Rapporto sulla vulnerabilità di WordPress: dicembre 2021, parte 5
Pubblicato: 2021-12-29Plugin e temi vulnerabili sono il motivo n. 1 per cui i siti Web WordPress vengono violati. Il rapporto settimanale sulle vulnerabilità di WordPress fornito da WPScan copre i recenti plugin, temi e vulnerabilità principali di WordPress e cosa fare se esegui uno dei plugin o temi vulnerabili sul tuo sito web.
Ciascuna vulnerabilità avrà un livello di gravità Basso , Medio , Alto o Critico . La divulgazione responsabile e la segnalazione delle vulnerabilità sono parte integrante della sicurezza della community di WordPress. Novità in questo rapporto: le vulnerabilità sono ora elencate in base al numero di installazioni attive, anziché alla data di divulgazione.
Condividi questo post con i tuoi amici per aiutare a spargere la voce e rendere WordPress più sicuro per tutti !
Vulnerabilità principali di WordPress
L'ultima versione del core di WordPress è la 5.8.2. Come best practice, assicurati sempre di eseguire l'ultima versione del core di WordPress!
Vulnerabilità dei plugin di WordPress
In questa sezione sono state divulgate le ultime vulnerabilità del plugin di WordPress. Ciascun elenco di plug-in include il tipo di vulnerabilità, le installazioni attive, il numero di versione se patchato e il livello di gravità.
1. Modulo di contatto 7 Componente aggiuntivo del database
Plugin: Modulo di contatto 7 Componente aggiuntivo del database
Vulnerabilità : scripting cross-site archiviato non autenticato
Installazione attiva : oltre 400.000
Patchato nella versione : 1.2.6.2
Punteggio di gravità : medio
Plugin: Modulo di contatto 7 Componente aggiuntivo del database
Vulnerabilità : cancellazione arbitraria di moduli tramite CSRF
Installazione attiva : oltre 400.000
Patchato nella versione : 1.2.6.2
Punteggio di gravità : medio
2. Moduli facili per Mailchimp
Plugin: moduli facili per Mailchimp
Vulnerabilità : Scripting incrociato riflesso
Installazione attiva : oltre 100.000
Patchato nella versione : 6.8.6
Punteggio di gravità : medio
3. Relevanssi: una ricerca migliore
Plugin: Relevanssi – Una ricerca migliore
Vulnerabilità : scripting cross-site archiviato non autenticato
Installazione attiva : oltre 100.000
Patchato nella versione : 4.14.3
Punteggio di gravità : alto
4. Moduli Newsletter, SMTP, Email marketing e Abbonamento di Sendinblue
Plugin: Newsletter, SMTP, Email marketing e Moduli di iscrizione di Sendinblue
Vulnerabilità : Scripting incrociato riflesso
Installazione attiva : oltre 90.000
Patchato nella versione : 3.1.25
Punteggio di gravità : alto
5. Feed di prodotti PRO per WooCommerce
Plugin: Product Feed PRO per WooCommerce
Vulnerabilità : aggiornamento delle impostazioni per gli abbonati + a XSS archiviato
Installazione attiva : oltre 80.000
Patchato nella versione : 11.0.7
Punteggio di gravità : alto
6. Posta griglia
Plugin: Post Grid
Vulnerabilità : Contributor+ SQL injection
Installazione attiva : oltre 60.000
Patchato nella versione : 2.1.13
Punteggio di gravità : medio
7. Voci del modulo di contatto
Plugin: Voci del modulo di contatto
Vulnerabilità : scripting cross-site archiviato non autenticato
Installazione attiva : oltre 40.000
Patchato nella versione : 1.2.4
Punteggio di gravità : alto
8. Biglietti per eventi
Plugin: biglietti per eventi
Vulnerabilità : Apri reindirizzamento
Installazione attiva : oltre 40.000
Patchato nella versione : 5.2.2
Punteggio di gravità : medio
9. Campi personalizzati avanzati: estesi
Plugin: Campi personalizzati avanzati: Esteso
Vulnerabilità : Admin+ SQL injection
Installazione attiva : oltre 40.000
Patchato nella versione : 0.8.8.7
Punteggio di gravità : medio
10. Accetta donazioni con PayPal
Plugin: accetta donazioni con PayPal
Vulnerabilità : cancellazione arbitraria di post tramite CSRF
Installazione attiva : oltre 30.000
Patchato nella versione : 1.3.4
Punteggio di gravità : alto
11. Campo Galleria Fotografica ACF
Plugin: Campo Galleria Foto ACF
Vulnerabilità : Scripting incrociato riflesso
Installazione attiva : oltre 30.000
Patchato nella versione : 1.7.5
Punteggio di gravità : medio
12. Monitor di download semplice
Plugin: monitor download semplice
Vulnerabilità : CSRF multiplo
Installazione attiva : oltre 30.000
Patchato nella versione : 3.9.11
Punteggio di gravità : medio
13. Proteggi l'amministratore di WP
Plugin: Proteggi l'amministratore di WP
Vulnerabilità : disattivazione del plug-in non autenticato
Installazione attiva : oltre 30.000
Patchato nella versione : 3.6.2
Punteggio di gravità : medio
14. Backup e gestione temporanea di WP Time Capsule
Plugin: Backup e Staging di WP Time Capsule
Vulnerabilità : Scripting incrociato riflesso
Installazione attiva : oltre 20.000
Patchato nella versione : 1.22.7
Punteggio di gravità : alto
15. Calendario degli eventi
Plugin: Calendario eventi
Vulnerabilità : Scripting incrociato riflesso
Installazione attiva : oltre 20.000
Patchato nella versione : 1.1.51
Punteggio di gravità : alto
Plugin: Calendario eventi
Vulnerabilità : Abbonato+ Creazione di eventi
Installazione attiva : oltre 20.000
Patchato nella versione : 1.1.51
Punteggio di gravità : medio
16. Prenotazioni di ristoranti a cinque stelle
Plugin: Prenotazioni ristoranti a cinque stelle
Vulnerabilità : Abbonati + Script tra siti archiviati
Installazione attiva : oltre 20.000
Patchato nella versione : 2.4.8
Punteggio di gravità : alto
17. Foro di Asgaros
Plugin: Forum di Asgaros
Vulnerabilità : Admin+ SQL injection tramite forum_id
Installazione attiva : oltre 20.000
Patchato nella versione : 1.15.15
Punteggio di gravità : medio
18. WP125
Plugin: WP125
Vulnerabilità : eliminazione arbitraria di annunci tramite CSRF
Installazione attiva : oltre 10.000
Patchato nella versione : 1.5.5
Punteggio di gravità : medio
19. Responsabile degli affiliati
Plugin: Gestione affiliati
Vulnerabilità : scripting cross-site archiviato non autenticato
Installazione attiva : oltre 10.000
Patchato nella versione : 2.9.0
Punteggio di gravità : alto
20. Strumento SEO intelligente
Plugin: Strumento SEO intelligente
Vulnerabilità : Scripting incrociato riflesso
Installazione attiva : oltre 9.000
Patchato nella versione : 3.0.6
Punteggio di gravità : medio
21. tarteaucitron.js – Legislazione sui cookie e GDPR
Plugin: tarteaucitron.js – Legislazione sui cookie e GDPR
Vulnerabilità : CSRF allo scripting cross-site archiviato
Installazione attiva : oltre 7.000
Patchato nella versione : 1.6
Punteggio di gravità : medio
Plugin: tarteaucitron.js – Legislazione sui cookie e GDPR
Vulnerabilità : amministratore + script tra siti archiviati
Installazione attiva : oltre 7.000
Patchato nella versione : 1.6.1
Punteggio di gravità : basso
22. Booster SEO
Plugin: SEO Booster
Vulnerabilità : Admin+ SQL injection
Installazione attiva : oltre 4.000
Patchato nella versione : 3.8
Punteggio di gravità : medio
23. Creatore di banner di Booking.com
Plugin: Creatore di banner di Booking.com
Vulnerabilità : Admin+ Script tra siti archiviati
Installazione attiva : oltre 3.000
Patchato nella versione : 1.4.3
Punteggio di gravità : basso
24. Campi extra del profilo
Plugin: Campi extra del profilo
Vulnerabilità : Scripting incrociato riflesso
Installazione attiva : oltre 2.000
Patchato nella versione : 1.2.4
Punteggio di gravità : alto
25. Aiutante del prodotto di Booking.com
Plugin: Helper del prodotto di Booking.com
Vulnerabilità : Admin+ Script tra siti archiviati
Installazione attiva : oltre 2.000
Patchato nella versione : 1.0.2
Punteggio di gravità : basso
26. Ufficiale SEUR
Plugin: SEUR Ufficiale
Vulnerabilità : Admin+ Script tra siti archiviati
Installazione attiva : oltre 1.000
Patchato nella versione : 1.7.0
Punteggio di gravità : medio
27. Integrazione del foglio di calcolo
Plugin: Integrazione con fogli di calcolo
Vulnerabilità : bypass CSRF
Installazione attiva : oltre 1.000
Patchato nella versione : 3.6.0
Punteggio di gravità : medio
Plugin: Integrazione con fogli di calcolo
Vulnerabilità : Scripting incrociato riflesso
Installazione attiva : oltre 1.000
Patchato nella versione : 3.6.0
Punteggio di gravità : alto
28. Annunci di affiliazione ClickBank
Plugin: Annunci di affiliazione ClickBank
Vulnerabilità : Admin+ Script tra siti archiviati
Installazione attiva : 700+
Patchato nella versione : 1.35
Punteggio di gravità : basso
Plugin: Annunci di affiliazione ClickBank
Vulnerabilità : CSRF allo scripting cross-site archiviato
Installazione attiva : 700+
Patchato nella versione : 1.35
Punteggio di gravità : alto
29. Stetico
Plugin: Stetic
Vulnerabilità : CSRF allo scripting cross-site archiviato
Installazione attiva : 300+
Patchato nella versione : 1.0.9
Punteggio di gravità : alto
30. Gestore eventi mobili
Plugin: Gestione eventi mobili
Vulnerabilità : Admin+ Script tra siti archiviati
Installazione attiva : 20+
Patchato nella versione : 1.4.4
Punteggio di gravità : basso
Vulnerabilità dei plugin di WordPress: nessuna correzione nota
In questa sezione, le ultime vulnerabilità dei plugin di WordPress sono state divulgate nei plugin chiusi. Ciascun elenco di plug-in include il tipo di vulnerabilità, il livello di gravità e la data di chiusura.
31. Qualsiasi commento
Plugin: AnyComment
Vulnerabilità : Scripting incrociato riflesso
Installazione attiva : oltre 4.000
Patchato nella versione : nessuna correzione nota
Punteggio di gravità : medio
Vulnerabilità del plug-in di WordPress: plug-in chiuso
In questa sezione, le ultime vulnerabilità dei plugin di WordPress sono state divulgate nei plugin chiusi. Ciascun elenco di plug-in include il tipo di vulnerabilità, il livello di gravità e la data di chiusura.
32. Schede
Plugin: schede
Vulnerabilità : aggiornamento dell'opzione arbitraria non autenticato
Patchato nella versione : 3.6.0 – plugin chiuso
Punteggio di gravità : critico
33. Componenti aggiuntivi per shortcode
Plugin: componenti aggiuntivi per shortcode
Vulnerabilità : aggiornamento dell'opzione arbitraria non autenticato
Patchato nella versione : 3.1.0 – plugin chiuso
Punteggio di gravità : critico
Come proteggere il tuo sito Web WordPress da temi e plugin vulnerabili
Come puoi vedere dal rapporto settimanale sulle vulnerabilità di WordPress, ogni settimana vengono divulgate molte nuove vulnerabilità di plugin e temi di WordPress. Sappiamo che può essere difficile rimanere aggiornati su ogni divulgazione di vulnerabilità segnalata, quindi il plug-in iThemes Security Pro rende facile assicurarsi che il tuo sito non stia eseguendo un tema, un plug-in o una versione core di WordPress con una vulnerabilità nota.
1. Installa il plug-in iThemes Security Pro
Il plug-in iThemes Security Pro rafforza il tuo sito WordPress contro i modi più comuni in cui i siti Web vengono violati. Con oltre 30 modi per proteggere il tuo sito in un plug-in facile da usare.
2. Abilita la scansione del sito per verificare la presenza di vulnerabilità note
La funzione di gestione della versione in iThemes Security Pro si integra con la scansione del sito per proteggere il tuo sito. Temi vulnerabili, plug-in e versioni principali di WordPress verranno aggiornati automaticamente per te.
3. Attivare Rilevamento modifiche file
La chiave per individuare rapidamente una violazione della sicurezza è monitorare le modifiche ai file sul tuo sito web. La funzione di rilevamento delle modifiche dei file in iThemes Security Pro eseguirà la scansione dei file del tuo sito Web e ti avviserà quando si verificano modifiche sul tuo sito Web.
Ottieni iThemes Security Pro con la scansione del sito
iThemes Security Pro, il nostro plug-in di sicurezza per WordPress, offre oltre 50 modi per proteggere e proteggere il tuo sito Web dalle comuni vulnerabilità di sicurezza di WordPress. Con WordPress, l'autenticazione a due fattori, la protezione dalla forza bruta, l'imposizione di password complesse e altro ancora, puoi aggiungere ulteriori livelli di sicurezza al tuo sito web.
