Rapporto sulla vulnerabilità di WordPress: dicembre 2021, parte 1

Pubblicato: 2021-12-02

Plugin e temi vulnerabili sono il motivo n. 1 per cui i siti Web WordPress vengono violati. Il rapporto settimanale sulle vulnerabilità di WordPress fornito da WPScan copre i recenti plugin, temi e vulnerabilità principali di WordPress e cosa fare se esegui uno dei plugin o temi vulnerabili sul tuo sito web.

Ciascuna vulnerabilità avrà un livello di gravità Basso , Medio , Alto o Critico . La divulgazione responsabile e la segnalazione delle vulnerabilità sono parte integrante della sicurezza della community di WordPress.

Condividi questo post con i tuoi amici per aiutare a spargere la voce e rendere WordPress più sicuro per tutti.

Vuoi ricevere questo rapporto nella tua casella di posta ogni settimana?

Iscriviti all'e-mail settimanale

Hosting WordPress: GoDaddy hackerato

In un'informativa sulla sicurezza pubblicata il 21 novembre 2021, GoDaddy afferma che fino a 1,2 milioni di clienti attivi e inattivi sono stati esposti dopo che gli hacker hanno ottenuto l'accesso alla sua piattaforma di hosting WordPress gestita.

Abbiamo scritto un post per decomprimere alcuni dei dettagli del recente hack di GoDaddy, come influisce sui clienti e i nostri consigli su cosa fare se sei un cliente di hosting WordPress su GoDaddy.

Leggi il post

Vulnerabilità principali di WordPress

L'ultima versione del core di WordPress è la 5.8.2. Come best practice, assicurati sempre di eseguire l'ultima versione del core di WordPress!

Vulnerabilità dei plugin di WordPress

In questa sezione sono state divulgate le ultime vulnerabilità del plugin di WordPress. Ciascun elenco di plug-in include il tipo di vulnerabilità, il numero di versione se patchato e il livello di gravità.

1. Carosello del logo

Plugin: Logo Carousel
Vulnerabilità : Contributor+ Scripting cross-site archiviato
Patchato nella versione : 3.4.2
Punteggio di gravità : medio

La vulnerabilità è stata corretta, quindi è necessario eseguire l'aggiornamento alla versione 3.4.2.

Plugin: Logo Carousel
Vulnerabilità : accesso privato non autorizzato alla posta
Patchato nella versione : 3.4.2
Punteggio di gravità : medio

La vulnerabilità è stata corretta, quindi è necessario eseguire l'aggiornamento alla versione 3.4.2.

2. Stato dell'ordine personalizzato Ni WooCommerce

Plugin: Stato dell'ordine personalizzato Ni WooCommerce
Vulnerabilità : Abbonato + SQL injection
Patchato nella versione : 1.9.7
Punteggio di gravità : alto

La vulnerabilità è stata corretta, quindi è necessario eseguire l'aggiornamento alla versione 1.9.7.

3. WCFM

Plugin: WCFM
Vulnerabilità : SQL injection non autenticata
Patchato nella versione : 3.4.12
Punteggio di gravità : alto

La vulnerabilità è stata corretta, quindi è necessario eseguire l'aggiornamento alla versione 3.4.12.

4. Forme dell'Everest

Plugin: Everest Forms
Vulnerabilità : Scripting incrociato riflesso
Patchato nella versione : 1.8.0
Punteggio di gravità : medio

La vulnerabilità è stata corretta, quindi è necessario eseguire l'aggiornamento alla versione 1.8.0.

5. Statistiche sui visitatori del WP (traffico in tempo reale)

Plugin: Statistiche dei visitatori WP (traffico in tempo reale)
Vulnerabilità : Abbonato + SQL injection
Patchato nella versione : 4.8
Punteggio di gravità : alto

La vulnerabilità è stata corretta, quindi è necessario eseguire l'aggiornamento alla versione 4.8.

6. Donazioni di complimenti

Plugin: Kudos Donazioni
Vulnerabilità : eliminazione di elementi arbitrari tramite CSRF
Patchato nella versione : 3.1.2
Punteggio di gravità : alto

La vulnerabilità è stata corretta, quindi è necessario eseguire l'aggiornamento alla versione 3.1.2.

7. Icegramma

Plugin: Icegram
Vulnerabilità : Scripting incrociato riflesso
Patchato nella versione : 2.0.5
Punteggio di gravità : medio

La vulnerabilità è stata corretta, quindi è necessario eseguire l'aggiornamento alla versione 2.0.5.

8. Blog2Social

Plugin: Blog2Social
Vulnerabilità : Scripting incrociato riflesso
Patchato nella versione : 6.8.7
Punteggio di gravità : alto

La vulnerabilità è stata corretta, quindi è necessario eseguire l'aggiornamento alla versione 6.8.7.

9. Abbonamenti a pagamento Pro

Plugin: Abbonamenti a pagamento Pro
Vulnerabilità : Scripting incrociato riflesso
Patchato nella versione : 2.6.6
Punteggio di gravità : alto

La vulnerabilità è stata corretta, quindi è necessario eseguire l'aggiornamento alla versione 2.6.6.

10. Editor ruoli utente WPFront

Plugin: Editor ruoli utente WPFront
Vulnerabilità : Scripting incrociato riflesso
Patchato nella versione : 3.2.1.11184
Punteggio di gravità : medio

La vulnerabilità è stata corretta, quindi è necessario eseguire l'aggiornamento alla versione 3.2.1.11184.

11. Ticker

Plugin: Tickera
Vulnerabilità : scripting cross-site archiviato non autenticato
Patchato nella versione : 3.4.8.3
Punteggio di gravità : alto

La vulnerabilità è stata corretta, quindi è necessario eseguire l'aggiornamento alla versione 3.4.8.3.

12. WP Guppy

Plugin: WP Guppy
Vulnerabilità : Divulgazione di informazioni sensibili
Patchato nella versione : 1.3
Punteggio di gravità : alto

La vulnerabilità è stata corretta, quindi è necessario eseguire l'aggiornamento alla versione 1.3.

13. Accesso JWT semplice

Plugin: semplice accesso JWT
Vulnerabilità : creazione di password non sicura
Patchato nella versione : 3.3.0
Punteggio di gravità : basso

La vulnerabilità è stata corretta, quindi è necessario eseguire l'aggiornamento alla versione 3.3.0.

14. mioCRED

Plugin: myCRED
Vulnerabilità : Scripting incrociato riflesso
Patchato nella versione : 1.7.8
Punteggio di gravità : alto

La vulnerabilità è stata corretta, quindi è necessario eseguire l'aggiornamento alla versione 1.7.8.

15. Nascondi il mio WP

Plugin: Nascondi il mio WP
Vulnerabilità : disattivazione del plug-in non autenticato
Patchato nella versione : 6.2.4
Punteggio di gravità : medio

La vulnerabilità è stata corretta, quindi è necessario eseguire l'aggiornamento alla versione 6.2.4.

Plugin: Nascondi il mio WP
Vulnerabilità : SQL injection non autenticata
Patchato nella versione : 6.2.4
Punteggio di gravità : alto

La vulnerabilità è stata corretta, quindi è necessario eseguire l'aggiornamento alla versione 6.2.4.

16. Fantastico supporto: WordPress HelpDesk e plug-in di supporto

Plugin: supporto eccezionale – WordPress HelpDesk e plug-in di supporto
Vulnerabilità : Scripting incrociato riflesso
Patchato nella versione : 6.0.7
Punteggio di gravità : alto

La vulnerabilità è stata corretta, quindi è necessario eseguire l'aggiornamento alla versione 6.0.7.

17. Visualizza i metadati dei post

Plugin: Visualizza i metadati dei post
Vulnerabilità : Contributor+ Scripting cross-site archiviato
Patchato nella versione : 1.5.0
Punteggio di gravità : medio

La vulnerabilità è stata corretta, quindi è necessario eseguire l'aggiornamento alla versione 1.5.0.

18. Icona mobile dei social media

Plugin: icona mobile dei social media
Vulnerabilità : Admin+ Script tra siti archiviati
Patchato nella versione : nessuna correzione nota – plug-in chiuso
Punteggio di gravità : basso

Questa vulnerabilità NON è stata corretta. Questo plugin è stato chiuso il 27 ottobre 2021. Disinstalla ed elimina.

19. Libro degli ospiti di Gwolle

Plugin: Gwolle Guestbook
Vulnerabilità : Scripting incrociato riflesso
Patchato nella versione : 4.2.0
Punteggio di gravità : medio

La vulnerabilità è stata corretta, quindi è necessario eseguire l'aggiornamento alla versione 4.2.0.

Come proteggere il tuo sito Web WordPress da temi e plugin vulnerabili

Come puoi vedere da questo rapporto, ogni settimana vengono divulgate molte nuove vulnerabilità di plugin e temi di WordPress. Sappiamo che può essere difficile rimanere aggiornati su ogni divulgazione di vulnerabilità segnalata, quindi il plug-in iThemes Security Pro rende facile assicurarsi che il tuo sito non stia eseguendo un tema, un plug-in o una versione core di WordPress con una vulnerabilità nota.

1. Installa il plug-in iThemes Security Pro

Il plug-in iThemes Security Pro rafforza il tuo sito WordPress contro i modi più comuni in cui i siti Web vengono violati. Con oltre 30 modi per proteggere il tuo sito in un plug-in facile da usare.

2. Abilita la scansione del sito per verificare la presenza di vulnerabilità note

La funzione di gestione della versione in iThemes Security Pro si integra con la scansione del sito per proteggere il tuo sito. Temi vulnerabili, plug-in e versioni principali di WordPress verranno aggiornati automaticamente per te.

3. Attivare Rilevamento modifiche file

La chiave per individuare rapidamente una violazione della sicurezza è monitorare le modifiche ai file sul tuo sito web. La funzione di rilevamento delle modifiche dei file in iThemes Security Pro eseguirà la scansione dei file del tuo sito Web e ti avviserà quando si verificano modifiche sul tuo sito Web.

Ottieni iThemes Security Pro con il monitoraggio della sicurezza del sito web 24 ore su 24, 7 giorni su 7

iThemes Security Pro, il nostro plug-in di sicurezza per WordPress, offre oltre 50 modi per proteggere e proteggere il tuo sito Web dalle comuni vulnerabilità di sicurezza di WordPress. Con WordPress, l'autenticazione a due fattori, la protezione dalla forza bruta, l'imposizione di password complesse e altro ancora, puoi aggiungere ulteriori livelli di sicurezza al tuo sito web.

Scanner del sito per vulnerabilità di plugin e temi
Rilevamento delle modifiche ai file
Dashboard di sicurezza del sito Web in tempo reale
Registri di sicurezza di WordPress
Dispositivi affidabili
reCAPTCHA
Protezione dalla forza bruta
Autenticazione a due fattori
Link di accesso magici
Aumento dei privilegi
Controllo e rifiuto di password compromesse