Vulnerabilità WordPress: Aggiornamento del mese di Settembre

Sei proprietario di un sito WordPress? Sicuramente ti interesserà sapere che ogni mese vengono riscontrati numerosi bug di sicurezza che coinvolgono i principali plugin di WordPress. 

Di seguito riportiamo la panoramica segnalata da WebArx di alcuni dei Plugin vulnerabili noti nel mese di Settembre.

Vulnerabilità WordPress: Aggiornamento del mese di Settembre

Simple:Press

  • Vulnerabilità: Broken access control leading to RCE, che avrebbe causato il caricamento arbitrario di file non autenticati e l’esecuzione di codice in modalità remota.
  • Numero di siti interessati: 600+

Backup, ripristino e migrazione di siti WordPress con il plugin XCloner

  • Vulnerabilità: Cross-site request forgery
  • Numero di siti interessati: 30 000+

Drag and Drop Multiple File Upload – Contact Form 7

  • Vulnerabilità: Unauthenticated remote code execution.
  • Numero di siti interessati: 20.000+

JobMonster Theme

  • Vulnerabilità: Directory listing in the upload folder. 
  • Numero di siti interessati: 4.000+

Discount Rules for WooCommerce

  • Vulnerabilità: Multiple authorization bypass. 
  • Numero di siti interessati: 40.000+

MetaSlider

  • Vulnerabilità: Authenticated stored cross-site scripting.
  • Numero di siti interessati: 800.000+

Affiliate Manager

  • Vulnerabilità: Unauthenticated stored cross-site scripting. 
  • Numero di siti interessati: 10.000+

10Web Social Post Feed

  • Vulnerabilità: Authenticated SQL injection
  • Numero di siti interessati: 40.000+

Email Subscribers & Newsletters

  • Vulnerabilità: Unauthenticated email forgery/spoofing. 
  • Numero di siti interessati: 100.000+

All In One WP Security & Firewall

  • Vulnerabilità: CSRF & XSS. 
  • Numero di siti interessati: 900.000+

Asset CleanUp: Page Speed Booster

  • Vulnerabilità: CSRF & XSS
  • Numero di siti interessati: 90.000+

Sticky Menu, Sticky Header (or anything!) on Scroll

  • Vulnerabilità: CSRF & XSS
  • Numero di siti interessati: 100.000+

LearnPress

  • Vulnerabilità: CSRF & XSS  
  • Numero di siti interessati: 50.000+

Cookiebot

  • Vulnerabilità: CSRF & XSS
  • Numero di siti interessati: 50.000+

Absolutely Glamorous Custom Admin

  • Vulnerabilità: CSRF & XSS 
  • Numero di siti interessati: 40.000+

Elementor Addon Elements

  • Vulnerabilità: CSRF & XSS
  • Numero di siti interessati: 90.000+

Chamber Dashboard Business Directory

  • Vulnerabilità: Authenticated stored cross-site scripting.
  • Numero di siti interessati: 1.000+

Advanced Database Cleaner

  • Vulnerabilità: Authenticated SQL injection. 
  • Numero di siti interessati: 50.000+

Constant Contact Forms

  • Vulnerabilità: Multiple Authenticated Stored XSS.
  • Numero di siti interessati: 40.000+

ActiveCampaign

  • Vulnerabilità: Cross-Site Request Forgery in Settings.
  • Numero di siti interessati: 50.000+

NextScripts: Social Networks Auto-Poster

  • Vulnerabilità: Insufficient Privilege Validation.
  • Numero di siti interessati: 100.000+

Solo nel mese di settembre 25 plugin di WordPress sono risultati vulnerabili agli attacchi CSRF (Cross-Site Request Forgery). I plugin infetti sono:

  • Funnel Builder by CartFlows 
  • Paid Memberships Pro
  • Cool Timeline
  • Custom Field Template
  • eCommerce Product Catalog
  • NotificationX 
  • Notification Bar
  • Product Catalog X 
  • Coupon Creator
  • Radio Buttons for Taxonomies
  • Menu Swapper 
  • Forminator
  • Coming Soon & Maintenance Mode Page
  • Woody ad snippets 
  • Feed Them Social
  • Import / Export Customizer Settings
  • Easy Testimonials
  • RSS Aggregator by Feedzy 
  • Top 10 
  • Dokan 
  • Lightweight Sidebar Manager 
  • WP Hotel Booking
  • WP ERP
  • Best WooCommerce Multivendor Marketplace Solution
  • WP Project Manager
  • 10WebAnalytics 

Inoltre, il team di Wordfence Threat Intelligence ha rilevato la vulnerabilità “Zero-Day” nel plugin File Manager installato su oltre 700.000 siti WordPress attivi, che permetteva ad utenti non autenticati di eseguire comandi e caricare file dannosi nei siti di destinazione.

Vulnerabilità WordPress: Aggiornamento del mese di Settembre

Siti web sicuri, compatibili e veloci!

Come abbiamo visto, ogni mese vengono rilevate nuove vulnerabilità sui plugin di siti web realizzati con WordPress, che mettono naturalmente a rischio la sicurezza del sito e dei suoi utenti.

La diffusione a scala mondiale di cui godono CMS popolari come WordPress è infatti spesso motivo di attacco da parte degli hacker, che possono provocare azioni di hacking su siti web utilizzati da milioni di utenti. Per questo motivo è fondamentale la scelta della propria piattaforma di CMS, così come quella riservata agli hosting ed agli aggiornamenti necessari, atti a preservare la sicurezza.

Trascurare gli aggiornamenti al proprio sito web o CMS, ed ignorare i rischi che questo comporta, è infatti una mancanza che si rivela nel tempo un'arma a doppio taglio, che potrebbe tradursi in un sito web lento, incompatibile con software e browser e, soprattutto, non sicuro, vaneggiando gli sforzi e gli investimenti fatti per la presenza online della propria azienda.

Per questo, in mancanza di tempo e risorse per mantenere ed effettuare gli aggiornamenti, spesso è necessario rivolgersi ad un’agenzia specializzata in grado di fornire un supporto ed una consulenza specifica sui migliori hosting e piattaforme.

Non esitare a contattarci!

Possiamo esserti utili?

Ti è piaciuto questo articolo? Vuoi saperne di più? Non esitare a scriverci!

EMail   *
Nominativo/Azienda   *
Telefono
Messaggio   *
Vuoi iscriverti alla newsletter?
Accettazione Privacy Policy   *

Commenta con Facebook

Vulnerabilità WordPress: Aggiornamento del Mese di Agosto
Vulnerabilità WordPress: Aggiornamento del Mese di Ottobre