Rapporto sulla vulnerabilità di WordPress: novembre 2021, parte 2
Pubblicato: 2021-11-10Plugin e temi vulnerabili sono il motivo n. 1 per cui i siti Web WordPress vengono violati. Il rapporto settimanale sulle vulnerabilità di WordPress fornito da WPScan copre i recenti plugin, temi e vulnerabilità principali di WordPress e cosa fare se esegui uno dei plugin o temi vulnerabili sul tuo sito web.
Ciascuna vulnerabilità avrà un livello di gravità Basso , Medio , Alto o Critico . La divulgazione responsabile e la segnalazione delle vulnerabilità sono parte integrante della sicurezza della community di WordPress.
Condividi questo post con i tuoi amici per aiutare a spargere la voce e rendere WordPress più sicuro per tutti.
Vulnerabilità principali di WordPress
L'ultima versione del core di WordPress è la 5.8.1. Come best practice, assicurati sempre di eseguire l'ultima versione del core di WordPress!
Vulnerabilità dei plugin di WordPress
In questa sezione sono state divulgate le ultime vulnerabilità del plugin di WordPress. Ciascun elenco di plug-in include il tipo di vulnerabilità, il numero di versione se patchato e il livello di gravità.
1. Galleria del concorso
Plugin: Galleria del concorso
Vulnerabilità : Divulgazione dell'indirizzo e-mail dell'abbonato+
Patchato nella versione : 13.1.0.7
Punteggio di gravità : medio
Plugin: Galleria del concorso
Vulnerabilità : controlli di accesso mancanti per iniezione SQL non autenticata/divulgazione di indirizzi e-mail
Patchato nella versione : 13.1.0.6
Punteggio di gravità : alto
2. Controlla e registra e-mail
Plugin: controlla e registra e-mail
Vulnerabilità : Scripting incrociato riflesso
Patchato nella versione : 1.0.4
Punteggio di gravità : alto
3. Gestore PDF BSK
Plugin: Gestore PDF BSK
Vulnerabilità : Admin+ SQL injection
Patchato nella versione : 3.1.2
Punteggio di gravità : medio
4. Calcolatore di costi alla moda
Plugin: Calcolatore di costi alla moda
Vulnerabilità : Abbonato+ Chiamate AJAX non autorizzate a XSS archiviati
Patchato nella versione : 7.0.4
Punteggio di gravità : alto
5. Pagina negozio WP
Plugin: Pagina negozio WP
Vulnerabilità : Admin+ Script tra siti archiviati
Patchato nella versione : 1.2.8
Punteggio di gravità : medio
6. Ibtana – Componenti aggiuntivi del prodotto e-commerce
Plugin: Ibtana – Componenti aggiuntivi per prodotti e-commerce
Vulnerabilità : Scripting incrociato riflesso
Patchato nella versione : 0.2.4
Punteggio di gravità : alto
7. Aggregatore WP RSS
Plugin: WP RSS Aggregator
Vulnerabilità : Admin+ Script tra siti archiviati
Patchato nella versione : 4.19.2
Punteggio di gravità : basso
8. Genera blocchi
Plugin: GeneraBlocks
Vulnerabilità : Contributor+ Scripting cross-site archiviato
Patchato nella versione : 1.4.0
Punteggio di gravità : medio
9. E-mail prima del download
Plugin: e-mail prima del download
Vulnerabilità : Admin+ SQL injection
Patchato nella versione : 6.8
Punteggio di gravità : medio
10. mioCred
Plugin: myCred
Vulnerabilità : Abbonato + SQL injection
Patchato nella versione : 2.3
Punteggio di gravità : alto
11. Google Maps Facile
Plugin: Google Maps Facile
Vulnerabilità : Admin+ Script tra siti archiviati
Patchato nella versione : 1.10.1
Punteggio di gravità : basso
12. Il mio calendario
Plugin: Il mio calendario
Vulnerabilità : Abbonato+ Scripting incrociato riflesso
Patchato nella versione : 3.2.18
Punteggio di gravità : medio
13. Generatore di moduli ARForms
Plugin: Generatore di moduli ARForms
Vulnerabilità : Admin+ Script tra siti archiviati
Patchato nella versione : 1.5
Punteggio di gravità : basso
14. Strumenti WP DSGVO
Plugin: Strumenti WP DSGVO
Vulnerabilità : eliminazione di post arbitraria non autenticata
Patchato nella versione : 3.1.24
Punteggio di gravità : alto
15. Importazione totale di WP
Plugin: WP All Import
Vulnerabilità : Admin+ Script tra siti archiviati
Patchato nella versione : 3.6.3
Punteggio di gravità : basso
16. WPS Nascondi accesso
Plugin: WPS Nascondi accesso
Vulnerabilità : Bypass di protezione con Referer-Header
Patchato nella versione : 1.9.1
Punteggio di gravità : medio
17. WP Google Fonts
Plugin: WP Google Fonts
Vulnerabilità : Scripting incrociato riflesso
Patchato nella versione : 3.1.5
Punteggio di gravità : medio
18. Event Manager per WooCommerce
Plugin: Event Manager per WooCommerce
Vulnerabilità : importazione di modelli Elementor arbitrari non autenticati
Patchato nella versione : 3.5.3
Punteggio di gravità : medio
Plugin: Event Manager per WooCommerce
Vulnerabilità : ripristino delle opzioni arbitrarie non autenticate
Patchato nella versione : 3.5.3
Punteggio di gravità : alto
19. AutomatorWP
Plugin: AutomatorWP
Vulnerabilità : autorizzazione mancante ed escalation dei privilegi
Patchato nella versione : 1.7.6
Punteggio di gravità : medio
20. Dispositivo di scorrimento del logo e vetrina
Plugin: Logo Slider e Showcase
Vulnerabilità : aggiornamento delle impostazioni del plugin dell'editor
Patchato nella versione : 1.3.37
Punteggio di gravità : basso
21. Listino prezzi alla moda
Plugin: Listino prezzi alla moda
Vulnerabilità : caricamento di immagini arbitrarie non autenticate
Patchato nella versione : 6.9.0
Punteggio di gravità : medio
Plugin: Listino prezzi alla moda
Vulnerabilità : Abbonato + caricamento arbitrario di immagini
Patchato nella versione : 6.9.1
Punteggio di gravità : medio
22. Debug del WP
Plugin: WP Debug
Vulnerabilità : aggiornamento delle impostazioni del plug-in non autenticato
Patchato nella versione : 2.11.0
Punteggio di gravità : medio
23. Elenco di hotel
Plugin: elenco di hotel
Vulnerabilità : scripting cross-site archiviato autenticato
Patchato nella versione : 1.3.3
Punteggio di gravità : medio
24. Localizzatore di posta elettronica
Plugin: Tracker e-mail
Vulnerabilità : Scripting incrociato riflesso
Patchato nella versione : 5.2.6
Punteggio di gravità : alto
25. Modulo di contatto di Supsystic
Plugin: Modulo di contatto di Supsystic
Vulnerabilità : Admin+ Script tra siti archiviati
Patchato nella versione : 1.7.20
Punteggio di gravità : basso
26. Menu Ristorante di MotoPress
Plugin: Menu Ristorante di MotoPress
Vulnerabilità : Admin+ Stored Cross Site Scripting
Patchato nella versione : 2.4.2
Punteggio di gravità : basso
27. Reindirizzamento SEO
Plugin: reindirizzamento SEO
Vulnerabilità : Abbonato + SQL injection
Patchato nella versione : 8.2
Punteggio di gravità : medio
28. Tutor LMS
Plugin: Tutor LMS
Vulnerabilità : Scripting incrociato riflesso
Patchato nella versione : 1.9.11
Punteggio di gravità : medio
29. Forme Ninja
Plugin: Forme Ninja
Vulnerabilità : Admin+ SQL injection
Patchato nella versione : 3.6.4
Punteggio di gravità : medio
30. Iscrizioni al Calendario degli Eventi
Plugin: registrazioni per il calendario degli eventi
Vulnerabilità : Scripting incrociato riflesso
Patchato nella versione : 2.7.5
Punteggio di gravità : alto
Come proteggere il tuo sito Web WordPress da temi e plugin vulnerabili
Come puoi vedere da questo rapporto, ogni settimana vengono divulgate molte nuove vulnerabilità di plugin e temi di WordPress. Sappiamo che può essere difficile rimanere aggiornati su ogni divulgazione di vulnerabilità segnalata, quindi il plug-in iThemes Security Pro rende facile assicurarsi che il tuo sito non stia eseguendo un tema, un plug-in o una versione core di WordPress con una vulnerabilità nota.
1. Installa il plug-in iThemes Security Pro
Il plug-in iThemes Security Pro rafforza il tuo sito WordPress contro i modi più comuni in cui i siti Web vengono violati. Con oltre 30 modi per proteggere il tuo sito in un plug-in facile da usare.
2. Abilita la scansione del sito per verificare la presenza di vulnerabilità note
La funzione di gestione della versione in iThemes Security Pro si integra con la scansione del sito per proteggere il tuo sito. Temi vulnerabili, plug-in e versioni principali di WordPress verranno aggiornati automaticamente per te.
3. Monitora le modifiche ai file
La chiave per individuare rapidamente una violazione della sicurezza è monitorare le modifiche ai file sul tuo sito web. La funzione di rilevamento delle modifiche dei file in iThemes Security Pro eseguirà la scansione dei file del tuo sito Web e ti avviserà quando si verificano modifiche sul tuo sito Web.
Ottieni iThemes Security Pro con il monitoraggio del sito Web 24 ore su 24, 7 giorni su 7
iThemes Security Pro, il nostro plug-in di sicurezza per WordPress, offre oltre 50 modi per proteggere e proteggere il tuo sito Web dalle comuni vulnerabilità di sicurezza di WordPress. Con WordPress, l'autenticazione a due fattori, la protezione dalla forza bruta, l'imposizione di password complesse e altro ancora, puoi aggiungere ulteriori livelli di sicurezza al tuo sito web.