Rapporto sulla vulnerabilità di WordPress: dicembre 2021, parte 4
Pubblicato: 2022-01-06Plugin e temi vulnerabili sono il motivo n. 1 per cui i siti Web WordPress vengono violati. Il rapporto settimanale sulle vulnerabilità di WordPress fornito da WPScan copre i recenti plugin, temi e vulnerabilità principali di WordPress e cosa fare se esegui uno dei plugin o temi vulnerabili sul tuo sito web.
Ciascuna vulnerabilità avrà un livello di gravità Basso , Medio , Alto o Critico . La divulgazione responsabile e la segnalazione delle vulnerabilità sono parte integrante della sicurezza della community di WordPress. Novità in questo rapporto: le vulnerabilità sono ora elencate in base al numero di installazioni attive, anziché alla data di divulgazione.
Condividi questo post con i tuoi amici per aiutare a spargere la voce e rendere WordPress più sicuro per tutti.
Vulnerabilità principali di WordPress
L'ultima versione del core di WordPress è la 5.8.2. Come best practice, assicurati sempre di eseguire l'ultima versione del core di WordPress!
Vulnerabilità dei plugin di WordPress
In questa sezione sono state divulgate le ultime vulnerabilità del plugin di WordPress. Ciascun elenco di plug-in include il tipo di vulnerabilità, le installazioni attive, il numero di versione se patchato e il livello di gravità.
1. Tutto in uno SEO
Plugin: All In One SEO
Vulnerabilità : SQL injection autenticata
Installazione attiva : 3+ milioni
Patchato nella versione : 4.1.5.3
Punteggio di gravità : alto
Plugin: All In One SEO
Vulnerabilità : escalation dei privilegi autenticati
Installazione attiva : 3+ milioni
Patchato nella versione : 4.1.5.3
Punteggio di gravità : critico
2. Smash Balloon Social Post Feed
Plugin: Smash Balloon Social Post Feed
Vulnerabilità : Authenticated Reflected Cross-Site Scripting (XSS)
Installazione attiva : oltre 200.000
Patchato nella versione : 4.1.1
Punteggio di gravità : medio
3. Calendario eventi moderno Lite
Plugin: Calendario eventi moderno Lite
Vulnerabilità : Abbonato+ Categoria Aggiungi Leading to Stored XSS
Installazione attiva : oltre 100.000
Patchato nella versione : 6.2.0
Punteggio di gravità : medio
4. LEGNE
Plugin: WOOCS
Vulnerabilità : Scripting incrociato riflesso
Installazione attiva : oltre 60.000
Patchato nella versione : 1.3.7.3
Punteggio di gravità : alto
5. Chat dal vivo nitida
Plugin: Chat dal vivo nitida
Vulnerabilità : CSRF allo scripting cross-site archiviato
Installazione attiva : oltre 60.000
Patchato nella versione : 0.32
Punteggio di gravità : alto
6. Effetti al passaggio dell'immagine definitivi
Plugin: Effetti al passaggio dell'immagine Ultimate
Vulnerabilità : aggiornamento dell'opzione arbitraria non autenticato
Installazione attiva : oltre 20.000
Patchato nella versione : 9.7.0
Punteggio di gravità : critico
7. Sistema di prenotazione WP – Calendario delle prenotazioni
Plugin: WP Booking System – Calendario delle prenotazioni
Vulnerabilità : Authenticated Reflected Cross-Site Scripting (XSS)
Installazione attiva : oltre 10.000
Patchato nella versione : 2.0.15
Punteggio di gravità : medio
8. Generatore di pagine di destinazione
Plugin: Generatore di pagine di destinazione
Vulnerabilità : Authenticated Reflected Cross-Site Scripting (XSS)
Installazione attiva : oltre 10.000
Patchato nella versione : 1.4.9.6
Punteggio di gravità : medio
9. Analisi a sproposito
Plugin: Fathom Analytics
Vulnerabilità : Admin+ Script tra siti archiviati
Installazione attiva : 2000+
Patchato nella versione : 3.0.5
Punteggio di gravità : basso
10. Vero classificatore
Plugin: True Ranker
Vulnerabilità : accesso arbitrario non autenticato ai file tramite Path Traversal
Installazione attiva : 200+
Patchato nella versione : 2.2.4
Punteggio di gravità : basso
Vulnerabilità del plug-in di WordPress: plug-in chiuso
In questa sezione, le ultime vulnerabilità dei plugin di WordPress sono state divulgate nei plugin chiusi. Ciascun elenco di plug-in include il tipo di vulnerabilità, il livello di gravità e la data di chiusura.
11. Motore di commenti Pro
Plugin: Comment Engine Pro
Vulnerabilità : Editor + Script tra siti archiviati
Patchato nella versione : nessuna correzione nota – plug-in chiuso
Punteggio di gravità : basso
12. Reindirizzamento .htaccess
Plugin: reindirizzamento .htaccess
Vulnerabilità : Scripting incrociato riflesso
Patchato nella versione : nessuna correzione nota – plug-in chiuso
Punteggio di gravità : alto
13. Gateway Parsian Bank per Woocommerce
Plugin: Parsian Bank Gateway per Woocommerce
Vulnerabilità : Scripting incrociato riflesso
Patchato nella versione : nessuna correzione nota – plug-in chiuso
Punteggio di gravità : alto
14. WYSIWYG reale
Plugin: WYSIWYG reale
Vulnerabilità : Scripting incrociato riflesso
Patchato nella versione : nessuna correzione nota – plug-in chiuso
Punteggio di gravità : alto
15. Gestore elenco collegamenti
Plugin: Gestore elenco collegamenti
Vulnerabilità : Scripting incrociato riflesso
Patchato nella versione : nessuna correzione nota – plug-in chiuso
Punteggio di gravità : alto
16. Galleria di immagini semplice
Plugin: Galleria di immagini semplice
Vulnerabilità : Scripting incrociato riflesso
Patchato nella versione : nessuna correzione nota – plug-in chiuso
Punteggio di gravità : alto
17. WooCommerce EnvioPack
Plugin: WooCommerce EnvioPack
Vulnerabilità : Scripting incrociato riflesso
Patchato nella versione : nessuna correzione nota – plug-in chiuso
Punteggio di gravità : alto
18. Voce del Post Magico
Plugin: Magic Post Voice
Vulnerabilità : Scripting incrociato riflesso
Patchato nella versione : nessuna correzione nota – plug-in chiuso
Punteggio di gravità : alto
19. Editor CSS H5P
Plugin: Editor CSS H5P
Vulnerabilità : Scripting incrociato riflesso
Patchato nella versione : nessuna correzione nota – plug-in chiuso
Punteggio di gravità : alto
20. duoDomande frequenti
Plugin: duoFAQ
Vulnerabilità : Scripting incrociato riflesso
Patchato nella versione : nessuna correzione nota – plug-in chiuso
Punteggio di gravità : alto
21. Voce del Post Magico
Plugin: Magic Post Voice
Vulnerabilità : Scripting incrociato riflesso
Patchato nella versione : nessuna correzione nota – plug-in chiuso
Punteggio di gravità : alto
22. Gateway di pagamento myghpay di WooCommerce
Plugin: WooCommerce myghpay Gateway di pagamento
Vulnerabilità : Scripting incrociato riflesso
Patchato nella versione : nessuna correzione nota – plug-in chiuso
Punteggio di gravità : alto
Vulnerabilità dei plugin premium
In questa sezione sono state divulgate le ultime vulnerabilità del plugin premium di WordPress. Ciascun elenco di plug-in include il tipo di vulnerabilità, il numero di versione se patchato e il livello di gravità.
23. I componenti aggiuntivi Plus per Elementor Pro
Plugin: i componenti aggiuntivi Plus per Elementor – Pro
Vulnerabilità : Divulgazione di Dati Sensibili
Patchato nella versione : 5.0.7
Punteggio di gravità : medio
Plugin: i componenti aggiuntivi Plus per Elementor – Pro
Vulnerabilità : SQL injection non autenticata
Patchato nella versione : 5.0.7
Punteggio di gravità : medio
24. Consente Box
Plugin: Lets Box
Vulnerabilità : Scripting incrociato riflesso
Patchato nella versione : 1.13.3
Punteggio di gravità : medio
25. Condividi un'unità
Plugin: Condividi un'unità
Vulnerabilità : Scripting incrociato riflesso
Patchato nella versione : 1.15.3
Punteggio di gravità : medio
26. Fuori dagli schemi
Plugin: fuori dagli schemi
Vulnerabilità : Scripting incrociato riflesso
Patchato nella versione : 1.20.3
Punteggio di gravità : medio
27. Usa il tuo disco
Plugin: usa il tuo disco
Vulnerabilità : Scripting incrociato riflesso
Patchato nella versione : 1.18.3
Punteggio di gravità : medio
Come proteggere il tuo sito Web WordPress da temi e plugin vulnerabili
Come puoi vedere da questo rapporto, ogni settimana vengono divulgate molte nuove vulnerabilità di plugin e temi di WordPress. Sappiamo che può essere difficile rimanere aggiornati su ogni divulgazione di vulnerabilità segnalata, quindi il plug-in iThemes Security Pro rende facile assicurarsi che il tuo sito non stia eseguendo un tema, un plug-in o una versione core di WordPress con una vulnerabilità nota.
1. Installa il plug-in iThemes Security Pro
Il plug-in iThemes Security Pro rafforza il tuo sito WordPress contro i modi più comuni in cui i siti Web vengono violati. Con oltre 30 modi per proteggere il tuo sito in un plug-in facile da usare.
2. Abilita la scansione del sito per verificare la presenza di vulnerabilità note
La funzione di gestione della versione in iThemes Security Pro si integra con la scansione del sito per proteggere il tuo sito. Temi vulnerabili, plug-in e versioni principali di WordPress verranno aggiornati automaticamente per te.
3. Attivare Rilevamento modifiche file
La chiave per individuare rapidamente una violazione della sicurezza è monitorare le modifiche ai file sul tuo sito web. La funzione di rilevamento delle modifiche dei file in iThemes Security Pro eseguirà la scansione dei file del tuo sito Web e ti avviserà quando si verificano modifiche sul tuo sito Web.
Ottieni iThemes Security Pro con il monitoraggio della sicurezza del sito web 24 ore su 24, 7 giorni su 7
iThemes Security Pro, il nostro plug-in di sicurezza per WordPress, offre oltre 50 modi per proteggere e proteggere il tuo sito Web dalle comuni vulnerabilità di sicurezza di WordPress. Con WordPress, l'autenticazione a due fattori, la protezione dalla forza bruta, l'imposizione di password complesse e altro ancora, puoi aggiungere ulteriori livelli di sicurezza al tuo sito web.
