Rapporto sulla vulnerabilità di WordPress: gennaio 2022, parte 2
Pubblicato: 2022-01-12Plugin e temi vulnerabili sono il motivo n. 1 per cui i siti Web WordPress vengono violati. Il rapporto settimanale sulle vulnerabilità di WordPress fornito da WPScan copre i recenti plugin, temi e vulnerabilità principali di WordPress e cosa fare se esegui uno dei plugin o temi vulnerabili sul tuo sito web.
Ciascuna vulnerabilità avrà un livello di gravità Basso , Medio , Alto o Critico . La divulgazione responsabile e la segnalazione delle vulnerabilità sono parte integrante della sicurezza della community di WordPress. Novità in questo rapporto: le vulnerabilità sono ora elencate in base al numero di installazioni attive, anziché alla data di divulgazione.
Condividi questo post con i tuoi amici per aiutare a spargere la voce e rendere WordPress più sicuro per tutti !
Vulnerabilità principali di WordPress
L'ultima versione del core di WordPress è stata rilasciata il 6 gennaio 2022 come rilascio di sicurezza a ciclo breve. Poiché WordPress 5.8.3 è una versione di sicurezza, ti consigliamo di aggiornare immediatamente tutti i tuoi siti.
Puoi eseguire l'aggiornamento a WordPress 5.8.3 scaricando da WordPress.org o visitando la dashboard di amministrazione di WordPress > Aggiornamenti e facendo clic su Aggiorna ora .
Se hai siti che hanno abilitato gli aggiornamenti automatici in background, dovrebbero essere già aggiornati correttamente.
Nucleo di WordPress
Vulnerabilità : SQL injection tramite WP_Query
Patchato nella versione : 5.8.3
Spiegazione: a causa della mancanza di un'adeguata sanificazione in WP_Meta_Query, esiste la possibilità di iniezione SQL cieca.
Vulnerabilità : Autore+ XSS memorizzato tramite Post Slugs
Patchato nella versione : 5.8.3
Spiegazione: gli utenti autenticati con privilegi bassi (come l'autore) nel core di WordPress sono in grado di eseguire JavaScript/eseguire attacchi XSS archiviati tramite post slug, che possono influenzare gli utenti con privilegi elevati.
Vulnerabilità : Iniezione di oggetti da super amministratori nei multisiti
Patchato nella versione : 5.8.3
Spiegazione: In un multisito, gli utenti con il ruolo di Super amministratore possono ignorare il rafforzamento esplicito/addizionale in determinate condizioni tramite l'iniezione di oggetti.
Vulnerabilità : SQL injection tramite WP_Meta_Query
Patchato nella versione : 5.8.3
Spiegazione: a causa della mancanza di un'adeguata sanificazione in WP_Meta_Query, esiste la possibilità di iniezione SQL cieca.
Vulnerabilità dei plugin di WordPress
In questa sezione sono state divulgate le ultime vulnerabilità del plugin di WordPress. Ciascun elenco di plug-in include il tipo di vulnerabilità, le installazioni attive, il numero di versione se patchato e il livello di gravità.
1. Supporto SVG
Plugin: Supporto SVG
Vulnerabilità : Admin+ Script tra siti archiviati
Installazione attiva : oltre 800.000
Patchato nella versione : 2.3.20
Punteggio di gravità : basso
2. Pulizia delle risorse
Plugin: Pulizia delle risorse
Vulnerabilità : Scripting cross-site riflesso tramite l'azione AJAX
Installazione attiva : oltre 100.000
Patchato nella versione : 1.3.8.5
Punteggio di gravità : alto
Plugin: Pulizia delle risorse
Vulnerabilità : Scripting incrociato riflesso
Installazione attiva : oltre 100.000
Patchato nella versione : 1.3.8.5
Punteggio di gravità : medio
3. Abbonamenti a pagamento Pro
Plugin: Abbonamenti a pagamento Pro
Vulnerabilità : Iniezione SQL cieca non autenticata
Installazione attiva : oltre 100.000
Patchato nella versione : 2.6.7
Punteggio di gravità : critico
4. NextScripts: poster automatico dei social network
Plugin: NextScripts: Poster automatico dei social network
Vulnerabilità : cancellazione arbitraria di post tramite CSRF
Installazione attiva : oltre 90.000
Patchato nella versione : 4.3.25
Punteggio di gravità : medio
Plugin: NextScripts: Poster automatico dei social network
Vulnerabilità : XSS archiviato non autenticato
Installazione attiva : oltre 90.000
Patchato nella versione : 4.3.25
Punteggio di gravità : alto
5. Ricerca in avorio
Plugin: ricerca avorio
Vulnerabilità : Contributor+ Scripting cross-site archiviato
Installazione attiva : oltre 80.000
Patchato nella versione : 5.4.1
Punteggio di gravità : alto
6. Facile feed sociale
Plugin: feed social facile
Vulnerabilità : Scripting incrociato riflesso (XSS)
Installazione attiva : oltre 70.000
Patchato nella versione : 6.2.7
Punteggio di gravità : alto
7. Editor di stile CSS visivo
Plugin: Editor di stile CSS visivo
Vulnerabilità : Scripting incrociato riflesso
Installazione attiva : oltre 50.000
Patchato nella versione : 7.5.4
Punteggio di gravità : alto
8. Voci del modulo di contatto
Plugin: Voci del modulo di contatto
Vulnerabilità : scripting cross-site archiviato non autenticato
Installazione attiva : oltre 40.000
Patchato nella versione : 1.1.7
Punteggio di gravità : alto
9. Cron Manager avanzato
Plugin: Advanced Cron Manager
Vulnerabilità : Abbonato+ Creazione/eliminazione di eventi/programmi arbitrari
Installazione attiva : oltre 30.000
Patchato nella versione : 2.4.2
Punteggio di gravità : medio
10. WPLegalPages
Plugin: WPLegalPages
Vulnerabilità : aggiornamento delle impostazioni arbitrarie per abbonati + a XSS archiviato
Installazione attiva : oltre 20.000
Patchato nella versione : 2.7.1
Punteggio di gravità : medio
11. Statistiche sui visitatori del WP (traffico in tempo reale)
Plugin: Statistiche dei visitatori WP (traffico in tempo reale)
Vulnerabilità : Abbonato + SQL injection
Installazione attiva : oltre 20.000
Patchato nella versione : 4.8
Punteggio di gravità : alto
12. Cartelle malvagie
Plugin: cartelle malvagie
Vulnerabilità : Abbonato + SQL injection
Installazione attiva : oltre 10.000
Patchato nella versione : 2.8.10
Punteggio di gravità : alto
13. SupportCandy
Plugin: SupportCandy
Vulnerabilità : Contributor+ Scripting cross-site archiviato
Installazione attiva : oltre 10.000
Patchato nella versione : 2.2.7
Punteggio di gravità : medio
Plugin: SupportCandy
Vulnerabilità : CSRF allo scripting tra siti
Installazione attiva : oltre 10.000
Patchato nella versione : 2.2.7
Punteggio di gravità : medio
Plugin: SupportCandy
Vulnerabilità : cancellazione arbitraria del biglietto tramite CSRF
Installazione attiva : oltre 10.000
Patchato nella versione : 2.2.7
Punteggio di gravità : alto
Plugin: SupportCandy
Vulnerabilità : cancellazione arbitraria del biglietto non autenticata
Installazione attiva : oltre 10.000
Patchato nella versione : 2.2.7
Punteggio di gravità : alto
Plugin: SupportCandy
Vulnerabilità : Scripting incrociato riflesso
Installazione attiva : oltre 10.000
Patchato nella versione : 2.2.7
Punteggio di gravità : medio
14. Riorganizza i prodotti Woocommerce
Plugin: riorganizza i prodotti Woocommerce
Vulnerabilità : Abbonato + SQL injection
Installazione attiva : oltre 10.000
Patchato nella versione : 3.0.8
Punteggio di gravità : alto
15. Blocco Paese IP2Location
Plugin: IP2Location Country Blocker
Vulnerabilità : divieto arbitrario del paese tramite CSRF
Installazione attiva : oltre 10.000
Patchato nella versione : 2.26.6
Punteggio di gravità : medio
Plugin: IP2Location Country Blocker
Vulnerabilità : Abbonato+ divieto arbitrario del Paese
Installazione attiva : oltre 10.000
Patchato nella versione : 2.26.6
Punteggio di gravità : medio
Plugin: IP2Location Country Blocker
Vulnerabilità : Ban Bypass
Installazione attiva : oltre 10.000
Patchato nella versione : 2.26.6
Punteggio di gravità : medio
16. Fantastico supporto: WordPress HelpDesk e plug-in di supporto
Plugin: Supporto eccezionale – Titan Framework
Vulnerabilità : Scripting incrociato riflesso (XSS)
Installazione attiva : oltre 10.000
Patchato nella versione : 6.0.11
Punteggio di gravità : alto
17. Catalogo prodotti definitivo
Plugin: Catalogo prodotti definitivo
Vulnerabilità : Abbonato+ Creazione di prodotti arbitrari e aggiornamento delle impostazioni
Installazione attiva : 10.000
Patchato nella versione : 5.0.26
Punteggio di gravità : medio
18. Incorporatore di documenti
Plugin: Incorpora documenti
Vulnerabilità : Abbonato + Divulgazione arbitraria del titolo del post privato/bozza
Installazione attiva : oltre 9.000
Patchato nella versione : 1.7.9
Punteggio di gravità : medio
Plugin: Incorpora documenti
Vulnerabilità : Divulgazione arbitraria del titolo di post privato/bozza non autenticata
Installazione attiva : oltre 9.000
Patchato nella versione : 1.7.9
Punteggio di gravità : medio
19. RVM – Mappe vettoriali reattive
Plugin: RVM – Mappe vettoriali reattive
Vulnerabilità : abbonato+lettura arbitraria di file
Installazione attiva : oltre 6.000
Patchato nella versione : 6.4.2
Punteggio di gravità : alto
20. Mediamatico
Plugin: Mediamatic
Vulnerabilità : Abbonato + SQL injection
Installazione attiva : oltre 3.000
Patchato nella versione : 2.8.1
Punteggio di gravità : alto
21. Woopra
Plugin: Woopra
Vulnerabilità : caricamento di file arbitrario non autenticato
Installazione attiva : oltre 2.000
Patchato nella versione : 1.4.3.2
Punteggio di gravità : critico
22. Gestione accesso diritti utente
Plugin: Gestione accesso diritti utente
Vulnerabilità : Esclusione della restrizione di accesso
Installazione attiva : 900+
Patchato nella versione : 1.0.8
Punteggio di gravità : medio
23. Pulsante YuMoney
Plugin: pulsante YuMoney – Titan Framework
Vulnerabilità : Scripting incrociato riflesso (XSS)
Installazione attiva : 900+
Patchato nella versione : 2.4.0
Punteggio di gravità : alto
24. Integrazione di TrustMate.io per WooCommerce
Plugin: integrazione di TrustMate.io per WooCommerce
Vulnerabilità : Aggiornamento delle impostazioni del plug-in arbitrario + abbonato
Installazione attiva : 300+
Patchato nella versione : 1.8.12
Punteggio di gravità : alto
Plugin: integrazione di TrustMate.io per WooCommerce
Vulnerabilità : Abbonato + Aggiornamento dell'opzione blog arbitraria
Installazione attiva : 300+
Patchato nella versione : 1.7.1
Punteggio di gravità : alto
25. Vero classificatore
Plugin: True Ranker
Vulnerabilità : accesso arbitrario non autenticato ai file tramite Path Traversal
Installazione attiva : 300+
Patchato nella versione : 2.2.4
Punteggio di gravità : alto
26. WebHotelier per WordPress
Plugin: WebHotelier per WordPress – Titan Framework
Vulnerabilità : Scripting incrociato riflesso (XSS)
Installazione attiva : 200+
Patchato nella versione : 1.6.1
Punteggio di gravità : alto
Vulnerabilità dei plugin premium
In questa sezione sono state divulgate le ultime vulnerabilità del plugin premium di WordPress. Ciascun elenco di plug-in include il tipo di vulnerabilità, il numero di versione se patchato e il livello di gravità.
27. Cron Manager Pro avanzato
Plugin: Advanced Cron Manager Pro
Vulnerabilità : Abbonato+ Creazione/eliminazione di eventi/programmi arbitrari
Patchato nella versione : 2.5.3
Punteggio di gravità : medio
Vulnerabilità dei plugin di WordPress: nessuna correzione nota
In questa sezione, le ultime vulnerabilità dei plugin di WordPress sono state divulgate nei plugin chiusi. Ciascun elenco di plug-in include il tipo di vulnerabilità, il livello di gravità e la data di chiusura.
28. Modulo di contatto 7 Skin
Plugin: Modulo di contatto 7 Skin
Vulnerabilità : Scripting incrociato riflesso (XSS)
Installazione attiva : oltre 30.000
Patchato nella versione : nessuna correzione nota
Punteggio di gravità : medio
29. WooRockets Nitro
Plugin: WooRockets Nitro
Vulnerabilità : installazione di plug-in arbitraria non autenticata
Patchato nella versione : nessuna correzione nota
Punteggio di gravità : critico
30. Affiliato Amazon
Plugin: affiliato Amazon
Vulnerabilità : Scripting incrociato riflesso
Patchato nella versione : nessuna correzione nota
Punteggio di gravità : medio
Come proteggere il tuo sito Web WordPress da temi e plugin vulnerabili
Come puoi vedere da questo rapporto, ogni settimana vengono divulgate molte nuove vulnerabilità di plugin e temi di WordPress. Sappiamo che può essere difficile rimanere aggiornati su ogni divulgazione di vulnerabilità segnalata, quindi il plug-in iThemes Security Pro rende facile assicurarsi che il tuo sito non stia eseguendo un tema, un plug-in o una versione core di WordPress con una vulnerabilità nota.
1. Installa il plug-in iThemes Security Pro
Il plug-in iThemes Security Pro rafforza il tuo sito WordPress contro i modi più comuni in cui i siti Web vengono violati. Con oltre 30 modi per proteggere il tuo sito in un plug-in facile da usare.
2. Abilita la scansione del sito per verificare la presenza di vulnerabilità note
La funzione di gestione della versione in iThemes Security Pro si integra con la scansione del sito per proteggere il tuo sito. Temi vulnerabili, plug-in e versioni principali di WordPress verranno aggiornati automaticamente per te.
3. Attivare Rilevamento modifiche file
La chiave per individuare rapidamente una violazione della sicurezza è monitorare le modifiche ai file sul tuo sito web. La funzione di rilevamento delle modifiche dei file in iThemes Security Pro eseguirà la scansione dei file del tuo sito Web e ti avviserà quando si verificano modifiche sul tuo sito Web.
Ottieni iThemes Security Pro con il monitoraggio della sicurezza del sito web 24 ore su 24, 7 giorni su 7
iThemes Security Pro, il nostro plug-in di sicurezza per WordPress, offre oltre 50 modi per proteggere e proteggere il tuo sito Web dalle comuni vulnerabilità di sicurezza di WordPress. Con WordPress, l'autenticazione a due fattori, la protezione dalla forza bruta, l'imposizione di password complesse e altro ancora, puoi aggiungere ulteriori livelli di sicurezza al tuo sito web.
