Rapporto sulla vulnerabilità di WordPress: novembre 2021, parte 3

Pubblicato: 2021-11-20

Plugin e temi vulnerabili sono il motivo n. 1 per cui i siti Web WordPress vengono violati. Il rapporto settimanale sulle vulnerabilità di WordPress fornito da WPScan copre i recenti plugin, temi e vulnerabilità principali di WordPress e cosa fare se esegui uno dei plugin o temi vulnerabili sul tuo sito web.

Ciascuna vulnerabilità avrà un livello di gravità Basso , Medio , Alto o Critico . La divulgazione responsabile e la segnalazione delle vulnerabilità sono parte integrante della sicurezza della community di WordPress.

Condividi questo post con i tuoi amici per aiutare a spargere la voce e rendere WordPress più sicuro per tutti.

Vuoi ricevere questo rapporto nella tua casella di posta ogni settimana?
Iscriviti all'e-mail settimanale

Vulnerabilità principali di WordPress

L'ultima versione del core di WordPress è la 5.8.2. Come best practice, assicurati sempre di eseguire l'ultima versione del core di WordPress!

1. WordPress

Vulnerabilità : certificato CA X3 radice DST scaduto
Patchato nella versione : 5.8.2
Spiegazione: il file wp-includes/certificates/ca-bundle.crt contiene una CA X3 radice DST scaduta il 30 settembre 2021, generando in alcuni casi un avviso di sicurezza.

La vulnerabilità è stata corretta, quindi assicurati di eseguire WordPress 5.8.2.

Vulnerabilità dei plugin di WordPress

In questa sezione sono state divulgate le ultime vulnerabilità del plugin di WordPress. Ciascun elenco di plug-in include il tipo di vulnerabilità, il numero di versione se patchato e il livello di gravità.

1. Iscrizioni al Calendario Eventi

Plugin: Iscrizioni al Calendario Eventi
Vulnerabilità : SQL injection non autenticata
Patchato nella versione : 2.7.6
Punteggio di gravità : alto

La vulnerabilità è stata corretta, quindi è necessario eseguire l'aggiornamento alla versione 2.7.6.

2. AccessoWP

Plugin: LoginWP
Vulnerabilità : Scripting incrociato riflesso
Patchato nella versione : 3.0.0.5
Punteggio di gravità : alto

La vulnerabilità è stata corretta, quindi è necessario eseguire l'aggiornamento alla versione 3.0.0.5.

3. Cambio valuta WooCommerce

Plugin: WooCommerce Cambio valuta
Vulnerabilità : Scripting incrociato riflesso
Patchato nella versione : 1.3.7.1
Punteggio di gravità : medio

La vulnerabilità è stata corretta, quindi è necessario eseguire l'aggiornamento alla versione 1.3.7.1.

4. Protezione del contenuto da copia sicura e blocco del contenuto

Plugin: protezione del contenuto da copia sicura e blocco del contenuto
Vulnerabilità : Divulgazione dell'indirizzo e-mail dell'abbonato+
Patchato nella versione : 2.8.2
Punteggio di gravità : alto

La vulnerabilità è stata corretta, quindi è necessario eseguire l'aggiornamento alla versione 2.8.2.

5. A libro

Plugin: Bookly
Vulnerabilità : scripting cross-site archiviato da membri del personale
Patchato nella versione : 20.3.1
Punteggio di gravità : medio

La vulnerabilità è stata corretta, quindi è necessario eseguire l'aggiornamento alla versione 20.3.1.

6. Registro e-mail

Plugin: registro e-mail
Vulnerabilità : Scripting incrociato riflesso
Patchato nella versione : 2.4.8
Punteggio di gravità : alto

La vulnerabilità è stata corretta, quindi è necessario eseguire l'aggiornamento alla versione 2.4.8.

7. Chat dal vivo di Tawk.to

Plugin: Tawk.to Live Chat
Vulnerabilità : monitoraggio di abbonati + visitatori e rimozione della chat
Patchato nella versione : 0.6.0
Punteggio di gravità : alto

La vulnerabilità è stata corretta, quindi è necessario eseguire l'aggiornamento alla versione 0.6.0.

8. Accesso ai dati WP

Plugin: WP Data Access
Vulnerabilità : Admin+ SQL injection
Patchato nella versione : 5.0.0
Punteggio di gravità : alto

La vulnerabilità è stata corretta, quindi è necessario eseguire l'aggiornamento alla versione 5.0.0.

9. Visualizzatore PDF.js

Plugin: Visualizzatore PDF.js
Vulnerabilità : Contributor+ Scripting cross-site archiviato
Patchato nella versione : 2.0.2
Punteggio di gravità : medio

La vulnerabilità è stata corretta, quindi è necessario eseguire l'aggiornamento alla versione 2.0.2.

10. Backup e ripristino

Plugin: backup e ripristino
Vulnerabilità : amministratore + eliminazione arbitraria di file
Patchato nella versione : nessuna correzione nota
Punteggio di gravità : medio

Questa vulnerabilità NON è stata corretta. Disinstalla ed elimina il plug-in fino al rilascio di una patch.

11. ImparaStampa

Plugin: LearnPress
Vulnerabilità : Admin+ SQL injection
Patchato nella versione : 4.1.4
Punteggio di gravità : medio

La vulnerabilità è stata corretta, quindi è necessario eseguire l'aggiornamento alla versione 4.1.4.

12. Ottieni valori di campo personalizzati

Plugin: ottieni valori di campo personalizzati
Vulnerabilità : Contributor+ Scripting cross-site archiviato
Patchato nella versione : 4.0.1
Punteggio di gravità : medio

La vulnerabilità è stata corretta, quindi è necessario eseguire l'aggiornamento alla versione 4.0.1.

13. Pacchetto di prenotazione

Plugin: Pacchetto di prenotazione
Vulnerabilità : Scripting incrociato riflesso
Patchato nella versione : 1.5.11
Punteggio di gravità : medio

La vulnerabilità è stata corretta, quindi è necessario eseguire l'aggiornamento alla versione 1.5.11.

14. Valutazione del pulsante Mi piace

Plugin: Like Button Rating
Vulnerabilità : Esportazione di voti non autorizzati in e-mail e divulgazione di indirizzi IP
Patchato nella versione : 2.6.38
Punteggio di gravità : alto

La vulnerabilità è stata corretta, quindi è necessario eseguire l'aggiornamento alla versione 2.6.38.

15. Forme Caldera

Plugin: Moduli Caldera
Vulnerabilità : Admin+ Script tra siti archiviati
Patchato nella versione : 1.9.5
Punteggio di gravità : basso

La vulnerabilità è stata corretta, quindi è necessario eseguire l'aggiornamento alla versione 1.9.5.

16. Modelli di partenza

Plugin: modelli iniziali
Vulnerabilità : Contributor+ Blocca l'importazione in XSS archiviato
Patchato nella versione : 2.7.1
Punteggio di gravità : alto

La vulnerabilità è stata corretta, quindi è necessario eseguire l'aggiornamento alla versione 2.7.1.

17. Modulo di contatto e-mail

Plugin: modulo di contatto e-mail
Vulnerabilità : Admin+ Script tra siti archiviati
Patchato nella versione : 1.3.25
Punteggio di gravità : basso

La vulnerabilità è stata corretta, quindi è necessario eseguire l'aggiornamento alla versione 1.3.25.

18. Galleria video – Galleria Vimeo e YouTube

Plugin: Galleria video – Galleria Vimeo e YouTube
Vulnerabilità : Admin+ Script tra siti archiviati
Patchato nella versione : 1.1.5
Punteggio di gravità : basso

La vulnerabilità è stata corretta, quindi è necessario eseguire l'aggiornamento alla versione 1.1.5.

19. Post popolari di WordPress

Plugin: post popolari di WordPress
Vulnerabilità : Admin+ Script tra siti archiviati
Patchato nella versione : 5.3.4
Punteggio di gravità : basso

La vulnerabilità è stata corretta, quindi è necessario eseguire l'aggiornamento alla versione 5.3.4.

Come proteggere il tuo sito Web WordPress da temi e plugin vulnerabili

Come puoi vedere da questo rapporto, ogni settimana vengono divulgate molte nuove vulnerabilità di plugin e temi di WordPress. Sappiamo che può essere difficile rimanere aggiornati su ogni divulgazione di vulnerabilità segnalata, quindi il plug-in iThemes Security Pro rende facile assicurarsi che il tuo sito non stia eseguendo un tema, un plug-in o una versione core di WordPress con una vulnerabilità nota.

1. Installa il plug-in iThemes Security Pro

Il plug-in iThemes Security Pro rafforza il tuo sito WordPress contro i modi più comuni in cui i siti Web vengono violati. Con oltre 30 modi per proteggere il tuo sito in un plug-in facile da usare.

2. Abilita la scansione del sito per verificare la presenza di vulnerabilità note

La funzione di gestione della versione in iThemes Security Pro si integra con la scansione del sito per proteggere il tuo sito. Temi vulnerabili, plug-in e versioni principali di WordPress verranno aggiornati automaticamente per te.

3. Monitora le modifiche ai file

La chiave per individuare rapidamente una violazione della sicurezza è monitorare le modifiche ai file sul tuo sito web. La funzione di rilevamento delle modifiche dei file in iThemes Security Pro eseguirà la scansione dei file del tuo sito Web e ti avviserà quando si verificano modifiche sul tuo sito Web.

Ottieni iThemes Security Pro con il monitoraggio della sicurezza del sito web 24 ore su 24, 7 giorni su 7

iThemes Security Pro, il nostro plug-in di sicurezza per WordPress, offre oltre 50 modi per proteggere e proteggere il tuo sito Web dalle comuni vulnerabilità di sicurezza di WordPress. Con WordPress, l'autenticazione a due fattori, la protezione dalla forza bruta, l'imposizione di password complesse e altro ancora, puoi aggiungere ulteriori livelli di sicurezza al tuo sito web.

  • Scanner del sito per vulnerabilità di plugin e temi
  • Rilevamento delle modifiche ai file
  • Dashboard di sicurezza del sito Web in tempo reale
  • Registri di sicurezza di WordPress
  • Dispositivi affidabili
  • reCAPTCHA
  • Protezione dalla forza bruta
  • Autenticazione a due fattori
  • Link di accesso magici
  • Aumento dei privilegi
  • Controllo e rifiuto di password compromesse

Ottieni iThemes Security Pro