stata la limitazione delle opportunità di exploit PHP installando solo software da fonti attendibili. Avere un sito infetto da malware peggiora sempre quando sai che avrebbe potuto e dovuto essere prevenuto.
Riepilogo delle vulnerabilità di WordPress per
Novembre 2019, parte 1
Safe SVG versione 1.9.5 e precedenti è vulnerabile a un attacco Cross-Site Scripting Bypass.
Currency Switcher for WooCommerce versione 2.11.1 e precedenti è vulnerabile a un attacco Security Restriction Bypass.
Tidio Live Chat versione 4.1 e precedenti è vulnerabile a una richiesta di contraffazione tra siti che porta a un attacco di script tra siti.
IgniteUp – Prossimamente e la modalità di manutenzione versione 3.4 e precedenti ha piùVulnerabilità.
Blog2Social: Social Media Auto Post & Scheduler versione 5.8.1 e precedenti è vulnerabile a un attacco Cross-Site Scripting.
WP Google Review Slider versione 6.1 e precedenti è vulnerabile a un Authenticated SQL Injectionattack.
YITH Plugin Framework La suite YITH di plugin WooCommerce è vulnerabile a un attacco di modifica delle impostazioni autenticate.
Un plugin di sicurezza per WordPress può aiutarti a proteggere il tuo sito web
iThemes Security Pro, il nostro plug-in di sicurezza per WordPress, offre oltre 30 modi per proteggere e proteggere il tuo sito Web dalle vulnerabilità di sicurezza comuni di WordPress. Con l'autenticazione a due fattori di WordPress, la protezione dalla forza bruta, l'imposizione di password complesse e altro, puoi aggiungere un ulteriore livello di sicurezza al tuo sito web.
Ottieni iThemes Security Pro
Ogni settimana, Michael mette insieme il Rapporto sulla vulnerabilità di WordPress per aiutare a mantenere i tuoi siti al sicuro. In qualità di Product Manager di iThemes, ci aiuta a continuare a migliorare la gamma di prodotti iThemes. È un nerd gigante e ama imparare tutto ciò che è tecnologico, vecchio e nuovo. Puoi trovare Michael che esce con sua moglie e sua figlia, leggendo o ascoltando musica quando non lavora.
