Rapporto sulla vulnerabilità di WordPress: ottobre 2021, parte 4
Pubblicato: 2021-10-27Plugin e temi vulnerabili sono il motivo n. 1 per cui i siti Web WordPress vengono violati. Il rapporto settimanale sulle vulnerabilità di WordPress fornito da WPScan copre i recenti plugin, temi e vulnerabilità principali di WordPress e cosa fare se esegui uno dei plugin o temi vulnerabili sul tuo sito web.
Ciascuna vulnerabilità avrà un livello di gravità Basso , Medio , Alto o Critico . La divulgazione responsabile e la segnalazione delle vulnerabilità sono parte integrante della sicurezza della community di WordPress.
Condividi questo post con i tuoi amici per aiutare a spargere la voce e rendere WordPress più sicuro per tutti.
Vulnerabilità principali di WordPress
L'ultima versione del core di WordPress è la 5.8.1 è stata rilasciata come versione di sicurezza e manutenzione. Come best practice, assicurati sempre di eseguire l'ultima versione del core di WordPress!
Vulnerabilità dei plugin di WordPress
In questa sezione sono state divulgate le ultime vulnerabilità del plugin di WordPress. Ciascun elenco di plug-in include il tipo di vulnerabilità, il numero di versione se patchato e il livello di gravità.
1. File condivisi
Plugin: file condivisi
Vulnerabilità : Admin+ Script tra siti archiviati
Patchato nella versione : 1.6.61
Punteggio di gravità : basso
2. Reindirizzamento QR
Plugin: Reindirizzamento QR
Vulnerabilità : Contributor+ Scripting cross-site archiviato
Patchato nella versione : 1.6.1
Punteggio di gravità : medio
Plugin: Reindirizzamento QR
Vulnerabilità : abbonato + aggiornamento arbitrario dello stato della risposta di reindirizzamento QR
Patchato nella versione : 1.6
Punteggio di gravità : medio
3. Scorrimento fluido della rotellina del mouse
Plugin: MouseWheel Smooth Scroll
Vulnerabilità : aggiornamento delle impostazioni del plug-in tramite CSRF
Patchato nella versione : 5.7
Punteggio di gravità : medio
4. Inserisci pagine
Plugin: Inserisci pagine
Vulnerabilità : Contributore + Accesso a pagine/post arbitrari
Patchato nella versione : 3.7.0
Punteggio di gravità : medio
Plugin: Inserisci pagine
Vulnerabilità : Contributor+ Scripting cross-site archiviato
Patchato nella versione : 3.7.0
Punteggio di gravità : medio
5. Reindirizzamento SEO
Plugin: reindirizzamento SEO
Vulnerabilità : Abbonato + SQL injection
Patchato nella versione : 8.2
Punteggio di gravità : alto
6. Donazione Paypal
Plugin: Donazione Paypal
Vulnerabilità : Admin+ Script tra siti archiviati
Patchato nella versione : 1.3.2
Punteggio di gravità : basso
7. Impress per IDX Broker
Plugin: IMPpress per IDX Broker
Vulnerabilità : Scripting incrociato riflesso
Patchato nella versione : 3.0.6
Punteggio di gravità : alto
8. Accesso JWT semplice
Plugin: semplice accesso JWT
Vulnerabilità : aggiornamento delle impostazioni arbitrarie per l'acquisizione del sito tramite CSRF
Patchato nella versione : 3.2.1
Punteggio di gravità : alto
9. I miei biglietti
Plugin: I miei biglietti
Vulnerabilità : Abbonato + SQL injection
Patchato nella versione : 1.8.31
Punteggio di gravità : alto
10. Fatturazione cliente tramite fatture Sprout
Plugin: Fatturazione cliente tramite fatture Sprout
Vulnerabilità : Admin+ Script tra siti archiviati
Patchato nella versione : 19.9.7
Punteggio di gravità : basso
11. Registro e-mail
Plugin: registro e-mail
Vulnerabilità : Admin+ SQL injection
Patchato nella versione : 2.4.7
Punteggio di gravità : medio
12. Aumento del punteggio di prestazione del WP
Plugin WP Performance Score Booster
Vulnerabilità : modifica delle impostazioni tramite CSRF
Patchato nella versione : 2.1
Punteggio di gravità : medio
13. Integrazione con Active Directory/Integrazione LDAP
Plugin: integrazione con Active Directory/integrazione LDAP
Vulnerabilità : Abbonato + SQL injection
Patchato nella versione : 3.6.95
Punteggio di gravità : alto
14. TableOn
Plugin: TableOn
Vulnerabilità : Scripting incrociato riflesso
Patchato nella versione : 1.0.1
Punteggio di gravità : medio
15. Slider immagine reattiva, galleria fotografica e carosello
Plugin: Slider di immagini reattivo, galleria di foto e carosello
Vulnerabilità : Slider Clona/Salva/Elimina tramite CSRF
Patchato nella versione : 1.3.2
Punteggio di gravità : medio
Plugin: Slider di immagini reattivo, galleria di foto e carosello
Vulnerabilità : Abbonato+ Accesso arbitrario al post
Patchato nella versione : 1.3.6
Punteggio di gravità : medio
16. Pagina della mappa del sito WP
Plugin: Pagina della mappa del sito WP
Vulnerabilità : Admin+ Stored Cross Site Scripting
Patchato nella versione : 1.7.0
Punteggio di gravità : basso
17. Flusso
Plugin: Stream
Vulnerabilità : Admin+ SQL injection
Patchato nella versione : 3.8.2
Punteggio di gravità : medio
18. Utile
Plugin: utile
Vulnerabilità : Admin+ Script tra siti archiviati
Patchato nella versione : 4.4.59
Punteggio di gravità : basso
19. LearnPress
Plugin: LearnPress
Vulnerabilità : Admin+ Script tra siti archiviati
Patchato nella versione : 4.1.3.2
Punteggio di gravità : basso
20. Messa in scena dei contenuti
Plugin: messa in scena dei contenuti
Vulnerabilità : Admin+ Script tra siti archiviati
Patchato nella versione : nessuna correzione nota – plug-in chiuso
Punteggio di gravità : basso
21. Paywall che perde
Plugin: Leaky Paywall
Vulnerabilità : Admin+ Script tra siti archiviati
Patchato nella versione : nessuna correzione nota
Punteggio di gravità : basso
22. Tutor LMS
Plugin: Tutor LMS
Vulnerabilità : Scripting incrociato riflesso
Patchato nella versione : 1.9.11
Punteggio di gravità : medio
23. Vetrina del logo con Slick Slider
Plugin: Logo Showcase con Slick Slider
Vulnerabilità : autore + scripting cross-site archiviato
Patchato nella versione : 1.2.4
Punteggio di gravità : medio
24. Formidabile generatore di moduli
Plugin: Form Builder formidabile
Vulnerabilità : scripting cross-site archiviato non autenticato
Patchato nella versione : 4.09.05
Punteggio di gravità : basso
25. Scarica plug-in
Plugin: Scarica Plugin
Vulnerabilità : Abbonato + attivazione arbitraria del plug-in
Patchato nella versione : 1.6.1
Punteggio di gravità : medio
26. Immagini su WebP
Plugin: Immagini su WebP
Vulnerabilità : Falsificazione di richieste multiple tra siti (CSRF)
Patchato nella versione : 1.9
Punteggio di gravità : medio
Plugin: Immagini su WebP
Vulnerabilità : inclusione di file locali autenticati
Patchato nella versione : 1.9
Punteggio di gravità : basso
27. API di MStore
Plugin: API MStore
Vulnerabilità : caricamento di file PHP non autenticato
Patchato nella versione : 3.4.5
Punteggio di gravità : critico
28. Download digitali facili
Plugin: download digitali facili
Vulnerabilità : Scripting incrociato riflesso
Patchato nella versione : 2.11.2.1
Punteggio di gravità : alto
29. Gestore di accesso avanzato
Plugin: Advanced Access Manager
Vulnerabilità : Admin+ Script tra siti archiviati
Patchato nella versione : 6.8.0
Punteggio di gravità : basso
30. Sondaggio YOP
Plugin: sondaggio YOP
Vulnerabilità : Scripting incrociato riflesso
Patchato nella versione : 6.1.2
Punteggio di gravità : medio
31. Esportazione allegati WP
Plugin: Esportazione allegati WP
Vulnerabilità : download di post non autenticati
Patchato nella versione : 0.2.4
Punteggio di gravità : alto
32. Dispositivo di scorrimento del testo del contenuto sul post
Plugin: cursore del testo del contenuto sul post
Vulnerabilità : scripting cross-site archiviato autenticato (XSS)
Patchato nella versione : 6.9
Punteggio di gravità : medio
33. Icegramma
Plugin: Icegram
Vulnerabilità : Admin+ Script tra siti archiviati
Patchato nella versione : 2.0.3
Punteggio di gravità : basso
34. Collegamenti migliori
Plugin: BetterLinks
Vulnerabilità : Admin+ Script tra siti archiviati
Patchato nella versione : 1.2.6
Punteggio di gravità : basso
35. ImparaDash
Plugin: LearnDash
Vulnerabilità : caricamento di file arbitrario non autenticato
Patchato nella versione : 2.5.4
Punteggio di gravità : critico
36. Capo dell'immagine
Plugin: ImageBoss
Vulnerabilità : Admin+ Script tra siti archiviati
Patchato nella versione : 3.0.6
Punteggio di gravità : basso
37. Formatore
Plugin: Forminatore
Vulnerabilità : amministratore + scripting cross-site archiviato
Patchato nella versione : 1.2.4
Punteggio di gravità : basso
38. Editore MPL
Plugin: MPL-Publisher
Vulnerabilità : Admin+ Stored Cross Site Scripting
Patchato nella versione : 1.30.4
Punteggio di gravità : basso
39. Elementor
Plugin: Elementor
Vulnerabilità : DOM Cross Site Scripting
Patchato nella versione : 3.1.4
Punteggio di gravità : medio
40. Condivisione sociale impertinente
Plugin: Condivisione sociale impertinente
Vulnerabilità : controlli di accesso mancanti all'iniezione di oggetti PHP
Patchato nella versione : 3.3.24
Punteggio di gravità : medio
41. Registro delle torte
Plugin: Registro della torta
Vulnerabilità : Apri reindirizzamento
Patchato nella versione : 3.7.2.4
Punteggio di gravità : medio
42. Moduli avanzati
Plugin: moduli avanzati
Vulnerabilità : abbonato + utente arbitrario aggiornamento indirizzo e-mail tramite IDOR
Patchato nella versione : 1.6.9
Punteggio di gravità : alto
Plugin: Advanced Forms Pro
Vulnerabilità : abbonato + utente arbitrario aggiornamento indirizzo e-mail tramite IDOR
Patchato nella versione : 1.6.9
Punteggio di gravità : alto
43. Importazione demo di Cattura temi
Plugin: Importazione demo di Catch Themes
Vulnerabilità : amministratore + caricamento di file arbitrario
Patchato nella versione : 1.8
Punteggio di gravità : critico
44. Bacheca di lavoro semplice
Plugin: Semplice Job Board
Vulnerabilità : Admin+ Script tra siti archiviati
Patchato nella versione : 2.9.5
Punteggio di gravità : basso
45. Ricerca d'avorio
Plugin: ricerca avorio
Vulnerabilità : Scripting incrociato riflesso
Patchato nella versione : 4.7
Punteggio di gravità : alto
46. Cancello dell'età
Plugin: Age Gate
Vulnerabilità : scripting cross-site archiviato autenticato
Patchato nella versione : 2.16.4
Punteggio di gravità : critico
Come proteggere il tuo sito Web WordPress da temi e plugin vulnerabili
Come puoi vedere da questo rapporto, ogni settimana vengono divulgate molte nuove vulnerabilità di plugin e temi di WordPress. Sappiamo che può essere difficile rimanere aggiornati su ogni divulgazione di vulnerabilità segnalata, quindi il plug-in iThemes Security Pro rende facile assicurarsi che il tuo sito non stia eseguendo un tema, un plug-in o una versione core di WordPress con una vulnerabilità nota.
1. Cerca le vulnerabilità del sito web note
Il plug-in iThemes Security Pro esegue la scansione per il motivo n. 1 per cui i siti WordPress vengono violati: plug-in obsoleti e temi con vulnerabilità note.
2. Aggiornamento automatico a versioni sicure
La funzione di gestione della versione in iThemes Security Pro si integra con la scansione del sito per proteggere il tuo sito. Temi vulnerabili, plug-in e versioni principali di WordPress verranno aggiornati automaticamente per te.
3. Monitora le modifiche ai file
La chiave per individuare rapidamente una violazione della sicurezza è monitorare le modifiche ai file sul tuo sito web. La funzione di rilevamento delle modifiche dei file in iThemes Security Pro eseguirà la scansione dei file del tuo sito Web e ti avviserà quando si verificano modifiche sul tuo sito Web.
Ottieni iThemes Security Pro con il monitoraggio del sito Web 24 ore su 24, 7 giorni su 7
iThemes Security Pro, il nostro plug-in di sicurezza per WordPress, offre oltre 50 modi per proteggere e proteggere il tuo sito Web dalle comuni vulnerabilità di sicurezza di WordPress. Con WordPress, l'autenticazione a due fattori, la protezione dalla forza bruta, l'imposizione di password complesse e altro ancora, puoi aggiungere ulteriori livelli di sicurezza al tuo sito web.