Rapporto sulla vulnerabilità di WordPress: dicembre 2021, parte 3
Pubblicato: 2021-12-16Plugin e temi vulnerabili sono il motivo n. 1 per cui i siti Web WordPress vengono violati. Il rapporto settimanale sulle vulnerabilità di WordPress fornito da WPScan copre i recenti plugin, temi e vulnerabilità principali di WordPress e cosa fare se esegui uno dei plugin o temi vulnerabili sul tuo sito web.
Ciascuna vulnerabilità avrà un livello di gravità Basso , Medio , Alto o Critico . La divulgazione responsabile e la segnalazione delle vulnerabilità sono parte integrante della sicurezza della community di WordPress. Novità in questo rapporto: le vulnerabilità sono ora elencate in base al numero di installazioni attive, anziché alla data di divulgazione.
Condividi questo post con i tuoi amici per aiutare a spargere la voce e rendere WordPress più sicuro per tutti.
Notizie WordPress
Poiché il periodo di shopping online più intenso dell'anno è in pieno svolgimento, i criminali informatici sono stati impegnati con tentativi di "hackerare il pianeta". Wordfence ha recentemente segnalato una massiccia ondata di attacchi che hanno preso di mira 1,6 milioni di siti WordPress nel corso di sole 36 ore!
Infine, BleepingComputer ha recentemente riferito che gli hacker hanno installato codice skimmer in plug-in casuali. Per rafforzare la sicurezza per i siti di e-commerce, consigliamo di richiedere l'autenticazione a due fattori per tutti gli utenti amministratori, l'attivazione di dispositivi attendibili, il rilevamento delle modifiche ai file e la lettura e la revisione periodica dei registri di sicurezza di WordPress.
Vulnerabilità principali di WordPress
L'ultima versione del core di WordPress è la 5.8.2. Come best practice, assicurati sempre di eseguire l'ultima versione del core di WordPress!
Vulnerabilità dei plugin di WordPress
In questa sezione sono state divulgate le ultime vulnerabilità del plugin di WordPress. Ciascun elenco di plug-in include il tipo di vulnerabilità, il numero di versione se patchato e il livello di gravità.
1. Elementor
Plugin: Elementor
Vulnerabilità : DOM Cross-Site-Scripting
Installazione attiva : 5+ milioni
Patchato nella versione : 3.4.8
Punteggio di gravità : alto
2. Updraft Plus
Plugin: Updraft Plus
Vulnerabilità : Scripting incrociato riflesso
Installazione attiva : 3+ milioni
Patchato nella versione : 1.16.66
Punteggio di gravità : alto
3. Fatture WooCommerce PDF e documenti di trasporto
Plugin: WooCommerce fatture PDF e documenti di trasporto
Vulnerabilità : Scripting incrociato riflesso
Installazione attiva : oltre 300.000
Patchato nella versione : 2.10.5
Punteggio di gravità : alto
4. Funzionalità di PublishPress
Plugin: Funzionalità PublishPress
Vulnerabilità : aggiornamento delle opzioni arbitrarie non autenticate al compromesso del blog
Installazione attiva : oltre 100.000
Patchato nella versione : 2.3.1
Punteggio di gravità : critico
Plugin: PublishPress Capabilities Pro
Vulnerabilità : aggiornamento delle opzioni arbitrarie non autenticate al compromesso del blog
Patchato nella versione : 2.3.1
Punteggio di gravità : critico
5. Senza chat
Plugin: Chaty gratuito
Vulnerabilità : Scripting incrociato riflesso
Installazione attiva : oltre 100.000
Patchato nella versione : 2.8.3
Punteggio di gravità : alto
Plugin: Chaty Pro
Vulnerabilità : Scripting incrociato riflesso
Patchato nella versione : 2.8.2
Punteggio di gravità : alto
6. Componenti aggiuntivi PowerPack per Elementor
Plugin: Componenti aggiuntivi PowerPack per Elementor
Vulnerabilità : Scripting incrociato riflesso
Installazione attiva : oltre 60.000
Patchato nella versione : 2.6.2
Punteggio di gravità : alto
7. Calendario delle prenotazioni
Plugin: Calendario delle prenotazioni
Vulnerabilità : Scripting incrociato riflesso
Installazione attiva : oltre 60.000
Patchato nella versione : 8.9.2
Punteggio di gravità : alto
8. 10 Feed di foto sociali sul Web
Plugin: feed di foto social 10Web
Vulnerabilità : Scripting incrociato riflesso (XSS)
Installazione attiva : oltre 60.000
Patchato nella versione : 1.4.29
Punteggio di gravità : alto
9. Recensioni del sito
Plugin: Recensioni del sito
Vulnerabilità : scripting cross-site archiviato non autenticato
Installazione attiva : oltre 40.000
Patchato nella versione : 5.17.3
Punteggio di gravità : alto
10. Pacchetto potenziamento velocità
Plugin: Pacchetto Speed Booster
Vulnerabilità : Admin+ SQL injection
Installazione attiva : oltre 30.000
Patchato nella versione : 4.3.3.1
Punteggio di gravità : medio
11. Soluzione di mercato multivendor per WooCommerce
Plugin: soluzione di mercato multivendor per WooCommerce
Vulnerabilità : chiamate AJAX non autenticate
Installazione attiva : oltre 10.000
Patchato nella versione : 3.8.4
Punteggio di gravità : alto
12. Finestra modale
Plugin: finestra modale
Vulnerabilità : RFI che porta a RCE tramite CSRF
Installazione attiva : oltre 10.000
Patchato nella versione : 5.2.2
Punteggio di gravità : alto
13. Codificatore WP
Plugin: WP Coder
Vulnerabilità : RFI che porta a RCE tramite CSRF
Installazione attiva : oltre 10.000
Patchato nella versione : 2.5.2
Punteggio di gravità : alto
14. RegistrazioneMagic
Plugin: RegistrationMagic
Vulnerabilità : Admin+ SQL injection
Installazione attiva : oltre 10.000
Patchato nella versione : 5.0.1.6
Punteggio di gravità : medio
Plugin: RegistrationMagic
Vulnerabilità : bypass dell'autenticazione
Installazione attiva : oltre 10.000
Patchato nella versione : 5.0.1.8
Punteggio di gravità : critico
15. Eventi resi facili
Plugin: Eventi resi facili
Vulnerabilità : Abbonato + SQL injection
Installazione attiva : oltre 6.000
Patchato nella versione : 2.2.36
Punteggio di gravità : alto
16. Generatore di pulsanti
Plugin: Generatore di pulsanti
Vulnerabilità : RFI che porta a RCE tramite CSRF
Installazione attiva : oltre 5.000
Patchato nella versione : 2.3.3
Punteggio di gravità : alto
17. Scheda – Fisarmonica, FAQ
Plugin: Tab – Fisarmonica, FAQ
Vulnerabilità : chiamate AJAX non autenticate
Installazione attiva : 2000+
Patchato nella versione : 1.3.2
Punteggio di gravità : critico
18. Classificazione a stelle
Plugin: valutazione a stelle
Vulnerabilità : commenti Denial of Service
Installazione attiva : 800+
Patchato nella versione : 3.5.1
Punteggio di gravità : medio
19. WPcalc
Plugin: WPcalc
Vulnerabilità : SQL injection autenticata
Patchato nella versione : nessuna correzione nota – plug-in chiuso
Punteggio di gravità : medio
Come proteggere il tuo sito Web WordPress da temi e plugin vulnerabili
Come puoi vedere da questo rapporto, ogni settimana vengono divulgate molte nuove vulnerabilità di plugin e temi di WordPress. Sappiamo che può essere difficile rimanere aggiornati su ogni divulgazione di vulnerabilità segnalata, quindi il plug-in iThemes Security Pro rende facile assicurarsi che il tuo sito non stia eseguendo un tema, un plug-in o una versione core di WordPress con una vulnerabilità nota.
1. Installa il plug-in iThemes Security Pro
Il plug-in iThemes Security Pro rafforza il tuo sito WordPress contro i modi più comuni in cui i siti Web vengono violati. Con oltre 30 modi per proteggere il tuo sito in un plug-in facile da usare.
2. Abilita la scansione del sito per verificare la presenza di vulnerabilità note
La funzione di gestione della versione in iThemes Security Pro si integra con la scansione del sito per proteggere il tuo sito. Temi vulnerabili, plug-in e versioni principali di WordPress verranno aggiornati automaticamente per te.
3. Attivare Rilevamento modifiche file
La chiave per individuare rapidamente una violazione della sicurezza è monitorare le modifiche ai file sul tuo sito web. La funzione di rilevamento delle modifiche dei file in iThemes Security Pro eseguirà la scansione dei file del tuo sito Web e ti avviserà quando si verificano modifiche sul tuo sito Web.
Ottieni iThemes Security Pro con il monitoraggio della sicurezza del sito web 24 ore su 24, 7 giorni su 7
iThemes Security Pro, il nostro plug-in di sicurezza per WordPress, offre oltre 50 modi per proteggere e proteggere il tuo sito Web dalle comuni vulnerabilità di sicurezza di WordPress. Con WordPress, l'autenticazione a due fattori, la protezione dalla forza bruta, l'imposizione di password complesse e altro ancora, puoi aggiungere ulteriori livelli di sicurezza al tuo sito web.
