Raccolta delle vulnerabilità di WordPress: settembre 2019, parte 1

Durante la prima metà di settembre sono stati divulgati diversi nuovi plugin di WordPress e vulnerabilità dei temi, quindi vogliamo tenerti informato. In questo post, trattiamo le vulnerabilità recenti di plugin e temi di WordPress e cosa fare se stai eseguendo uno dei plugin o temi vulnerabili sul tuo sito web.

Dividiamo il riepilogo delle vulnerabilità di WordPress in quattro diverse categorie:

• 1. Nucleo di WordPress
• 2. Plugin WordPress
• 3. Temi WordPress
• 4. Violazioni dal Web

* Includiamo violazioni da tutto il Web perché è essenziale essere consapevoli anche delle vulnerabilità al di fuori dell'ecosistema WordPress. Gli exploit del software del server possono esporre dati sensibili. Le violazioni del database possono esporre le credenziali degli utenti sul tuo sito, aprendo la porta agli aggressori per accedere al tuo sito.

Vulnerabilità principali di WordPress

Correzioni di sicurezza in WordPress 5.2.3

• Complimenti a Simon Scannell di RIPS Technologies per aver trovato e divulgato due problemi. La prima, una vulnerabilità di cross-site scripting (XSS) trovata nelle anteprime dei post dai contributori. Il secondo era una vulnerabilità di scripting tra siti nei commenti archiviati.
• Complimenti a Tim Coen per aver rivelato un problema in cui la convalida e la sanificazione di un URL potrebbe portare a un reindirizzamento aperto.
• Puntelli ad Anshul Jain per la divulgazione di script cross-site riflessi durante i caricamenti dei media.
• Puntelli a Zhouyuan Yang dei FortiGuard Labs di Fortinet che ha rivelato una vulnerabilità per lo scripting cross-site (XSS) nelle anteprime degli shortcode.
• Sostegno a Ian Dunn del Core Security Team per aver trovato e divulgato un caso in cui è stato possibile trovare nella dashboard lo scripting cross-site riflesso.
• Ringraziamo Soroush Dalili (@irsdl) di NCC Group per aver rivelato un problema con la sanificazione degli URL che può portare ad attacchi di scripting cross-site (XSS).
• Oltre alle modifiche di cui sopra, stiamo anche aggiornando jQuery su versioni precedenti di WordPress. Questa modifica è stata aggiunta nella 5.2.1 e ora viene portata nelle versioni precedenti.

Vulnerabilità del plugin WordPress

A settembre sono state scoperte diverse nuove vulnerabilità dei plugin di WordPress. Assicurati di seguire l'azione suggerita di seguito per aggiornare il plug-in o disinstallarlo completamente.

1. Galleria fotografica di 10Web

Photo Gallery di 10Web versione 1.5.34 e precedenti del plugin è vulnerabile a un attacco SQL Injection e Cross-Site Scripting.

Cosa dovresti fare

2. Gestione avanzata degli accessi

Advanced Acess Manager versione 5.9.8.1 e precedenti include una vulnerabilità di accesso e download arbitrario ai file.

Cosa dovresti fare

3. Biglietti per eventi

I biglietti evento versione 4.10.7.1 e precedenti sono vulnerabili a un'iniezione CSV.

Cosa dovresti fare

4. Escludi ricerca

La ricerca Exclude versione 1.2.2 e precedenti è vulnerabile a una modifica arbitraria delle impostazioni.

Cosa dovresti fare

5. SollevatoreLMS

LifterLMS versione 3.34.5 e precedenti è vulnerabile a una vulnerabilità di importazione di opzioni non autenticate.

Cosa dovresti fare

6. Aggiornamenti dei contenuti

Gli aggiornamenti del contenuto versione 2.0.4 e precedenti sono vulnerabili a una vulnerabilità di Cross-Site Scripting.

Cosa dovresti fare

7. Qwizcard

Qwizcards versione 3.36 e precedenti è vulnerabile a un attacco di scripting incrociato riflesso non autenticato.

Cosa dovresti fare

8. Lista di controllo

L'elenco di controllo versione 1.1.5 e precedenti è vulnerabile a un attacco di scripting incrociato riflesso non autenticato.

Cosa dovresti fare

9. Pagamenti a sorpresa per WooCommerce

Spryng Payments per WooCommerce versione 1.6.7 e precedenti è vulnerabile a un attacco Cross-Site Scripting.

Cosa dovresti fare

10. Portrait-Archiv.com Photostore

Portrait-Archiv.com Photostore versione 5.0.4 e precedenti è vulnerabile a un attacco Cross-Site Scripting.

Cosa dovresti fare

11. Logistica ECPay per WooCommerce

ECPay Logistics per WooCommerce versione 1.2.181030 e precedenti è vulnerabile a un attacco Cross-Site Scripting.

Cosa dovresti fare

12. Tecnologia della presenza umana di ellissi

Ellipsis Human Presence Technology versione 2.0.8 e precedenti è vulnerabile a un attacco di scripting incrociato riflesso non autenticato.

Cosa dovresti fare

13. SlickQuiz

SlickQuiz versione 1.6.7 e precedenti è vulnerabile a un attacco Cross-Site Scripting e SQL Injection.

Cosa dovresti fare

Temi WordPress

Come essere proattivi riguardo alle vulnerabilità dei temi e dei plugin di WordPress

L'esecuzione di software obsoleto è il motivo principale per cui i siti WordPress vengono violati. È fondamentale per la sicurezza del tuo sito WordPress che tu abbia una routine di aggiornamento. Dovresti accedere ai tuoi siti almeno una volta alla settimana per eseguire gli aggiornamenti.

Gli aggiornamenti automatici possono aiutare

Gli aggiornamenti automatici sono un'ottima scelta per i siti Web WordPress che non cambiano molto spesso. La mancanza di attenzione spesso lascia questi siti trascurati e vulnerabili agli attacchi. Anche con le impostazioni di sicurezza consigliate, l'esecuzione di software vulnerabile sul tuo sito può fornire a un utente malintenzionato un punto di accesso al tuo sito.

Utilizzando la funzione di gestione della versione del plug-in iThemes Security Pro, puoi abilitare gli aggiornamenti automatici di WordPress per assicurarti di ricevere le ultime patch di sicurezza. Queste impostazioni aiutano a proteggere il tuo sito con opzioni per l'aggiornamento automatico alle nuove versioni o per aumentare la sicurezza dell'utente quando il software del sito non è aggiornato.

Opzioni di aggiornamento per la gestione delle versioni

• Aggiornamenti WordPress: installa automaticamente l'ultima versione di WordPress.
• Aggiornamenti automatici del plug-in: installa automaticamente gli ultimi aggiornamenti del plug-in. Questo dovrebbe essere abilitato a meno che tu non mantenga attivamente questo sito su base giornaliera e installi gli aggiornamenti manualmente poco dopo il loro rilascio.
• Aggiornamenti automatici del tema: installa automaticamente gli ultimi aggiornamenti del tema. Questo dovrebbe essere abilitato a meno che il tuo tema non abbia personalizzazioni di file.
• Controllo granulare sugli aggiornamenti di plug-in e temi : potresti avere plug-in/temi che desideri aggiornare manualmente o ritardare l'aggiornamento fino a quando la versione non ha avuto il tempo di dimostrarsi stabile. Puoi scegliere Personalizzato per l'opportunità di assegnare a ciascun plug-in o tema l'aggiornamento immediato ( Abilita ), non aggiornarlo automaticamente ( Disabilita ) o aggiorna con un ritardo di un determinato numero di giorni ( Ritardo ).

Rafforzamento e allerta per problemi critici

• Rafforza il sito durante l'esecuzione di software obsoleto : aggiungi automaticamente protezioni extra al sito quando un aggiornamento disponibile non è stato installato per un mese. Il plug-in iThemes Security abiliterà automaticamente una sicurezza più rigorosa quando un aggiornamento non è stato installato per un mese. Innanzitutto, costringerà tutti gli utenti che non hanno abilitato il doppio fattore a fornire un codice di accesso inviato al proprio indirizzo e-mail prima di accedere nuovamente. In secondo luogo, disattiverà l'editor di file WP (per impedire alle persone di modificare il plug-in o il codice del tema) , XML-RPC esegue il pingback e blocca più tentativi di autenticazione per richiesta XML-RPC (entrambi renderanno XML-RPC più forte contro gli attacchi senza doverlo disattivare completamente).
• Cerca altri vecchi siti WordPress : questo controllerà la presenza di altre installazioni di WordPress obsolete sul tuo account di hosting. Un singolo sito WordPress obsoleto con una vulnerabilità potrebbe consentire agli aggressori di compromettere tutti gli altri siti sullo stesso account di hosting.
• Invia notifiche e-mail : per problemi che richiedono un intervento, viene inviata un'e-mail agli utenti a livello di amministratore.

Violazioni da tutto il Web

1. L'account Twitter di Jack Dorsey è stato hackerato

Jack Dorsey, CEO di Twitter, è stato vittima di un attacco di scambio di SIM. Un SIM Swap è quando un utente malintenzionato collabora con il tuo provider di telefonia mobile per trasferire il tuo telefono su un altro telefono. Dopo aver rilevato il tuo numero di telefono, l'attore malintenzionato può ricevere i tuoi codici a due fattori SMS.

Dopo che il gruppo di hacker della Chuckling Squad ha preso il controllo del numero di cellulare di Dorsey, è stato in grado di utilizzare Cloudhopper per inviare i tweet. Cloudhopper è una società precedentemente acquisita da Twitter per rendere più facile per le persone twittare tramite messaggi di testo.

2. Vulnerabilità di phpMyAdmin

La versione PHP 4.9.0.1 è vulnerabile a un nuovo attacco Cross-Site Request Forgery ed è uno Zero-day. La vulnerabilità consentirà a un utente malintenzionato di attivare un attacco CSRF contro un utente phpMyAdmin che elimina qualsiasi server nella pagina di configurazione.

Assicurati di aggiornare phpMyAdmin dopo il rilascio di una patch di sicurezza.

Un plugin di sicurezza per WordPress può aiutarti a proteggere il tuo sito web

iThemes Security Pro, il nostro plug-in di sicurezza per WordPress, offre oltre 30 modi per proteggere e proteggere il tuo sito Web dalle vulnerabilità di sicurezza comuni di WordPress. Con l'autenticazione a due fattori di WordPress, la protezione dalla forza bruta, l'imposizione di password complesse e altro, puoi aggiungere un ulteriore livello di sicurezza al tuo sito web.

Ottieni iThemes Security Pro

Michael Moore

Ogni settimana, Michael mette insieme il Rapporto sulla vulnerabilità di WordPress per aiutare a mantenere i tuoi siti al sicuro. In qualità di Product Manager di iThemes, ci aiuta a continuare a migliorare la gamma di prodotti iThemes. È un nerd gigante e ama imparare tutto ciò che è tecnologico, vecchio e nuovo. Puoi trovare Michael che esce con sua moglie e sua figlia, leggendo o ascoltando musica quando non lavora.