Sei proprietario di un sito WordPress? Sicuramente ti interesserà sapere che ogni mese vengono riscontrati numerosi bug di sicurezza che coinvolgono i principali plugin di WordPress. 

Di seguito riportiamo la panoramica segnalata da WebArx di alcuni dei Plugin vulnerabili noti nel mese di Giugno.

Coming Soon Page, Under Construction & Maintenance Mode by SeedProd

• Vulnerabilità: Authenticated stored cross-site scripting (XSS)
• Numero di siti interessati: Più di un Milione

WooCommerce

• Vulnerabilità: Potential XSS via SelectWoo
• Numero di siti interessati: N/A

YITH WooCommerce Ajax Product Filter

• Vulnerabilità: Authenticated reflected cross-site scripting (XSS)
• Numero di siti interessati: 100.000+

Delete All Comments Easily 

• Vulnerabilità: CSRF (Cross-site request forgery) che porta alla cancellazione di tutti i commenti di un database, sfruttando la fiducia del browser dell'utente, a differenza del cross-site scripting (XSS) che sfrutta la fiducia dell’utente in un determinato sito.
• Numero di siti interessati: 20.000+

All in One Support Button

• Vulnerabilità: Authenticated stored cross-site scripting. La vulnerabilità potrebbe consentire agli utenti con privilegi limitati di eseguire attacchi stored XSS.
• Numero di siti interessati: 1.000+

WP-Pro-Quiz

• Vulnerabilità: CSRF che porta alla cancellazione arbitraria di un quiz da parte di un utente non autenticato, che può quindi aggirare l’admin e rimuovere qualsiasi quiz presente sul sito web vulnerabile.
• Numero di siti interessati: 70.000+

wpDiscuz

• Vulnerabilità: Unauthenticated SQL injection: vengono attaccate applicazioni che gestiscono dati attraverso database relazionali, con l’inserimento artificioso di stringhe di codice SQL, che possono causare danni come l'alterazione dei dati (es.creazione di nuovi utenti) o addirittura il download completo dei contenuti nel database.
• Numero di siti interessati: 70.000+

Testimonial Rotator

• Vulnerabilità: Authenticated stored cross-site scripting (XSS), che permette ad utenti con privilegi medi di autenticazione di inserire codici JavaScript che vengono attivati quando un utente visita post pubblici o pagine contenenti testimonianze “rotanti”, recensioni degli utenti.
• Numero di siti interessati: 60.000+

King Composer

• Vulnerabilità: sono molteplici i problemi di vulnerabilità riscontrati in questo plugin utilizzato per la realizzazione di pagine di siti WordPress, come la modifica delle opzioni di autenticazione,  l’inserimento di contenuti, l’eliminazione di file, l’esecuzione di codice in modalità remota, lo stored Cross-Site Scripting (XSS) in grado di recuperare dati utenti dal database.
• Numero di siti interessati: 100.000+

Form Maker by 10WeB

• Vulnerabilità: CSV injection all’interno del plugin utilizzato per la creazione dei moduli
• Numero di siti interessati: 100.000+

Blog2Social: Social Media Auto Post & Scheduler

• Vulnerabilità: Authenticated SQL injection all’interno di questo plugin per la programmazione e pubblicazione automatica dei post dei social sul sito WordPress
• Numero di siti interessati: 50.000+

Brizy – Page Builder

• Vulnerabilità: questo plugin per la creazione di pagine web non esegue correttamente gli accessi sulle chiamata Ajax e così è possibile che utenti autenticati con livelli inferiori all’admin possano accedere alle funzioni dell’editor
• Numero di siti interessati: 60.000+

SportsPress

• Vulnerabilità: problema di memorizzazione dei dati di accesso XSS “Authenticated stored cross-site scripting” all’interno di questo plugin utilizzato per siti web sportivi che utilizzano un tool che raccoglie in modo automatizzato classifiche, risultati, profili dei club, dei giocatori o dello staff tecnico
• Numero di siti interessati: 20.000+

Elementor Page Builder

• Vulnerabilità: Authenticated Stored XSS, problema riscontrato in questo plugin quando un utente con livello autore crea link personalizzati che possono contenere XSS payloads.
• Numero di siti interessati: 5+ million

Form Maker by 10Web

• Vulnerabilità: Authenticated SQL injection per questo plugin in drag&drop per la creazione di form
• Numero di siti interessati: 100.000+

JobSearch

• Vulnerabilità: Unauthenticated reflected cross-site scripting (XSS)
• Numero di siti interessati: 1.000+

Simple File List

• Vulnerabilità: Authenticated arbitrary file deletion, problematica che causa la cancellazione dei file pubblicati attraverso questo plugin gratuito utilizzato proprio per integrare nel sito web una lista di file disponibili agli utenti, che possono aprirli e scaricarli.
• Numero di siti interessati: 4.000+

AdRotate

• Vulnerabilità: Authenticated SQL injection, all’interno di questo plugin utilizzato per la creazione di annunci e campagne personalizzati, con codice HTML e/o Javascript o per usare annunci provenienti da diversi server di annunci.
• Numero di siti interessati: 40.000+

MapPress Maps

• Vulnerabilità: controlli impropri nelle chiamate Ajax che può comportare l’esecuzione di comandi remoti a causa del download o l’eliminazione di file PHP o il caricamento di file PHP malevoli da parte di utenti “indesiderati”
• Numero di siti interessati: 80.000+

Multi Scheduler

• Vulnerabilità: cancellazione dei record arbitrari attraverso un attacco CSRF (Arbitrary record deletion via CSRF) in questo plugin per la programmazione e la prenotazione di appuntamenti.
• Numero di siti interessati: 20+

bbPress

• Vulnerabilità: si sono riscontrati tre principali problemi di vulnerabilità come Authenticated/Unauthenticated privilege escalation con la funzione Super Moderator, Authenticated stored cross-site scripting attraverso la tabella delle liste dei forum
• Numero di siti interessati: 300.000+

Final Tiles Gallery

• Vulnerabilità: Authenticated stored cross-site scripting (XSS). Lo sfruttamento di questa vulnerabilità consente ad un utente con livello admin+ di inserire codici javascript tramite i campi Titolo e Didascalia dell’immagine della galleria, visualizzata da admin o altri utenti.
• Numero di siti interessati: 40.000+

Page Builder: PageLayer – Drag and Drop website builder

• Vulnerabilità: CSRF leading to XSS, che consente l’aggiornamento o la modifica di post con contenuti dannosi e di creare una richiesta fittizia per conto dell’admin del sito di modifica delle impostazioni del plug-in che potrebbero provocare l’iniezione di JavaScript dannoso.
• Numero di siti interessati: 200.000+

Drag and Drop Multiple File Upload for Contact Form 7

• Vulnerabilità: Unauthenticated file upload bypass. Il plugin non controlla correttamente il file che viene caricato, quindi un utente malintenzionato potrebbe ignorare i controlli in atto e caricare un file PHP.
• Numero di siti interessati: 20.000+

Inoltre, sono state riscontrate vulnerabilità alla versione di WordPress 5.4.2 e al plugin Adning Advertising, come segnalato da Wordfence, un efficace plugin di sicurezza che aiuta a proteggere i siti web wordpress da tentativi di hacking. 

Adning Advertising

• Vulnerabilità: Unauthenticated Arbitrary File Upload leading to Remote Code Execution, ha causato la possibilità che qualsiasi visitatore malintenzionato, anche non collegato, potesse farne uso, caricando codice dannoso o un archivio compresso contenente un file PHP dannoso, oppure che potesse modificare la directory di upload, a causa della mancanza dell'azione Ajax, generalmente utilizzata per permettere la funzionalità di caricamento banner; Unauthenticated Arbitrary File Deletion via path traversal, ha permesso ad utenti malintenzionati non autenticati di eliminare file utilizzando l'attraversamento del percorso.
• Numero di siti interessati: 8.000+

Best practice fondamentali per mettere in sicurezza un sito WordPress

Aggiornare costantemente tutti i plugin di WordPress è una delle best practice fondamentali per mettere in sicurezza un sito WordPress, ma non è la sola attività in grado di impedire ogni vulnerabilità. 

L’aggiornamento costante richiesto e l’attenzione massima riservata alla continua minaccia sui siti WordPress inoltre si trasformano in un lavoro complesso e spesso costoso, da parte di personale specializzato, pertanto, è spesso importante rivolgersi ad agenzie web in grado di fornire una consulenza sulla fattibilità e l’efficacia degli interventi sul lungo termine o di valutare soluzioni professionali più sicure.

Serve aiuto? Contatta la nostra agenzia web per una consulenza.

Rimani aggiornato! Ogni mese pubblicheremo tutte le vulnerabilità riconosciute.