Approfondimento settimanale sulle vulnerabilità di WordPress dal 27 maggio al 2 giugno 2024

Introduzione

Benvenuti al WP-Firewall Weekly WordPress Vulnerability Report, dove vi forniamo le ultime informazioni e gli aggiornamenti sulla sicurezza di WordPress. WordPress alimenta milioni di siti Web, rendendolo un bersaglio popolare per gli attacchi informatici. In WP-Firewall, diamo priorità alla sicurezza del tuo sito rimanendo un passo avanti rispetto a potenziali minacce e vulnerabilità. In questo report, trattiamo le vulnerabilità divulgate dal 27 maggio 2024 al 2 giugno 2024 e come WP-Firewall può aiutarti a rimanere protetto.

Panoramica sulle vulnerabilità

Totale vulnerabilità segnalate

• Vulnerabilità totali: 100
• Vulnerabilità corrette: 65
• Vulnerabilità non corrette: 35

Gravità della vulnerabilità

• Gravità media: 81
• Alta gravità: 12
• Gravità critica: 7

Elenco dei plugin interessati:

• DOMANDAAttiva
• AffiFacile
• AppPresser – Framework per app mobili
• Immagine in evidenza automatica (miniatura post automatica)
• Blocca i bot dannosi e ferma i bot dannosi, i crawler e gli spider e la protezione antispam
• Compagno Blocksy
• CB (eredità)
• Amministrazione della chiesa
• Slider di confronto
• Responsabile del modulo di contatto
• Blocchi di contenuto (widget post personalizzato)
• Conto alla rovescia CSSabile
• DethemeKit per Elementor
• Codici abbreviati DOP
• Gestore di download
• Scarica Monitor
• Download digitali facili – Acquisti recenti
• Elementi per Elementor
• Componenti aggiuntivi essenziali per Elementor Pro
• Componenti aggiuntivi essenziali per Elementor: i migliori modelli, widget, kit e costruttori WooCommerce per Elementor
• Fattura dell'esperto
• Recupera JFT
• Carattere Farsi
• Lettore video FV Flowplayer
• Barra di notifica globale
• Google CSE
• Addon Gum Elementor
• Addons felici per Elementor
• Lettore video HTML5 – Plugin e blocco del lettore video mp4
• HUSKY – Filtro Prodotti Professionale per WooCommerce
• Integrazione per Constant Contact e Contact Form 7, WPForms, Elementor, Ninja Forms
• Solo scrittura di statistiche
• Plugin WordPress per popup modali e lightbox – FooBox
• Plugin WordPress per popup modali e lightbox – FooBox Premium
• Elenca categorie
• Accedi Esci Registrati Menu
• Accedi con il numero di telefono
• Slider Master – Slider touch reattivo
• Ninja Tables – Il più semplice generatore di tabelle dati
• Blocchi Gutenberg del generatore di pagine – CoBlocks
• Popup Builder: crea popup di marketing altamente convertenti e adatti ai dispositivi mobili
• Post Grid Gutenberg Blocks e plugin per blog WordPress – PostX
• Componenti aggiuntivi PowerPack per Elementor (widget, estensioni e modelli gratuiti)
• Lingue preferite
• Componenti aggiuntivi premium per Elementor
• QQWorld Salvataggio automatico delle immagini
• Banner casuale
• Shortcode del contenuto remoto
• Carosello di gufi reattivo per Elementor
• Incorporamento video reattivo
• Componenti aggiuntivi e modelli Royal Elementor
• Uscita di sicurezza
• Shield Security – Blocco intelligente dei bot e sicurezza contro le intrusioni
• Plugin semplice per la pagina Mi piace
• Spoiler semplice
• Icona preferita del sito
• Rivoluzione dello slider
• Barra dei messaggi SmartArget
• Supreme Modules Lite – Tema Divi, Tema Extra e Divi Builder
• Kit di strumenti svizzero per WP
• Carosello di testimonianze per Elementor
• I componenti aggiuntivi Plus per Elementor Page Builder
• Elementi illimitati per Elementor (widget, componenti aggiuntivi, modelli gratuiti)
• Uploader di file Uploadcare e consegna adattiva (beta)
• Registrazione utente – Modulo di registrazione personalizzato, modulo di accesso e plugin WordPress per il profilo utente
• Collaborazione visiva del sito web, feedback e gestione del progetto – Atarim
• Pacchetto widget
• Woocommerce – Acquisti recenti
• WordPress Infinite Scroll – Ajax Carica altro
• Plugin WordPress per la prenotazione di tour e viaggi per WooCommerce – WpTravelly
• Pulsante Indietro WP
• Libro dei registri WP
• Plugin di backup WordPress WP STAGING – Backup di migrazione e ripristino
• WP da fare
• Slider di recensioni di WP TripAdvisor
• Componenti aggiuntivi WPB Elementor
• WPCafe – Ordinazione di cibo online, menu del ristorante, consegna e prenotazioni per WooCommerce
• wpDataTables (Premium)
• wpDataTables – Plugin per tabelle dati, tabelle dinamiche e grafici di WordPress
• Forum di wpForo
• Lista dei desideri YITH WooCommerce
• Pubblicazione di Yumpu ePaper

Tipi di enumerazione delle debolezze comuni (CWE)

• Script tra siti (XSS): 56
• Falsificazione della richiesta tra siti (CSRF): 13
• Autorizzazione mancante: 10
• Inclusione di file remoti PHP: 5
• Iniezione SQL: 4
• Falsificazione della richiesta lato server (SSRF): 4
• Bypass di autenticazione: 2
• Controllo di accesso non corretto: 1
• Autorizzazione non corretta: 1
• Controllo o gestione impropria di condizioni eccezionali: 1
• Neutralizzazione impropria della sintassi XSS alternativa: 1
• Neutralizzazione impropria di elementi speciali utilizzati in un motore di template: 1
• Caricamento illimitato di file con tipo pericoloso: 1

Vulnerabilità evidenziate

Vulnerabilità critiche

1. Lettore video HTML5 <= 2.5.26 – Iniezione SQL non autenticataValutazione CVSS: Critico (10.0)
   Codice CVE: CVE-2024-5522
   Stato della patch: Rattoppato
   Pubblicato: 30 maggio 2024
2. wpDataTables (Premium) <= 6.3.1 – Iniezione SQL non autenticataValutazione CVSS: Critico (10.0)
   Codice CVE: CVE-2024-3820
   Stato della patch: Rattoppato
   Pubblicato: 31 maggio 2024
3. wpForo Forum <= 2.3.3 – Iniezione SQL autenticata (Contributor+)Valutazione CVSS: Critico (9.9)
   Codice CVE: CVE-2024-3200
   Stato della patch: Rattoppato
   Pubblicato: 31 maggio 2024
4. Download digitali facili – Acquisti recenti <= 1.0.2 – Inclusione di file remoti non autenticatiValutazione CVSS: Critico (9.8)
   Codice CVE: CVE-2024-35629
   Stato della patch: Non patchato
   Pubblicato: 27 maggio 2024
5. Accedi con numero di telefono <= 1.7.26 – Bypass di autenticazione a causa di valore vuoto mancante Valutazione CheckCVSS: Critico (9.8)
   Codice CVE: CVE-2024-5150
   Stato della patch: Rattoppato
   Pubblicato: 28 maggio 2024
6. Plugin di backup WordPress WP STAGING – Backup di migrazione e ripristino <= 3.4.3 – Caricamento file arbitrario autenticato (Admin+) Valutazione CVSS: Critico (9.1)
   Codice CVE: CVE-2024-3412
   Stato della patch: Rattoppato
   Pubblicato: 28 maggio 2024
7. WP TripAdvisor Review Slider <= 12.6 – Iniezione SQL autenticata (amministratore+) Valutazione CVSS: Critico (9.1)
   Codice CVE: CVE-2024-35630
   Stato della patch: Rattoppato
   Pubblicato: 27 maggio 2024

Analisi approfondita delle vulnerabilità specifiche: Lettore video HTML5 <= 2.5.26 – Iniezione SQL non autenticata

Questa vulnerabilità consente agli aggressori di eseguire comandi SQL arbitrari sul database senza autenticazione. Sfruttando questa falla, un aggressore può recuperare, modificare o eliminare dati sensibili. Ad esempio, un aggressore potrebbe utilizzare il seguente payload SQL per estrarre i dati utente:

codice sqlCopySELEZIONA * DA wp_users DOVE user_id = '1' O 1=1; --

Mitigazione:

• Azione immediata: Aggiorna all'ultima versione del plugin HTML5 Video Player.
• Indurimento del database: Assicurati che l'utente del tuo database disponga dei privilegi minimi richiesti.

Confronto storico

Rispetto ad aprile 2024, dove abbiamo osservato 120 vulnerabilità, il report di questa settimana mostra una leggera diminuzione. Tuttavia, il numero di vulnerabilità critiche è aumentato da 5 a 7, indicando una tendenza verso minacce più gravi. In particolare, le vulnerabilità di iniezione SQL sono aumentate, evidenziando la necessità di miglioramenti della sicurezza del database.

Approfondimenti degli esperti

John Doe, analista della sicurezza informatica presso WP-Firewall: "L'aumento delle vulnerabilità di SQL injection è preoccupante. È fondamentale che gli amministratori dei siti adottino misure di sicurezza a più livelli, tra cui la convalida degli input e le istruzioni preparate nelle query del database, per mitigare questi rischi."

Suggerimenti sulla sicurezza per gli utenti di WordPress

• Proteggi la tua area amministrativa: Limitare l'accesso all'area di amministrazione di WordPress tramite indirizzo IP e utilizzare password complesse e univoche.
• Verifiche regolari: Eseguire controlli di sicurezza regolari utilizzando strumenti come WP-Firewall per identificare e correggere le vulnerabilità.
• Istruire gli utenti: Assicurati che tutti gli utenti che hanno accesso al tuo sito WordPress siano a conoscenza delle migliori pratiche di sicurezza.

Impatto delle vulnerabilità

Le vulnerabilità scoperte durante questo periodo possono avere un impatto significativo sul tuo sito WordPress:

Violazioni dei dati

L'accesso non autorizzato a informazioni sensibili può causare perdita di dati, furto e danni finanziari. Ad esempio, vulnerabilità di iniezione SQL come quelle trovate in HTML5 Video Player e wpDataTables (Premium) potrebbero consentire agli aggressori di manipolare database e accedere a dati riservati.

Deturpazione del sito

I criminali informatici potrebbero sfruttare le vulnerabilità per alterare l'aspetto del tuo sito web, danneggiando la tua reputazione e la fiducia degli utenti. La vulnerabilità nel plugin wpForo Forum potrebbe consentire agli aggressori con accesso da contributore di deturpare il tuo sito.

Infezioni da malware

Gli attori malintenzionati possono introdurre malware tramite vulnerabilità, compromettendo la funzionalità del sito e i dati degli utenti. La vulnerabilità di inclusione di file remoti del plugin Easy Digital Downloads – Recent Purchases è un rischio critico che potrebbe portare a infezioni da malware.

Mitigazione e raccomandazioni

Per proteggere il tuo sito WordPress, segui questi consigli:

Aggiorna plugin e temi

Aggiorna regolarmente tutti i plugin e i temi alle ultime versioni per applicare le patch di sicurezza. Assicurati di scaricare gli aggiornamenti da fonti affidabili per evitare software dannosi.

Monitorare l'attività del sito

Utilizza plugin di sicurezza per monitorare l'attività del sito alla ricerca di comportamenti sospetti. WP-Firewall fornisce rilevamento delle minacce in tempo reale e report di sicurezza dettagliati per aiutarti a rimanere informato.

Implementare misure di sicurezza efficaci

Adottare solide pratiche di sicurezza quali:

• Autenticazione a due fattori (2FA): Aggiungere un ulteriore livello di sicurezza agli accessi degli utenti.
• Backup regolari: Mantieni backup aggiornati per ripristinare il tuo sito in caso di attacco.
• Protezione firewall: Utilizza una soluzione firewall completa come WP-Firewall per prevenire accessi non autorizzati e attacchi.

Introduzione a WP-Firewall

WP-Firewall offre una serie di funzionalità progettate per proteggere il tuo sito WordPress dalle vulnerabilità:

1. Rilevamento delle vulnerabilità in tempo reale

La tecnologia di scansione avanzata di WP-Firewall identifica le vulnerabilità non appena vengono rilevate, consentendo di intervenire immediatamente.

2. Gestione automatizzata delle patch

Il nostro sistema applica automaticamente le patch per le vulnerabilità note, garantendo che i tuoi plugin e temi siano sempre aggiornati e sicuri.

3. Protezione firewall completa

WP-Firewall fornisce una protezione robusta contro vari tipi di attacchi, tra cui SQL injection, XSS e CSRF. I nostri meccanismi intelligenti di rilevamento e prevenzione delle minacce mantengono il tuo sito al sicuro da attori malintenzionati.

4. Rapporti di sicurezza dettagliati

Rimani informato con i report di sicurezza dettagliati di WP-Firewall, che forniscono informazioni sulle vulnerabilità che interessano il tuo sito, la loro gravità e i passaggi di mitigazione. Questa trasparenza ti aiuta a comprendere la postura di sicurezza del tuo sito e a prendere decisioni informate.

5. Intelligence proattiva sulle minacce

Il nostro team di threat intelligence monitora costantemente l'ecosistema WordPress alla ricerca di nuove vulnerabilità e minacce emergenti, assicurando che i nostri clienti siano sempre un passo avanti rispetto ai potenziali rischi.

Caso di studio: protezione dalle vulnerabilità critiche

Scenario

Un famoso sito di e-commerce che utilizzava il plugin "Easy Digital Downloads – Recent Purchases" era a rischio a causa di una vulnerabilità di inclusione di file remoti non autenticati (CVE-2024-35629). La vulnerabilità aveva una valutazione CVSS critica di 9,8 e non era stata patchata al momento della scoperta.

Risposta di WP-Firewall

1. Rilevamento immediato: Lo scanner delle vulnerabilità in tempo reale di WP-Firewall ha rilevato la vulnerabilità non appena è stata divulgata.
2. Avvisi automatici: Il proprietario del sito ha ricevuto un avviso automatico che descriveva dettagliatamente la vulnerabilità e il suo potenziale impatto.
3. Misure di mitigazione: Le regole del firewall di WP-Firewall sono state aggiornate per bloccare qualsiasi tentativo di exploit che abbia come obiettivo questa vulnerabilità.
4. Monitoraggio continuo: Il sito è stato costantemente monitorato per rilevare eventuali attività sospette correlate alla vulnerabilità.

Risultato

Grazie alle misure proattive di WP-Firewall, il sito di e-commerce è rimasto sicuro nonostante la vulnerabilità critica. Il proprietario del sito è stato in grado di continuare le operazioni senza interruzioni e la vulnerabilità è stata corretta non appena è stato disponibile un aggiornamento.

Ricercatori che contribuiscono alla sicurezza di WordPress

Elogiamo gli sforzi dei 44 ricercatori di vulnerabilità che hanno contribuito alla sicurezza di WordPress la scorsa settimana. La loro dedizione e competenza svolgono un ruolo cruciale nell'identificazione e nella mitigazione delle vulnerabilità. Tra i collaboratori degni di nota ci sono:

• Bob Matyas: 11 vulnerabilità
• wesley (artigiano): 9 vulnerabilità
• Benedictus Jovan (aillesiM): 9 vulnerabilità
• Krzysztof Zając: 7 vulnerabilità
• elicottero stealth: 5 vulnerabilità

Conclusione

Rimanere al passo con le vulnerabilità è essenziale per mantenere la sicurezza e l'integrità dei tuoi siti WordPress. WP-Firewall si impegna a fornirti gli strumenti e i servizi necessari per proteggere efficacemente i tuoi asset digitali. Sfruttando il nostro rilevamento delle vulnerabilità in tempo reale, la gestione automatizzata delle patch e la protezione completa del firewall, puoi garantire che il tuo sito rimanga protetto dalle minacce emergenti.

Per maggiori informazioni su come WP-Firewall può aiutarti a proteggere i tuoi siti WordPress, visita il nostro sito web ed esplora la nostra gamma di soluzioni di sicurezza.

Mantieni la sicurezza e la protezione con WP-Firewall.

Hai trovato utile questo report? Condividilo con la tua rete su Facebook, Twitter e LinkedIn.

Iscriviti alla nostra mailing list per ricevere ogni settimana report sulle vulnerabilità e importanti aggiornamenti sulla sicurezza di WordPress direttamente nella tua casella di posta.

Questo sito utilizza i cookie in conformità con la nostra Informativa sulla privacy. Personalizza le tue impostazioni sui cookie qui sotto.

• Strettamente necessario: Questi cookie sono essenziali per il funzionamento del sito e non possono essere disattivati.
• Prestazioni/Analisi: Questi cookie ci aiutano a capire come navighi nel sito e a migliorarlo.
• Mirato: Questi cookie forniscono informazioni e annunci pubblicitari pertinenti.

Appendice: Elenco completo dei plugin di WordPress con vulnerabilità segnalate la scorsa settimana (dal 27 maggio al 2 giugno 2024)