Rapporto sulla vulnerabilità di WordPress: ottobre 2021, parte 2

Pubblicato: 2021-10-13

Plugin e temi vulnerabili sono il motivo n. 1 per cui i siti Web WordPress vengono violati. Il rapporto settimanale sulle vulnerabilità di WordPress fornito da WPScan copre i recenti plugin, temi e vulnerabilità principali di WordPress e cosa fare se esegui uno dei plugin o temi vulnerabili sul tuo sito web.

Ciascuna vulnerabilità avrà un livello di gravità Basso , Medio , Alto o Critico . La divulgazione responsabile e la segnalazione delle vulnerabilità sono parte integrante della sicurezza della community di WordPress.

Condividi questo post con i tuoi amici per aiutare a spargere la voce e rendere WordPress più sicuro per tutti.

Contenuti del Rapporto del 13 ottobre 2021
    Vuoi ricevere questo rapporto nella tua casella di posta ogni settimana?
    Iscriviti all'e-mail settimanale

    Vulnerabilità principali di WordPress

    L'ultima versione del core di WordPress è la 5.8.1 è stata rilasciata come versione di sicurezza e manutenzione. Come best practice, assicurati sempre di eseguire l'ultima versione del core di WordPress!

    Vulnerabilità dei plugin di WordPress

    In questa sezione sono state divulgate le ultime vulnerabilità del plugin di WordPress. Ciascun elenco di plug-in include il tipo di vulnerabilità, il numero di versione se patchato e il livello di gravità.

    1. Pulsante Acquista ora PayPal facile

    Plugin: pulsante Acquista ora PayPal facile
    Vulnerabilità : CSRF allo scripting cross-site archiviato
    Patchato nella versione : 1.7.3
    Punteggio di gravità : alto

    La vulnerabilità è stata corretta, quindi è necessario eseguire l'aggiornamento alla versione 1.7.3.

    2. Eventi resi facili

    Plugin: Eventi resi facili
    Vulnerabilità : Admin+ Script tra siti archiviati
    Patchato nella versione : 2.2.24
    Punteggio di gravità : basso

    La vulnerabilità è stata corretta, quindi è necessario eseguire l'aggiornamento alla versione 2.2.24.

    3. Messaggi migliori BP

    Plugin: BP Better Messaggi
    Vulnerabilità : Scripting incrociato riflesso
    Patchato nella versione : 1.9.9.41
    Punteggio di gravità : alto

    La vulnerabilità è stata corretta, quindi è necessario eseguire l'aggiornamento alla versione 1.9.9.41.

    Plugin: BP Better Messaggi
    Vulnerabilità : CSRF multiplo
    Patchato nella versione : 1.9.9.41
    Punteggio di gravità : medio

    La vulnerabilità è stata corretta, quindi è necessario eseguire l'aggiornamento alla versione 1.9.9.41.

    4. Costruttore di Themify

    Plugin: Themify Builder
    Vulnerabilità : Scripting incrociato riflesso
    Patchato nella versione : 5.3.2
    Punteggio di gravità : alto

    La vulnerabilità è stata corretta, quindi è necessario eseguire l'aggiornamento alla versione 5.3.2.

    5. Intestazione di scadenza nel futuro lontano

    Plugin: Intestazione di scadenza Far Future
    Vulnerabilità : aggiornamento delle impostazioni del plug-in tramite CSRF
    Patchato nella versione : 1.5
    Punteggio di gravità : medio

    La vulnerabilità è stata corretta, quindi è necessario eseguire l'aggiornamento alla versione 1.5.

    6. Controllo della sorgente dell'immagine

    Plugin: controllo della sorgente dell'immagine
    Vulnerabilità : Contributor+ Modifica arbitraria del valore del meta
    Patchato nella versione : 2.3.1
    Punteggio di gravità : medio

    La vulnerabilità è stata corretta, quindi è necessario eseguire l'aggiornamento alla versione 2.3.1.

    7. Dispositivo di scorrimento del logo e vetrina

    Plugin: Logo Slider e Showcase
    Vulnerabilità : aggiornamento delle impostazioni del plugin dell'editor
    Patchato nella versione : 1.3.37
    Punteggio di gravità : basso

    La vulnerabilità è stata corretta, quindi è necessario eseguire l'aggiornamento alla versione 1.3.37.

    8. Gateway di pagamento Cardinity per WooCommerce

    Plugin: Cardinity Payment Gateway per WooCommerce
    Vulnerabilità : Scripting incrociato riflesso
    Patchato nella versione : 3.0.7
    Punteggio di gravità : alto

    La vulnerabilità è stata corretta, quindi è necessario eseguire l'aggiornamento alla versione 3.0.7.

    9. Lettore audio MP3 per musica, radio e podcast di Sonaar

    Plugin: lettore audio MP3 per musica, radio e podcast di Sonaar
    Vulnerabilità : amministrazione multipla + scripting su più siti
    Patchato nella versione : 2.4.2
    Punteggio di gravità : basso

    La vulnerabilità è stata corretta, quindi è necessario eseguire l'aggiornamento alla versione 2.4.2.

    10. Donazione Paypal

    Plugin: Donazione Paypal
    Vulnerabilità : CSRF all'eliminazione arbitraria di post
    Patchato nella versione : 1.3.1
    Punteggio di gravità : medio

    La vulnerabilità è stata corretta, quindi è necessario eseguire l'aggiornamento alla versione 1.3.1.

    Plugin: Donazione Paypal
    Vulnerabilità : CSRF allo scripting cross-site archiviato
    Patchato nella versione : 1.3.1
    Punteggio di gravità : alto

    La vulnerabilità è stata corretta, quindi è necessario eseguire l'aggiornamento alla versione 1.3.1.

    11. Prossimamente, in modalità di costruzione e manutenzione di Dazzler

    Plugin: in arrivo, in modalità di costruzione e manutenzione di Dazzler
    Vulnerabilità : Admin+ Script tra siti archiviati
    Patchato nella versione : 1.6.7
    Punteggio di gravità : basso

    La vulnerabilità è stata corretta, quindi è necessario eseguire l'aggiornamento alla versione 1.6.7.

    12. Traduci WordPress – Google Language Translator

    Plugin: Translate WordPress – Google Language Translator
    Vulnerabilità : Admin+ Script tra siti archiviati
    Patchato nella versione : 6.0.12
    Punteggio di gravità : basso

    La vulnerabilità è stata corretta, quindi è necessario eseguire l'aggiornamento alla versione 6.0.12.

    13. Assistenza per i prodotti di Booking.com

    Plugin: Helper del prodotto di Booking.com
    Vulnerabilità : Admin+ Script tra siti archiviati
    Patchato nella versione : nessuna correzione nota – plug-in chiuso
    Punteggio di gravità : basso

    Questa vulnerabilità NON è stata corretta. Questo plugin è stato chiuso il 18 agosto 2021. Disinstalla ed elimina.

    14. Creatore di banner di Booking.com

    Plugin: Creatore di banner di Booking.com
    Vulnerabilità : Admin+ Script tra siti archiviati
    Patchato nella versione : nessuna correzione nota – plug-in chiuso
    Punteggio di gravità : basso

    Questa vulnerabilità NON è stata corretta. Questo plugin è stato chiuso il 18 agosto 2021. Disinstalla ed elimina.

    15. Monitor di download semplice

    Plugin: monitor download semplice
    Vulnerabilità : ripristino del registro non autorizzato
    Patchato nella versione : 3.9.6
    Punteggio di gravità : medio

    La vulnerabilità è stata corretta, quindi è necessario eseguire l'aggiornamento alla versione 3.9.6.

    Plugin: monitor download semplice
    Vulnerabilità : rimozione arbitraria delle miniature
    Patchato nella versione : 3.9.6
    Punteggio di gravità : medio

    La vulnerabilità è stata corretta, quindi è necessario eseguire l'aggiornamento alla versione 3.9.6.

    Plugin: monitor download semplice
    Vulnerabilità : accesso al registro non autenticato
    Patchato nella versione : 3.9.6
    Punteggio di gravità : medio

    La vulnerabilità è stata corretta, quindi è necessario eseguire l'aggiornamento alla versione 3.9.6.

    Plugin: monitor download semplice
    Vulnerabilità : Scripting incrociato riflesso
    Patchato nella versione : 3.9.5
    Punteggio di gravità : alto

    La vulnerabilità è stata corretta, quindi è necessario eseguire l'aggiornamento alla versione 3.9.5.

    Plugin: monitor download semplice
    Vulnerabilità : Contributor+ Script tra siti archiviati tramite miniatura file
    Patchato nella versione : 3.9.5
    Punteggio di gravità : alto

    La vulnerabilità è stata corretta, quindi è necessario eseguire l'aggiornamento alla versione 3.9.5.

    16. Chat bidirezionale

    Plugin: Chat bidirezionale
    Vulnerabilità : CSRF multiplo
    Patchato nella versione : 3.1.5
    Punteggio di gravità : medio

    La vulnerabilità è stata corretta, quindi è necessario eseguire l'aggiornamento alla versione 3.1.5.

    Plugin: Chat bidirezionale
    Vulnerabilità : amministratore + inclusione di file locali
    Patchato nella versione : 3.1.5
    Punteggio di gravità : basso

    La vulnerabilità è stata corretta, quindi è necessario eseguire l'aggiornamento alla versione 3.1.5.

    17. WP-Richiamo

    Plugin: WP-Recall
    Vulnerabilità : Scripting incrociato riflesso
    Patchato nella versione : 16.24.48
    Punteggio di gravità : alto

    La vulnerabilità è stata corretta, quindi è necessario eseguire l'aggiornamento alla versione 16.24.48.

    18. JobSearch WP Job Board

    Plugin: JobSearch WP Job Board
    Vulnerabilità : abbonato + aggiornamento arbitrario delle opzioni del blog
    Patchato nella versione : 1.8.2
    Punteggio di gravità : alto

    La vulnerabilità è stata corretta, quindi è necessario eseguire l'aggiornamento alla versione 1.8.2.

    Plugin: JobSearch WP Job Board
    Vulnerabilità : aggiornamento delle impostazioni del plug-in non autenticato
    Patchato nella versione : 1.8.2
    Punteggio di gravità : medio

    La vulnerabilità è stata corretta, quindi è necessario eseguire l'aggiornamento alla versione 1.8.2.

    Plugin: JobSearch WP Job Board
    Vulnerabilità : Abbonato + Aggiungi/Aggiorna le chiamate del programma
    Patchato nella versione : 1.8.2
    Punteggio di gravità : medio

    La vulnerabilità è stata corretta, quindi è necessario eseguire l'aggiornamento alla versione 1.8.2.

    19. Carrello eCommerce di TheCartPress

    Plugin: Carrello eCommerce di TheCartPress
    Vulnerabilità : CSRF allo scripting cross-site archiviato
    Patchato nella versione : nessuna correzione nota – plug-in chiuso
    Punteggio di gravità : alto

    Questa vulnerabilità NON è stata corretta. Questo plugin è stato chiuso il 5 ottobre 2021. Disinstalla ed elimina.

    20. API di MStore

    Plugin: API MStore
    Vulnerabilità : caricamento di file PHP non autenticato
    Patchato nella versione : nessuna correzione nota – plug-in chiuso
    Punteggio di gravità : critico

    Questa vulnerabilità NON è stata corretta. Questo plugin è stato chiuso il 5 ottobre 2021. Disinstalla ed elimina.

    21. Rinomina file multimediali – Rinomina automatica e manuale

    Plugin: Rinomina file multimediali – Rinomina automatica e manuale
    Vulnerabilità : titolo multimediale/nome file/aggiornamento dello stato di blocco tramite CSRF
    Patchato nella versione : 5.2.7
    Punteggio di gravità : medio

    La vulnerabilità è stata corretta, quindi è necessario eseguire l'aggiornamento alla versione 5.2.7.

    22. Lotto Cat

    Plugin: Batch Cat
    Vulnerabilità : Abbonato+ Categorie arbitrarie Aggiungi/Imposta/Elimina nei post
    Patchato nella versione : nessuna correzione nota – plug-in chiuso
    Punteggio di gravità : medio

    Questa vulnerabilità NON è stata corretta. Questo plugin è stato chiuso il 24 settembre 2021. Disinstalla ed elimina.

    23. qTraduci X

    Plugin: qTranslate X
    Vulnerabilità : più amministratori + script tra siti archiviati
    Patchato nella versione : nessuna correzione nota – plug-in chiuso
    Punteggio di gravità : basso

    Questa vulnerabilità NON è stata corretta. Questo plugin è stato chiuso il 31 agosto 2021. Disinstalla ed elimina.

    24. Informazioni sui viaggi nel mondo

    Plugin: Informazioni di viaggio nel mondo
    Vulnerabilità : Scripting incrociato riflesso
    Patchato nella versione : nessuna correzione nota – plug-in chiuso
    Punteggio di gravità : alto

    Questa vulnerabilità NON è stata corretta. Questo plugin è stato chiuso il 23 settembre 2021. Disinstalla ed elimina.

    25. Sondaggio WP Plus

    Plugin: WP Survey Plus
    Vulnerabilità : Abbonati + Chiamate AJAX
    Patchato nella versione : nessuna correzione nota – plug-in chiuso
    Punteggio di gravità : alto

    Questa vulnerabilità NON è stata corretta. Questo plugin è stato chiuso il 30 settembre 2021. Disinstalla ed elimina.

    26. Pagina della mappa del sito WP

    Plugin: Pagina della mappa del sito WP
    Vulnerabilità : Admin+ Stored Cross Site Scripting
    Patchato nella versione : nessuna correzione nota
    Punteggio di gravità : basso

    Questa vulnerabilità NON è stata corretta. Disinstalla ed elimina il plug-in fino al rilascio di una patch.

    27. WP Bannerize 2.0.0

    Plugin: WP Bannerize 2.0.0
    Vulnerabilità : SQL injection autenticata
    Patchato nella versione : nessuna correzione nota – plug-in chiuso
    Punteggio di gravità : alto

    Questa vulnerabilità NON è stata corretta. Questo plugin è stato chiuso il 19 luglio 2021. Disinstalla ed elimina.

    28. Favicon di Genie WP

    Plugin: Genie WP Favicon
    Vulnerabilità : modifica arbitraria della favicon tramite CSRF
    Patchato nella versione : nessuna correzione nota – plug-in chiuso
    Punteggio di gravità : medio

    Questa vulnerabilità NON è stata corretta. Questo plugin è stato chiuso il 27 agosto 2021. Disinstalla ed elimina.

    29. Rinomina Phoenix Media

    Plugin: Phoenix Media Rename
    Vulnerabilità : ridenominazione arbitraria dei file multimediali dell'autore
    Patchato nella versione : 3.4.4
    Punteggio di gravità : medio

    La vulnerabilità è stata corretta, quindi è necessario eseguire l'aggiornamento alla versione 3.4.4.

    30. Statistiche in tempo reale sul traffico dei visitatori

    Plugin: Statistiche sul traffico dei visitatori in tempo reale
    Vulnerabilità : Abbonato + SQL injection
    Patchato nella versione : 3.9
    Punteggio di gravità : alto

    La vulnerabilità è stata corretta, quindi è necessario eseguire l'aggiornamento alla versione 3.9.

    31. Aggiungi a qualsiasi pulsante di condivisione

    Plugin: Aggiungi a qualsiasi pulsante di condivisione
    Vulnerabilità : Admin+ Script tra siti archiviati
    Patchato nella versione : 1.7.48
    Punteggio di gravità : basso

    La vulnerabilità è stata corretta, quindi è necessario eseguire l'aggiornamento alla versione 1.7.48.

    32. Formidabile generatore di moduli

    Plugin: Form Builder formidabile
    Vulnerabilità : Admin+ Script tra siti archiviati
    Patchato nella versione : 5.0.07
    Punteggio di gravità : basso

    La vulnerabilità è stata corretta, quindi è necessario eseguire l'aggiornamento alla versione 5.0.07.

    33. Sicurezza a prova di proiettile

    Plugin: sicurezza antiproiettile
    Vulnerabilità : Divulgazione di informazioni sensibili
    Patchato nella versione : 5.2
    Punteggio di gravità : medio

    La vulnerabilità è stata corretta, quindi è necessario eseguire l'aggiornamento alla versione 5.2.

    34. Esporta tutto WP

    Plugin: WP All Export
    Vulnerabilità : Admin+ Script tra siti archiviati
    Patchato nella versione : 1.3.1
    Punteggio di gravità : basso

    La vulnerabilità è stata corretta, quindi è necessario eseguire l'aggiornamento alla versione 1.3.1.

    35. Reindirizza la pagina di errore 404 alla home page o alla pagina personalizzata con i registri

    Plugin: reindirizza la pagina di errore 404 alla home page o alla pagina personalizzata con i registri
    Vulnerabilità : cancellazione del registro tramite CSRF
    Patchato nella versione : 1.7.9
    Punteggio di gravità : medio

    La vulnerabilità è stata corretta, quindi è necessario eseguire l'aggiornamento alla versione 1.7.9.

    36. Accedi all'importatore demo

    Plugin: Accedi all'importatore demo
    Vulnerabilità : Abbonato + caricamento di file arbitrario
    Patchato nella versione : 1.0.7
    Punteggio di gravità : alto

    La vulnerabilità è stata corretta, quindi è necessario eseguire l'aggiornamento alla versione 1.0.7.

    37. Scarica Monitor

    Plugin: Scarica Monitor
    Vulnerabilità : download non autenticato dei log
    Patchato nella versione : 1.9.7
    Punteggio di gravità : medio

    La vulnerabilità è stata corretta, quindi è necessario eseguire l'aggiornamento alla versione 1.9.7.

    Plugin: Scarica Monitor
    Vulnerabilità : Scripting incrociato riflesso (XSS)
    Patchato nella versione : 1.7.1
    Punteggio di gravità : medio

    La vulnerabilità è stata corretta, quindi è necessario eseguire l'aggiornamento alla versione 1.7.1.

    Plugin: Scarica Monitor
    Vulnerabilità : elenco di directory autenticato
    Patchato nella versione : 1.6.4
    Punteggio di gravità : medio

    La vulnerabilità è stata corretta, quindi è necessario eseguire l'aggiornamento alla versione 1.6.4.

    Plugin: Scarica Monitor
    Vulnerabilità : Scripting incrociato multisito riflesso
    Patchato nella versione : 3.3.6.2
    Punteggio di gravità : medio

    La vulnerabilità è stata corretta, quindi è necessario eseguire l'aggiornamento alla versione 3.3.6.2.

    38. Popup illimitati

    Plugin: PopUp illimitati
    Vulnerabilità : Autore+ SQL injection
    Patchato nella versione : nessuna correzione nota – plug-in chiuso
    Punteggio di gravità : alto

    Questa vulnerabilità NON è stata corretta. Questo plugin è stato chiuso il 22 giugno 2021. Disinstalla ed elimina.

    39. Schreikasten

    Plugin: Schreikasten
    Vulnerabilità : autore + iniezioni SQL
    Patchato nella versione : nessuna correzione nota – plug-in chiuso
    Punteggio di gravità : alto

    Questa vulnerabilità NON è stata corretta. Questo plugin è stato chiuso il 21 giugno 2021. Disinstalla ed elimina.

    40. Contenuto del post XMLRPC

    Plugin: Post Content XMLRPC
    Vulnerabilità : autore + iniezioni SQL
    Patchato nella versione : nessuna correzione nota – plug-in chiuso
    Punteggio di gravità : alto

    Questa vulnerabilità NON è stata corretta. Questo plugin è stato chiuso il 21 giugno 2021. Disinstalla ed elimina.

    41. Forme wow

    Plugin: Wow Forms
    Vulnerabilità : autore + iniezioni SQL
    Patchato nella versione : nessuna correzione nota – plug-in chiuso
    Punteggio di gravità : alto

    Questa vulnerabilità NON è stata corretta. Questo plugin è stato chiuso il 18 giugno 2021. Disinstalla ed elimina.

    42. Collegamento ipertestuale automatico

    Plugin: G Auto-Hyperlink
    Vulnerabilità : Autore+ SQL injection
    Patchato nella versione : nessuna correzione nota – plug-in chiuso
    Punteggio di gravità : medio

    Questa vulnerabilità NON è stata corretta. Questo plugin è stato chiuso il 18 giugno 2021. Disinstalla ed elimina.

    43. Camaleonte CSS

    Plugin: Camaleonte CSS
    Vulnerabilità : Abbonato + SQL injection
    Patchato nella versione : nessuna correzione nota – plug-in chiuso
    Punteggio di gravità : critico

    Questa vulnerabilità NON è stata corretta. Questo plugin è stato chiuso il 18 giugno 2021. Disinstalla ed elimina.

    44. Catalogo Spider

    Plugin: SpiderCatalog
    Vulnerabilità : Autore+ SQL injection
    Patchato nella versione : nessuna correzione nota – plug-in chiuso
    Punteggio di gravità : medio

    Questa vulnerabilità NON è stata corretta. Questo plugin è stato chiuso il 18 giugno 2021. Disinstalla ed elimina.

    45. Consiglio di supporto

    Plugin: scheda di supporto
    Vulnerabilità : Agent+ Stored Cross-Site Scripting
    Patchato nella versione : 3.3.5
    Punteggio di gravità : medio

    La vulnerabilità è stata corretta, quindi è necessario eseguire l'aggiornamento alla versione 3.3.5.

    46. ​​Cancello dell'età

    Plugin: Age Gate
    Vulnerabilità : scripting cross-site archiviato autenticato
    Patchato nella versione : 2.16.4
    Punteggio di gravità : medio

    La vulnerabilità è stata corretta, quindi è necessario eseguire l'aggiornamento alla versione 2.16.4.

    47. Messaggi correlati in linea

    Plugin: post correlati in linea
    Vulnerabilità : Admin+ Scripting tra siti
    Patchato nella versione : 3.0.5
    Punteggio di gravità : basso

    La vulnerabilità è stata corretta, quindi è necessario eseguire l'aggiornamento alla versione 3.0.5.

    Come proteggere il tuo sito Web WordPress da temi e plugin vulnerabili

    Come puoi vedere da questo rapporto, ogni settimana vengono divulgate molte nuove vulnerabilità di plugin e temi di WordPress. Sappiamo che può essere difficile rimanere aggiornati su ogni divulgazione di vulnerabilità segnalata, quindi il plug-in iThemes Security Pro rende facile assicurarsi che il tuo sito non stia eseguendo un tema, un plug-in o una versione core di WordPress con una vulnerabilità nota.

    1. Cerca le vulnerabilità del sito web note

    Il plug-in iThemes Security Pro esegue la scansione per il motivo n. 1 per cui i siti WordPress vengono violati: plug-in obsoleti e temi con vulnerabilità note.

    2. Aggiornamento automatico a versioni sicure

    La funzione di gestione della versione in iThemes Security Pro si integra con la scansione del sito per proteggere il tuo sito. Temi vulnerabili, plug-in e versioni principali di WordPress verranno aggiornati automaticamente per te.

    3. Monitora le modifiche ai file

    La chiave per individuare rapidamente una violazione della sicurezza è monitorare le modifiche ai file sul tuo sito web. La funzione di rilevamento delle modifiche dei file in iThemes Security Pro eseguirà la scansione dei file del tuo sito Web e ti avviserà quando si verificano modifiche sul tuo sito Web.

    Ottieni iThemes Security Pro con il monitoraggio del sito Web 24 ore su 24, 7 giorni su 7

    iThemes Security Pro, il nostro plug-in di sicurezza per WordPress, offre oltre 50 modi per proteggere e proteggere il tuo sito Web dalle comuni vulnerabilità di sicurezza di WordPress. Con WordPress, l'autenticazione a due fattori, la protezione dalla forza bruta, l'imposizione di password complesse e altro ancora, puoi aggiungere ulteriori livelli di sicurezza al tuo sito web.

    • Scanner del sito per vulnerabilità di plugin e temi
    • Rilevamento delle modifiche ai file
    • Dashboard di sicurezza del sito Web in tempo reale
    • Registri di sicurezza di WordPress
    • Dispositivi affidabili
    • reCAPTCHA
    • Protezione dalla forza bruta
    • Autenticazione a due fattori
    • Link di accesso magici
    • Aumento dei privilegi
    • Controllo e rifiuto di password compromesse

    Ottieni iThemes Security Pro