Sei proprietario di un sito WordPress? Sicuramente ti interesserà sapere che ogni mese vengono riscontrati numerosi bug di sicurezza che coinvolgono i principali plugin di WordPress. 

Di seguito riportiamo la panoramica segnalata da WebArx di alcuni dei Plugin vulnerabili noti nel mese di Maggio.

MapPress Maps

• Vulnerabilità:Improper capability checks in AJAX calls, vulnerabilità che consente ad un utente malintenzionato con privilegi di abbonato di scaricare o eliminare file PHP arbitrari o caricare file PHP dannosi arbitrari. 
• Numero di siti interessati: 80.000+

Multi Scheduler

• Vulnerabilità: La mancanza di un controllo CSRF potrebbe consentire a un utente malintenzionato di eliminare record arbitrari dal plugin tramite un attacco CSRF.
• Numero di siti interessati: 20+

bbPress

• Vulnerabilità: Authenticated privilege escalation con la funzione Super Moderator
• Numero di siti interessati: 30.0000+

Final Tiles Gallery

• Vulnerabilità: Cross-site scripting autenticato (XSS). Questa vulnerabilità consente di iniettare script Web o HTML arbitrari tramite i campi Titolo e Didascalia di un'immagine.
• Numero di siti interessati: 40.000+

Page Builder: PageLayer 

• Vulnerabilità: CSRF leading to XSS. Come scoperto dal  team di Wordfence, questa vulnerabilità di escalation di privilegi, ha consentito a qualsiasi utente autenticato con autorizzazioni a livello di abbonato e superiori la possibilità di aggiornare e modificare post con contenuti dannosi e la possibilità per gli hacker di creare una richiesta per conto dell'amministratore di un sito al fine di modificare le impostazioni del plugin, consentendo altresì l'iniezione di JavaScript dannoso.
• Numero di siti interessati: 200.000+

Drag and Drop Multiple File Upload

• Vulnerabilità: Unauthenticated file upload bypass. Il plugin non controlla correttamente il file che viene caricato, quindi un utente malintenzionato potrebbe ignorare i controlli e caricare un file PHP.
• Numero di Siti Interessati:  20.000+

MailerLite

• Vulnerabilità: Injection SQL non autenticato e problemi CSRF che in questo plugin consentono di modificare, aggiungere ed eliminare le viste dei moduli di iscrizione.
• Numero di siti interessati: 100.000+

Form Maker

• Vulnerabilità: Injection SQL autenticata
• Numero di siti interessati: 100.000+

ThirstyAffiliates

• Vulnerabilità: XSS memorizzato autenticato. Un utente malintenzionato autenticato potrebbe inserire il JavaScript dannoso nel titolo di un'immagine, che verrebbe eseguito una volta visualizzato da un utente amministratore.
• Numero di siti interessati: 30.000+

WP Frontend Profile

• Vulnerabilità: Controllo CSRF implementato in modo errato
• Numero di siti interessati: 300+

Paid Memberships Pro

• Vulnerabilità: Injection SQL autenticata. Attraverso questa vulnerabilità un utente con privilegi elevati (admin) potrebbe inserire codice SQL durante l'aggiunta di nuovi ordini nella dashboard.
• Numero di siti interessati: 90.000+

Infinite Scroll

• Vulnerabilità: Injection SQL autenticata
• Numero di siti interessati: 50.000+

Visual Composer Website Builder

• Vulnerabilità: Cross-site scripting multiplo autenticato. Mediante questa vulnerabilità gli utenti con il ruolo di collaboratore e sopra possono iniettare parti di JavaScript nel blog.
• Numero di siti interessati: 80.000+

Team Members

• Vulnerabilità: Cross-Site Scripting (XSS) autenticato. Le vulnerabilità XSS in questo plugin consentono a un utente malintenzionato autenticato con privilegi medi di inserire script Web o HTML tramite la "Descrizione/biografia" di un membro.
• Numero di siti interessati: 40.000+

Login/Signup Popup

• Vulnerabilità: Cross-Site Scripting (XSS) non autenticato. La mancanza di controlli di funzionalità e sicurezza consente a qualsiasi utente autenticato di immettere, tramite l'API AJAX, il codice JavaScript nelle impostazioni del plugin e di utilizzarlo per indirizzare l'amministratore nel back-end di WordPress. 
• Numero di siti interessati: 10.000+

WP Product Review

• Vulnerabilità: Cross-Site Scripting (XSS) non autenticato, che può provocare l'iniezione di script dannosi in tutti i prodotti del sito.
• Numero di siti interessati: 40.000+

Photo Gallery by 10Web

• Vulnerabilità: Injection SQL non autenticata. Tutti i tipi di galleria sono interessati da questo errore e qualsiasi utente remoto non autenticato può sfruttare il plugin.
• Numero di siti interessati: N / D

Site Kit di Google

• Vulnerabilità: Escalation di privilegi per ottenere l'accesso alla console di ricerca. Questo difetto consente a qualsiasi utente autenticato di diventare proprietario di Google Search Console per qualsiasi sito che esegue il plugin Site Kit di Google.
• Numero di siti interessati: 400.000+

Easy Testimonials

• Vulnerabilità: Cross-Site Scripting (XSS) memorizzato e autenticato. Molteplici vulnerabilità di cross-site scripting consentono agli autori di attacchi remoti di iniettare script Web o HTML arbitrari tramite il Nome client, Posizione / Indirizzo Web / Altro, Posizione recensita / Prodotto recensito / Articolo rivisto, Parametro di valutazione. Lo sfruttamento riuscito di questa vulnerabilità consentirebbe a un utente con privilegi medi o più di iniettare codice javascript arbitrario. Viene eseguito quando l’admin e altri utenti accedono alla pagina Tutte le testimonianze nel back-end. 
• Numero di siti interessati: 30.000+

Iframe

• Vulnerabilità:  Cross-Site Scripting (XSS) archiviato e autenticato
• Numero di siti interessati: 100.000+

WooCommerce

• Vulnerabilità: Unescaped metadata durante la duplicazione di prodotti
• Numero di siti interessati: 5+ milioni

Page Builder by SiteOrigin

• Vulnerabilità: da CSRF a Cross-Site Scripting (XSS) riflesso, che consentono agli hacker di creare richieste per conto di un amministratore del sito ed eseguire codice dannoso nel browser dell'amministratore, attraverso il click su un link o su un allegato.
• Numero di siti interessati: 1+ milioni

Ultimate Addons for Elementor

• Vulnerabilità: bypass di registrazione
• Numero di siti interessati: 90.000+

Elementor Pro

• Vulnerabilità: upload di file arbitrario autenticato (critico)
• Numero di siti interessati: N / D

Elementor

• Vulnerabilità: SVG sanitizer bypass leading to authenticated stored XSS.
• Numero di siti interessati: 4+ milioni

Advanced Order Export For WooCommerce

• Vulnerabilità:  Cross-Site Scripting (XSS) autenticato. 
• Numero di siti interessati: 90.000+

Ninja Forms

• Vulnerabilità: da CSRF a XSS memorizzato. Sfruttando la vulnerabilità CSRF, un utente malintenzionato potrebbe iniettare JavaScript dannoso arbitrario tramite la funzione di importazione di contatti.
• Numero di siti interessati: 1+ milioni

WTI Like Post

• Vulnerabilità: Cross-Site Scripting (XSS) archiviato e autenticato
• Numero di siti interessati: 10.000+

Avada WordPress Theme

• Vulnerabilità: Content injection & stored XSS and arbitrary post deletion, che possono consentire a un utente con privilegi limitati di modificare, creare o eliminare qualsiasi pagina o post sul sito Web.
• Numero di siti interessati: 600.000+

Le regole fondamentali per la messa in sicurezza del proprio sito WordPress 

Abbiamo visto come anche nel mese di Maggio migliaia di siti WordPress siano stati interessati da attacchi hacker ai loro plugin, gratuiti e non. Sicuramente fare un backup costante al proprio sito WordPress è una regola fondamentale per la messa in sicurezza del proprio sito web, ma anche la scelta di un provider di hosting non deve essere scontata, anzi.

Scegli accuratamente il tuo fornitore di hosting, che assicuri regolari aggiornamenti di sicurezza e scansioni malware.

Hai bisogno di ulteriori informazioni? Contattaci senza impegno.

Rimani aggiornato! Ogni mese pubblicheremo tutte le vulnerabilità riconosciute.