fbpx
SOS WP Logo

Chiedi un preventivo
06 92 93 90 73

Nuove vulnerabilità riscontrate in alcuni plugin WordPress

il tuo sito wordpress ha tutti i plugin aggiornati?
Tabella dei Contenuti

Per mantenere in buona salute il tuo sito WordPress e anche per garantire che gli utenti lo utilizzino al meglio devi assicurarti che tutto sia aggiornato.

Il tema che scegli e i plugin WordPress con cui arricchisci il tuo sito devono quindi essere tutti alla versione più recente. La dimostrazione viene dalle nuove segnalazioni che abbiamo raccolto dal portale Wordfence, che classifica le vulnerabilità che vengono evidenziate. Anche tra i plugin che ti segnaliamo oggi ce n’è uno che ti consigliamo di eliminare immediatamente. Ed è proprio da questo che cominciamo.

vulnerabilità di plugin wordpress
Alcuni plugin WordPress sono pericolosi, aggiorna tutto – sos-wp.it

Plugin WordPress, aggiorna o cancella

Abbiamo accennato al fatto che c’è un plugin che va eliminato. Si tratta di un plugin all’interno del quale è stata riscontrata una vulnerabilità che il portale Wordfence classifica con 8.8 su 10. E quindi una vulnerabilità di livello alto. Il plugin è Social Media Share Buttons. Come segnalato anche dal portale è stata rintracciata una vulnerabilità PHP Object Injection. Una vulnerabilità che potrebbe permettere a utenti malevoli che riescono a entrare in possesso delle credenziali di inserire oggetti PHP malevoli. Ma questo plugin non riceverà probabilmente nessun aggiornamento.

Come riporta infatti la sua pagina ufficiale nella sezione plugin di WordPress è stato sospeso all’inizio del mese di marzo e quindi non è più disponibile per il download. Se lo hai installato all’interno del tuo sito è meglio eliminarlo e scegliere tra gli altri plugin WordPress che si occupano di aggiungere pulsanti per la condivisione sui social media.

È invece attivo con oltre 80.000 installazioni Tutor LMS – eLearning and online course solution, un plugin che consente di creare in poche mosse corsi online. Per il plugin è stata riscontrata una vulnerabilità del tipo time-based SQL Injection, con un valore di 8.8 su 10. Le versioni contaminate sono quelle inferiori alla 2.6.1. Questa vulnerabilità permette di estrarre informazioni sensibili dai database presenti sul sito attraverso query SQL.

Hustle – Email Marketing, Lead Generation, Optins, Popups, un plugin pensato per il marketing che aiuta a ottimizzare e aumentare il traffico sul tuo sito è invece affetto da una vulnerabilità Sensitive Information Exposure, classificata con 8.6 su 10. La vulnerabilità mette nelle condizioni utenti malevoli anche non in possesso di credenziali di autenticazione di estrarre dati sensibili. La versione da aggiornare è la 7.8.4.

Un’altra vulnerabilità di livello molto alto, 8.8 su 10, è quella riscontrata dentro il plugin WordPress PDF Invoices and Packing Slips For WooCommerce. Nel caso di questo plugin pensato per semplificare le fatture con WooCommerce è stata riscontrata la stessa vulnerabilità PHP Object Injection già menzionata in precedenza. Per questo plugin la versione sicura è la 1.3.8. Il plugin sviluppato da Akowebs non è ancora molto diffuso ma se sei tra gli utenti che l’hanno installato o se avevi intenzione di farlo è bene assicurarti di prendere la versione aggiornata.

L’ultima vulnerabilità tra quelle più pericolose riscontrate da Wordfence riguarda il plugin Ultimate Member – User Profile, Registration, Login, Member Directory, Content Restriction & Membership Plugin. Un nome molto lungo per un plugin da oltre 200.000 installazioni con un tasso di aggiornamento molto alto e utile soprattutto per quei siti web che cercano di trasformarsi in community e hanno quindi bisogno di profili utente che siano anche piacevoli alla vista. La vulnerabilità che è stata riscontrata, 7.2 su 10, è di tipo Stored Cross-Site Scripting. Una vulnerabilità che consentirebbe a utenti malevoli non autentificati di inserire script web pericolosi all’interno delle pagine prese di mira. Per questo plugin la versione sicura è la 2.8.4.

Ti potrebbe interessare anche

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *

Ricevi un avviso se ci sono nuovi commenti. Oppure iscriviti senza commentare.

Cosa stai cercando?

Chiamaci ora!

Hai bisogno di una mano? Il nostro team è pronto ad ascoltarti e a trovare la soluzione su misura per te. Clicca qui sotto e chiamaci per un preventivo gratuito:

SOS WP Academy

Hai già ricevuto i nostri Webinar gratuiti?

Impostazioni privacy