Rapporto sulla vulnerabilità di WordPress: novembre 2021, parte 1

Pubblicato: 2021-11-03

Plugin e temi vulnerabili sono il motivo n. 1 per cui i siti Web WordPress vengono violati. Il rapporto settimanale sulle vulnerabilità di WordPress fornito da WPScan copre i recenti plugin, temi e vulnerabilità principali di WordPress e cosa fare se esegui uno dei plugin o temi vulnerabili sul tuo sito web.

Ciascuna vulnerabilità avrà un livello di gravità Basso , Medio , Alto o Critico . La divulgazione responsabile e la segnalazione delle vulnerabilità sono parte integrante della sicurezza della community di WordPress.

Condividi questo post con i tuoi amici per aiutare a spargere la voce e rendere WordPress più sicuro per tutti.

Vuoi ricevere questo rapporto nella tua casella di posta ogni settimana?
Iscriviti all'e-mail settimanale

Vulnerabilità principali di WordPress

L'ultima versione del core di WordPress è la 5.8.1. Come best practice, assicurati sempre di eseguire l'ultima versione del core di WordPress!

Vulnerabilità dei plugin di WordPress

In questa sezione sono state divulgate le ultime vulnerabilità del plugin di WordPress. Ciascun elenco di plug-in include il tipo di vulnerabilità, il numero di versione se patchato e il livello di gravità.

1. Recensioni Plus

Plugin: Recensioni Plus
Vulnerabilità : Abbonati+ Recensioni DoS
Patchato nella versione : 1.2.14
Punteggio di gravità : basso

La vulnerabilità è stata corretta, quindi è necessario eseguire l'aggiornamento alla versione 1.2.14.

2. Galleria di presentazione

Plugin: Galleria di presentazioni
Vulnerabilità : Admin+ Script tra siti archiviati
Patchato nella versione : 1.7.4
Punteggio di gravità : basso

La vulnerabilità è stata corretta, quindi è necessario eseguire l'aggiornamento alla versione 1.7.4.

3. MainWP Child

Plugin: MainWP Child
Vulnerabilità : Admin+ SQL injection
Patchato nella versione : 4.1.8
Punteggio di gravità : medio

La vulnerabilità è stata corretta, quindi è necessario eseguire l'aggiornamento alla versione 4.1.8.

4. Catalogo prodotti eCommerce per WordPress

Plugin: Catalogo prodotti eCommerce per WordPress
Vulnerabilità : Scripting incrociato riflesso
Patchato nella versione : 3.0.39
Punteggio di gravità : alto

La vulnerabilità è stata corretta, quindi è necessario eseguire l'aggiornamento alla versione 3.0.39.

5. Falang multilingue per WordPress

Plugin: Falang multilingue per WordPress
Vulnerabilità : Scripting incrociato riflesso
Patchato nella versione : 1.3.18
Punteggio di gravità : alto

La vulnerabilità è stata corretta, quindi è necessario eseguire l'aggiornamento alla versione 1.3.18.

6. Gestore delle lezioni video

Plugin: Gestore lezioni video
Vulnerabilità : Admin+ Script tra siti archiviati
Patchato nella versione : 1.7.2
Punteggio di gravità : basso

La vulnerabilità è stata corretta, quindi è necessario eseguire l'aggiornamento alla versione 1.7.2.

7. Controllo ortografico WP

Plugin: Controllo ortografico WP
Vulnerabilità : Scripting incrociato riflesso
Patchato nella versione : 9.3
Punteggio di gravità : alto

La vulnerabilità è stata corretta, quindi è necessario eseguire l'aggiornamento alla versione 9.3.

8. E-commerce: autenticazione a due fattori

Plugin: E-commerce – Autenticazione a due fattori
Vulnerabilità : Scripting incrociato riflesso
Patchato nella versione : 1.0.5
Punteggio di gravità : alto

La vulnerabilità è stata corretta, quindi è necessario eseguire l'aggiornamento alla versione 1.0.5.

9. Caricatore MAZ

Plugin: caricatore MAZ
Vulnerabilità : cancellazione arbitraria del caricatore tramite CSRF
Patchato nella versione : nessuna correzione nota
Punteggio di gravità : alto

Questa vulnerabilità NON è stata corretta. Disinstalla ed elimina il plug-in fino al rilascio di una patch.

10. Cancello dell'età

Plugin: Age Gate
Vulnerabilità : impostazioni di importazione non autenticate
Patchato nella versione : 2.17.1
Punteggio di gravità : critico

La vulnerabilità è stata corretta, quindi è necessario eseguire l'aggiornamento alla versione 2.17.1.

11. Post duplicato

Plugin: Post duplicato
Vulnerabilità : SQL injection autenticata
Patchato nella versione : 1.2.0
Punteggio di gravità : medio

La vulnerabilità è stata corretta, quindi è necessario eseguire l'aggiornamento alla versione 1.2.0.

12. Notifica

Plugin: Notifica
Vulnerabilità : Admin+ Script tra siti archiviati
Patchato nella versione : 8.0.0
Punteggio di gravità : basso

La vulnerabilità è stata corretta, quindi è necessario eseguire l'aggiornamento alla versione 8.0.0.

13. Directory aziendale di connessioni

Plugin: Connessioni Directory aziendale
Vulnerabilità : Admin+ CSV injection
Patchato nella versione : 9.7
Punteggio di gravità : medio

La vulnerabilità è stata corretta, quindi è necessario eseguire l'aggiornamento alla versione 9.7.

14. Tag multimediali

Plugin: Media-Tag
Vulnerabilità : Admin+ Script tra siti archiviati
Patchato nella versione : nessuna correzione nota – plug-in chiuso
Punteggio di gravità : basso

Questa vulnerabilità NON è stata corretta. Questo plugin è stato chiuso il 28 settembre 2021. Disinstalla ed elimina.

15. Informazioni sulla casella dell'autore

Plugin: Informazioni su Author Box
Vulnerabilità : Contributor+ Scripting cross-site archiviato
Patchato nella versione : 1.0.2
Punteggio di gravità : medio

La vulnerabilità è stata corretta, quindi è necessario eseguire l'aggiornamento alla versione 1.0.2.

16. Abbonamenti e abbonamenti per PayPal

Plugin: Abbonamenti e Abbonamenti per PayPal
Vulnerabilità : Scripting cross-site riflesso tramite parametro di pagina
Patchato nella versione : 1.1.3
Punteggio di gravità : alto

La vulnerabilità è stata corretta, quindi è necessario eseguire l'aggiornamento alla versione 1.1.3.

17. Accetta donazioni con PayPal

Plugin: accetta donazioni con PayPal
Vulnerabilità : Scripting cross-site riflesso tramite parametro di pagina
Patchato nella versione : 1.3.1
Punteggio di gravità : alto

La vulnerabilità è stata corretta, quindi è necessario eseguire l'aggiornamento alla versione 1.3.1.

18. Eventi PayPal facili

Plugin: Eventi PayPal facili
Vulnerabilità : Scripting cross-site riflesso tramite parametro di pagina
Patchato nella versione : 1.1.2
Punteggio di gravità : alto

La vulnerabilità è stata corretta, quindi è necessario eseguire l'aggiornamento alla versione 1.1.2.

19. Apri qualsiasi cosa

Plugin: popup qualsiasi cosa
Vulnerabilità : Contributor+ Scripting cross-site archiviato
Patchato nella versione : 2.0.4
Punteggio di gravità : alto

La vulnerabilità è stata corretta, quindi è necessario eseguire l'aggiornamento alla versione 2.0.4.

20. Gestore lavori JS

Plugin: JS Job Manager
Vulnerabilità : installazione/attivazione arbitraria di plugin non autenticati
Patchato nella versione : 1.1.9
Punteggio di gravità : critico

La vulnerabilità è stata corretta, quindi è necessario eseguire l'aggiornamento alla versione 1.1.9.

21. Modifica in blocco di data e ora

Plugin: modifica in blocco di data e ora
Vulnerabilità : Mancata autorizzazione
Patchato nella versione : 1.12
Punteggio di gravità : medio

La vulnerabilità è stata corretta, quindi è necessario eseguire l'aggiornamento alla versione 1.12.

22. Forme Ninja

Plugin: Forme Ninja
Vulnerabilità : Admin+ SQL injection
Patchato nella versione : 3.6.4
Punteggio di gravità : medio

La vulnerabilità è stata corretta, quindi è necessario eseguire l'aggiornamento alla versione 3.6.4.

23. Esportazione allegati WP

Plugin: Esportazione allegati WP
Vulnerabilità : download di post non autenticati
Patchato nella versione : 0.2.4
Punteggio di gravità : alto

La vulnerabilità è stata corretta, quindi è necessario eseguire l'aggiornamento alla versione 0.2.4.

24. Dispositivo di scorrimento del testo del contenuto sul post

Plugin: cursore del testo del contenuto sul post
Vulnerabilità : scripting cross-site archiviato autenticato (XSS)
Patchato nella versione : 6.9
Punteggio di gravità : medio

La vulnerabilità è stata corretta, quindi è necessario eseguire l'aggiornamento alla versione 6.9.

25. Importatore demo HashThemes

Plugin: HashThemes Demo Importer
Vulnerabilità : controllo di accesso improprio al ripristino del blog
Patchato nella versione : 1.1.2
Punteggio di gravità : critico

La vulnerabilità è stata corretta, quindi è necessario eseguire l'aggiornamento alla versione 1.1.2.

26. Iscrizioni al Calendario degli Eventi

Plugin: registrazioni per il calendario degli eventi
Vulnerabilità : Scripting incrociato riflesso
Patchato nella versione : 2.7.5
Punteggio di gravità : alto

La vulnerabilità è stata corretta, quindi è necessario eseguire l'aggiornamento alla versione 2.7.5.

27. Mang Board WP

Plugin: Mang Board WP
Vulnerabilità : SQL injection
Patchato nella versione : 1.6.9
Punteggio di gravità : alto

La vulnerabilità è stata corretta, quindi è necessario eseguire l'aggiornamento alla versione 1.6.9.

28. OptinMonster

Plugin: OptinMonster
Vulnerabilità : Endpoint API REST non protetti
Patchato nella versione : 2.6.5
Punteggio di gravità : alto

La vulnerabilità è stata corretta, quindi è necessario eseguire l'aggiornamento alla versione 2.6.5.

29. NextScripts: poster automatico dei social network

Plugin: NextScripts: Poster automatico dei social network
Vulnerabilità : Scripting incrociato riflesso
Patchato nella versione : 4.3.21
Punteggio di gravità : alto

La vulnerabilità è stata corretta, quindi è necessario eseguire l'aggiornamento alla versione 4.3.21.

30. Feed di post social Smash Balloon

Plugin: Smash Balloon Social Post Feed
Vulnerabilità : Aggiornamento delle impostazioni del plug-in arbitrario per abbonati + a XSS archiviato
Patchato nella versione : 4.0.1
Punteggio di gravità : alto

La vulnerabilità è stata corretta, quindi è necessario eseguire l'aggiornamento alla versione 4.0.1.

31. WP-Pro-Quiz

Plugin: WP-Pro-Quiz
Vulnerabilità : eliminazione arbitraria del quiz tramite CSRF
Patchato nella versione : nessuna correzione nota – plug-in chiuso
Punteggio di gravità : medio

Questa vulnerabilità NON è stata corretta. Questo plugin è stato chiuso il 17 luglio 2020. Disinstalla ed elimina.

32. Modulo di contatto di Supsystic

Plugin: Modulo di contatto di Supsystic
Vulnerabilità : Admin+ Script tra siti archiviati
Patchato nella versione : nessuna correzione nota
Punteggio di gravità : basso

Questa vulnerabilità NON è stata corretta. Disinstalla ed elimina il plug-in fino al rilascio di una patch.

33. WP-Stats

Plugin: WP-Stats
Vulnerabilità : CSRF a Stored Cross-Site Scripting (XSS)
Patchato nella versione : 2.52
Punteggio di gravità : alto

Questo plugin non è stato testato con le ultime 3 versioni principali di WordPress. Potrebbe non essere più mantenuto o supportato e potrebbe avere problemi di compatibilità se utilizzato con versioni più recenti di WordPress.
Questa vulnerabilità NON è stata corretta. Disinstalla ed elimina il plug-in fino al rilascio di una patch.

Come proteggere il tuo sito Web WordPress da temi e plugin vulnerabili

Come puoi vedere da questo rapporto, ogni settimana vengono divulgate molte nuove vulnerabilità di plugin e temi di WordPress. Sappiamo che può essere difficile rimanere aggiornati su ogni divulgazione di vulnerabilità segnalata, quindi il plug-in iThemes Security Pro rende facile assicurarsi che il tuo sito non stia eseguendo un tema, un plug-in o una versione core di WordPress con una vulnerabilità nota.

1. Installa il plug-in iThemes Security Pro

Il plug-in iThemes Security Pro rafforza il tuo sito WordPress contro i modi più comuni in cui i siti Web vengono violati. Con oltre 30 modi per proteggere il tuo sito in un plug-in facile da usare.

2. Abilita la scansione del sito per verificare la presenza di vulnerabilità note

La funzione di gestione della versione in iThemes Security Pro si integra con la scansione del sito per proteggere il tuo sito. Temi vulnerabili, plug-in e versioni principali di WordPress verranno aggiornati automaticamente per te.

3. Monitora le modifiche ai file

La chiave per individuare rapidamente una violazione della sicurezza è monitorare le modifiche ai file sul tuo sito web. La funzione di rilevamento delle modifiche dei file in iThemes Security Pro eseguirà la scansione dei file del tuo sito Web e ti avviserà quando si verificano modifiche sul tuo sito Web.

Ottieni iThemes Security Pro con il monitoraggio del sito Web 24 ore su 24, 7 giorni su 7

iThemes Security Pro, il nostro plug-in di sicurezza per WordPress, offre oltre 50 modi per proteggere e proteggere il tuo sito Web dalle comuni vulnerabilità di sicurezza di WordPress. Con WordPress, l'autenticazione a due fattori, la protezione dalla forza bruta, l'imposizione di password complesse e altro ancora, puoi aggiungere ulteriori livelli di sicurezza al tuo sito web.

  • Scanner del sito per vulnerabilità di plugin e temi
  • Rilevamento delle modifiche ai file
  • Dashboard di sicurezza del sito Web in tempo reale
  • Registri di sicurezza di WordPress
  • Dispositivi affidabili
  • reCAPTCHA
  • Protezione dalla forza bruta
  • Autenticazione a due fattori
  • Link di accesso magici
  • Aumento dei privilegi
  • Controllo e rifiuto di password compromesse

Ottieni iThemes Security Pro