Rapporto sulla vulnerabilità di WordPress: novembre 2021, parte 4

Pubblicato: 2021-11-25

Plugin e temi vulnerabili sono il motivo n. 1 per cui i siti Web WordPress vengono violati. Il rapporto settimanale sulle vulnerabilità di WordPress fornito da WPScan copre i recenti plugin, temi e vulnerabilità principali di WordPress e cosa fare se esegui uno dei plugin o temi vulnerabili sul tuo sito web.

Ciascuna vulnerabilità avrà un livello di gravità Basso , Medio , Alto o Critico . La divulgazione responsabile e la segnalazione delle vulnerabilità sono parte integrante della sicurezza della community di WordPress.

Condividi questo post con i tuoi amici per aiutare a spargere la voce e rendere WordPress più sicuro per tutti.

Vuoi ricevere questo rapporto nella tua casella di posta ogni settimana?
Iscriviti all'e-mail settimanale

Hosting WordPress: GoDaddy hackerato

In un'informativa sulla sicurezza pubblicata il 21 novembre 2021, GoDaddy afferma che fino a 1,2 milioni di clienti attivi e inattivi sono stati esposti dopo che gli hacker hanno ottenuto l'accesso alla sua piattaforma di hosting WordPress gestita.

Abbiamo scritto un post per decomprimere alcuni dei dettagli del recente hack di GoDaddy, come influisce sui clienti e i nostri consigli su cosa fare se sei un cliente di hosting WordPress su GoDaddy.

Leggi il post

Vulnerabilità principali di WordPress

L'ultima versione del core di WordPress è la 5.8.2. Come best practice, assicurati sempre di eseguire l'ultima versione del core di WordPress!

Vulnerabilità dei plugin di WordPress

In questa sezione sono state divulgate le ultime vulnerabilità del plugin di WordPress. Ciascun elenco di plug-in include il tipo di vulnerabilità, il numero di versione se patchato e il livello di gravità.

1. Pixel Cat Lite

Plugin: Pixel Cat Lite
Vulnerabilità : Admin+ Script tra siti archiviati
Patchato nella versione : 2.6.3
Punteggio di gravità : basso

La vulnerabilità è stata corretta, quindi è necessario eseguire l'aggiornamento alla versione 2.6.3.

Plugin: Pixel Cat Lite
Vulnerabilità : CSRF allo scripting cross-site archiviato
Patchato nella versione : 2.6.2
Punteggio di gravità : alto

La vulnerabilità è stata corretta, quindi è necessario eseguire l'aggiornamento alla versione 2.6.2.

2. Galleria All-In-One

Plugin: All-In-One-Gallery
Vulnerabilità : amministratore + inclusione di file locali
Patchato nella versione : 2.5.0
Punteggio di gravità : basso

La vulnerabilità è stata corretta, quindi è necessario eseguire l'aggiornamento alla versione 2.5.0.

3. StopBadBot

Plugin: StopBadBots
Vulnerabilità : Scripting incrociato riflesso
Patchato nella versione : 6.67
Punteggio di gravità : critico

La vulnerabilità è stata corretta, quindi è necessario eseguire l'aggiornamento alla versione 6.67.

4. Accesso temporaneo senza password

Plugin: accesso temporaneo senza password
Vulnerabilità : aggiornamento delle impostazioni del plugin abbonato+
Patchato nella versione : 1.7.1
Punteggio di gravità : medio

La vulnerabilità è stata corretta, quindi è necessario eseguire l'aggiornamento alla versione 1.7.1.

5. ProfiloPremere

Plugin: ProfilePress
Vulnerabilità : Scripting incrociato riflesso
Patchato nella versione : 3.2.3
Punteggio di gravità : medio

La vulnerabilità è stata corretta, quindi è necessario eseguire l'aggiornamento alla versione 3.2.3.

Plugin: ProfilePress
Vulnerabilità : Scripting incrociato riflesso
Patchato nella versione : 3.2.3
Punteggio di gravità : alto

La vulnerabilità è stata corretta, quindi è necessario eseguire l'aggiornamento alla versione 3.2.3.

6. Calendario degli eventi moderni

Plugin: Calendario degli eventi moderni
Vulnerabilità : Iniezione SQL cieca non autenticata
Patchato nella versione : 6.1.5
Punteggio di gravità : alto

La vulnerabilità è stata corretta, quindi è necessario eseguire l'aggiornamento alla versione 6.1.5.

Plugin: Calendario degli eventi moderni
Vulnerabilità : Scripting incrociato riflesso
Patchato nella versione : 6.1.5
Punteggio di gravità : alto

La vulnerabilità è stata corretta, quindi è necessario eseguire l'aggiornamento alla versione 6.1.5.

7. Immagine in evidenza automatica

Plugin: immagine in evidenza automatica
Vulnerabilità : Scripting incrociato riflesso
Patchato nella versione : 3.9.3
Punteggio di gravità : medio

La vulnerabilità è stata corretta, quindi è necessario eseguire l'aggiornamento alla versione 3.9.3.

8. Ultimo No Follow

Plugin: Ultimate NoFollow
Vulnerabilità : Contributor+ Scripting cross-site archiviato
Patchato nella versione : nessuna correzione nota – plug-in chiuso
Punteggio di gravità : medio

Questa vulnerabilità NON è stata corretta. Questo plugin è stato chiuso il 28 settembre 2021. Disinstalla ed elimina.

9. Moduli NEX

Plugin: NEX-Forms
Vulnerabilità : più amministratori + script tra siti archiviati
Patchato nella versione : nessuna correzione nota – plug-in chiuso
Punteggio di gravità : basso

Questa vulnerabilità NON è stata corretta. Questo plugin è stato chiuso a partire dal 4 ottobre 2021. Disinstalla ed elimina.

10. Booster SEO

Plugin: SEO Booster
Vulnerabilità : Admin+ SQL injection
Patchato nella versione : nessuna correzione nota – plug-in chiuso
Punteggio di gravità : medio

Questa vulnerabilità NON è stata corretta. Questo plugin è stato chiuso il 5 ottobre 2021. Disinstalla ed elimina.

11. Registro di sistema WP

Plugin: Registro di sistema WP
Vulnerabilità : scripting cross-site archiviato non autenticato
Patchato nella versione : 1.0.21
Punteggio di gravità : critico

La vulnerabilità è stata corretta, quindi è necessario eseguire l'aggiornamento alla versione 1.0.21.

12. Rotatore di citazioni ispiratrici

Plugin: Inspirational Quote Rotator
Vulnerabilità : Admin+ Script tra siti archiviati
Patchato nella versione : nessuna correzione nota – plug-in chiuso
Punteggio di gravità : basso

Questa vulnerabilità NON è stata corretta. Questo plugin è stato chiuso il 23 settembre 2021. Disinstalla ed elimina.

13. Esportatore postale unico

Plugin: Post Exporter singolo
Vulnerabilità : aggiornamento delle impostazioni del plug-in tramite CSRF
Patchato nella versione : nessuna correzione nota – plug-in chiuso
Punteggio di gravità : medio

Questa vulnerabilità NON è stata corretta. Questo plugin è stato chiuso il 23 settembre 2021. Disinstalla ed elimina.

14. Caratteri locali flessibili

Plugin: Caratteri locali flessibili
Vulnerabilità : Admin+ Stored Cross-Site-Scripting
Patchato nella versione : nessuna correzione nota – plug-in chiuso
Punteggio di gravità : basso

Questa vulnerabilità NON è stata corretta. Questo plugin è stato chiuso il 23 settembre 2021. Disinstalla ed elimina.

15. Cambia logo amministratore WP

Plugin: WP Admin Logo Changer
Vulnerabilità : aggiornamento delle impostazioni del plug-in tramite CSRF
Patchato nella versione : nessuna correzione nota – plug-in chiuso
Punteggio di gravità : medio

Questa vulnerabilità NON è stata corretta. Questo plugin è stato chiuso a partire dal 4 ottobre 2021. Disinstalla ed elimina.

16. Database avanzato del modulo di contatto

Plugin: Database avanzato del modulo di contatto
Vulnerabilità : chiamate AJAX non autorizzate
Patchato nella versione : nessuna correzione nota
Punteggio di gravità : medio

Questo plugin è stato chiuso il 27 settembre 2021 e non è disponibile per il download. Questa chiusura è temporanea, in attesa di una revisione completa. Ti consigliamo di disinstallare ed eliminare fino a quando non viene trovata una soluzione.

17. Bottoni lucidi

Plugin: pulsanti lucidi
Vulnerabilità : scripting cross-site archiviato non autenticato
Patchato nella versione : nessuna correzione nota
Punteggio di gravità : alto

Questo plugin è stato chiuso il 27 settembre 2021 e non è disponibile per il download. Questa chiusura è temporanea, in attesa di una revisione completa. Ti consigliamo di disinstallare ed eliminare fino a quando non viene trovata una soluzione.

18. Filtra galleria portfolio

Plugin: Filtra Galleria Portfolio
Vulnerabilità : cancellazione arbitraria della galleria tramite CSRF
Patchato nella versione : nessuna correzione nota
Punteggio di gravità : medio

Questo plugin è stato chiuso il 27 settembre 2021 e non è disponibile per il download. Questa chiusura è temporanea, in attesa di una revisione completa. Ti consigliamo di disinstallare ed eliminare fino a quando non viene trovata una soluzione.

19. Limiti del WP

Plugin: Limiti WP
Vulnerabilità : aggiornamento delle impostazioni del plug-in tramite CSRF
Patchato nella versione : nessuna correzione nota
Punteggio di gravità : medio

Questo plugin è stato chiuso il 4 ottobre 2021 e non è disponibile per il download. Questa chiusura è temporanea, in attesa di una revisione completa. Ti consigliamo di disinstallare ed eliminare fino a quando non viene trovata una soluzione.

20. Shortcode del contenuto della pagina/del post

Plugin: Shortcode del contenuto della pagina/del post
Vulnerabilità : Contributore + Accesso a pagine/post arbitrari
Patchato nella versione : nessuna correzione nota
Punteggio di gravità : medio

Questo plugin è stato chiuso il 4 ottobre 2021 e non è disponibile per il download. Questa chiusura è temporanea, in attesa di una revisione completa. Ti consigliamo di disinstallare ed eliminare fino a quando non viene trovata una soluzione.

21. Migliorata la pagina di inclusione

Plugin: pagina di inclusione migliorata
Vulnerabilità : Contributore + Accesso a pagine/post arbitrari
Patchato nella versione : nessuna correzione nota
Punteggio di gravità : medio

Questo plugin è stato chiuso l'8 ottobre 2021 e non è disponibile per il download. Questa chiusura è temporanea, in attesa di una revisione completa. Ti consigliamo di disinstallare ed eliminare fino a quando non viene trovata una soluzione.

22. Mediamatico

Plugin: Mediamatic
Vulnerabilità : Abbonato + SQL injection
Patchato nella versione : nessuna correzione nota
Punteggio di gravità : alto

Questo plugin è stato chiuso l'11 ottobre 2021 e non è disponibile per il download. Questa chiusura è temporanea, in attesa di una revisione completa. Ti consigliamo di disinstallare ed eliminare fino a quando non viene trovata una soluzione.

23. Visualizza i metadati dei post

Plugin: Visualizza i metadati dei post
Vulnerabilità : Contributor+ Scripting cross-site archiviato
Patchato nella versione : nessuna correzione nota
Punteggio di gravità : medio

Questo plugin è stato chiuso il 21 ottobre 2021 e non è disponibile per il download. Questa chiusura è temporanea, in attesa di una revisione completa. Ti consigliamo di disinstallare ed eliminare fino a quando non viene trovata una soluzione.

24. Collegamento ToTop

Plugin: ToTop Link
Vulnerabilità : Iniezione di oggetti PHP non autenticati
Patchato nella versione : nessuna correzione nota
Punteggio di gravità : medio

Questo plugin è stato chiuso il 21 ottobre 2021 e non è disponibile per il download. Questa chiusura è temporanea, in attesa di una revisione completa. Ti consigliamo di disinstallare ed eliminare fino a quando non viene trovata una soluzione.

25. Meta codici brevi dell'utente

Plugin: Meta shortcode utente
Vulnerabilità : Contributor+ Accesso arbitrario ai metadati dell'utente non autorizzato
Patchato nella versione : nessuna correzione nota
Punteggio di gravità : alto

Questo plugin è stato chiuso il 12 ottobre 2021 e non è disponibile per il download. Questa chiusura è temporanea, in attesa di una revisione completa. Ti consigliamo di disinstallare ed eliminare fino a quando non viene trovata una soluzione.

26. Raccolta di citazioni

Plugin: raccolta di citazioni
Vulnerabilità : Admin+ SQL injection
Patchato nella versione : nessuna correzione nota
Punteggio di gravità : medio

Questo plugin è stato chiuso il 13 ottobre 2021 e non è disponibile per il download. Questa chiusura è temporanea, in attesa di una revisione completa. Ti consigliamo di disinstallare ed eliminare fino a quando non viene trovata una soluzione.

27. Notifiche push per WordPress (Lite)

Plugin: Notifiche Push per WordPress (Lite)
Vulnerabilità : aggiornamento delle impostazioni tramite CSRF
Patchato nella versione : 6.0.1
Punteggio di gravità : medio

La vulnerabilità è stata corretta, quindi è necessario eseguire l'aggiornamento alla versione 6.0.1.

28. Stampa sportiva

Plugin: SportsPress
Vulnerabilità : Scripting incrociato riflesso
Patchato nella versione : 2.7.9
Punteggio di gravità : alto

La vulnerabilità è stata corretta, quindi è necessario eseguire l'aggiornamento alla versione 2.7.9.

29. Popup di accesso/registrazione

Plugin: popup di accesso/registrazione
Vulnerabilità : Scripting incrociato riflesso
Patchato nella versione : 2.2
Punteggio di gravità : alto

La vulnerabilità è stata corretta, quindi è necessario eseguire l'aggiornamento alla versione 2.2.

30. Anteprima delle e-mail per WooCommerce

Plugin: Anteprima delle e-mail per WooCommerce
Vulnerabilità : Scripting incrociato riflesso
Patchato nella versione : 2.0.0
Punteggio di gravità : medio

La vulnerabilità è stata corretta, quindi è necessario eseguire l'aggiornamento alla versione 3.0.0.5.

31. Frontend utente di WP

Plugin: Frontend utente WP
Vulnerabilità : Plugin di iscrizione, profilo, registrazione e invio post per WordPress
Patchato nella versione : 3.5.25
Punteggio di gravità : medio

La vulnerabilità è stata corretta, quindi è necessario eseguire l'aggiornamento alla versione 3.5.25.

32. Directorist – Plugin Business Directory

Plugin: Directorist – Plugin Business Directory
Vulnerabilità : CSRF al caricamento remoto di file
Patchato nella versione : 7.0.6.2
Punteggio di gravità : critico

La vulnerabilità è stata corretta, quindi è necessario eseguire l'aggiornamento alla versione 7.0.6.2.

33. Moduli di registrazione facili

Plugin: moduli di registrazione facili
Vulnerabilità : CSRF allo scripting cross-site archiviato
Patchato nella versione : nessuna correzione nota
Punteggio di gravità : alto

Questo plugin è stato chiuso il 12 novembre 2021 e non è disponibile per il download. Questa chiusura è temporanea, in attesa di una revisione completa. Ti consigliamo di disinstallare ed eliminare fino a quando non viene trovata una soluzione.

34. WP Reset Pro

Plugin: WP Reset Pro
Vulnerabilità : Abbonato + ripristino del database
Patchato nella versione : 5.99
Punteggio di gravità : critico

La vulnerabilità è stata corretta, quindi è necessario eseguire l'aggiornamento alla versione 5.99.

Plugin: WP Reset Pro
Vulnerabilità : ripristino del database tramite CSRF
Patchato nella versione : 5.99
Punteggio di gravità : critico

La vulnerabilità è stata corretta, quindi è necessario eseguire l'aggiornamento alla versione 5.99.

35. WordPress + Microsoft Office 365

Plugin: WordPress + Microsoft Office 365
Vulnerabilità : scripting cross-site archiviato non autenticato
Patchato nella versione : 15.4
Punteggio di gravità : critico

La vulnerabilità è stata corretta, quindi è necessario eseguire l'aggiornamento alla versione 15.4.

36. Posta duplicata

Plugin: Post duplicato
Vulnerabilità : SQL injection autenticata
Patchato nella versione : 1.2.0
Punteggio di gravità : medio

La vulnerabilità è stata corretta, quindi è necessario eseguire l'aggiornamento alla versione 1.2.0.

37. Migrazione di backup

Plugin: migrazione di backup
Vulnerabilità : Admin+ Script tra siti archiviati
Patchato nella versione : 1.1.6
Punteggio di gravità : medio

La vulnerabilità è stata corretta, quindi è necessario eseguire l'aggiornamento alla versione 1.1.6.

Come proteggere il tuo sito Web WordPress da temi e plugin vulnerabili

Come puoi vedere da questo rapporto, ogni settimana vengono divulgate molte nuove vulnerabilità di plugin e temi di WordPress. Sappiamo che può essere difficile rimanere aggiornati su ogni divulgazione di vulnerabilità segnalata, quindi il plug-in iThemes Security Pro rende facile assicurarsi che il tuo sito non stia eseguendo un tema, un plug-in o una versione core di WordPress con una vulnerabilità nota.

1. Installa il plug-in iThemes Security Pro

Il plug-in iThemes Security Pro rafforza il tuo sito WordPress contro i modi più comuni in cui i siti Web vengono violati. Con oltre 30 modi per proteggere il tuo sito in un plug-in facile da usare.

2. Abilita la scansione del sito per verificare la presenza di vulnerabilità note

La funzione di gestione della versione in iThemes Security Pro si integra con la scansione del sito per proteggere il tuo sito. Temi vulnerabili, plug-in e versioni principali di WordPress verranno aggiornati automaticamente per te.

3. Monitora le modifiche ai file

La chiave per individuare rapidamente una violazione della sicurezza è monitorare le modifiche ai file sul tuo sito web. La funzione di rilevamento delle modifiche dei file in iThemes Security Pro eseguirà la scansione dei file del tuo sito Web e ti avviserà quando si verificano modifiche sul tuo sito Web.

Ottieni iThemes Security Pro con il monitoraggio della sicurezza del sito web 24 ore su 24, 7 giorni su 7

iThemes Security Pro, il nostro plug-in di sicurezza per WordPress, offre oltre 50 modi per proteggere e proteggere il tuo sito Web dalle comuni vulnerabilità di sicurezza di WordPress. Con WordPress, l'autenticazione a due fattori, la protezione dalla forza bruta, l'imposizione di password complesse e altro ancora, puoi aggiungere ulteriori livelli di sicurezza al tuo sito web.

  • Scanner del sito per vulnerabilità di plugin e temi
  • Rilevamento delle modifiche ai file
  • Dashboard di sicurezza del sito Web in tempo reale
  • Registri di sicurezza di WordPress
  • Dispositivi affidabili
  • reCAPTCHA
  • Protezione dalla forza bruta
  • Autenticazione a due fattori
  • Link di accesso magici
  • Aumento dei privilegi
  • Controllo e rifiuto di password compromesse

Risparmia il 40% su iThemes Security Pro