Nuove vulnerabilità riscontrate in alcuni plugin WordPress

Per mantenere in buona salute il tuo sito WordPress e anche per garantire che gli utenti lo utilizzino al meglio devi assicurarti che tutto sia aggiornato.

Il tema che scegli e i plugin WordPress con cui arricchisci il tuo sito devono quindi essere tutti alla versione più recente. La dimostrazione viene dalle nuove segnalazioni che abbiamo raccolto dal portale Wordfence, che classifica le vulnerabilità che vengono evidenziate. Anche tra i plugin che ti segnaliamo oggi ce n’è uno che ti consigliamo di eliminare immediatamente. Ed è proprio da questo che cominciamo.

Plugin WordPress, aggiorna o cancella

Abbiamo accennato al fatto che c’è un plugin che va eliminato. Si tratta di un plugin all’interno del quale è stata riscontrata una vulnerabilità che il portale Wordfence classifica con 8.8 su 10. E quindi una vulnerabilità di livello alto. Il plugin è Social Media Share Buttons. Come segnalato anche dal portale è stata rintracciata una vulnerabilità PHP Object Injection. Una vulnerabilità che potrebbe permettere a utenti malevoli che riescono a entrare in possesso delle credenziali di inserire oggetti PHP malevoli. Ma questo plugin non riceverà probabilmente nessun aggiornamento.

Come riporta infatti la sua pagina ufficiale nella sezione plugin di WordPress è stato sospeso all’inizio del mese di marzo e quindi non è più disponibile per il download. Se lo hai installato all’interno del tuo sito è meglio eliminarlo e scegliere tra gli altri plugin WordPress che si occupano di aggiungere pulsanti per la condivisione sui social media.

È invece attivo con oltre 80.000 installazioni Tutor LMS – eLearning and online course solution, un plugin che consente di creare in poche mosse corsi online. Per il plugin è stata riscontrata una vulnerabilità del tipo time-based SQL Injection, con un valore di 8.8 su 10. Le versioni contaminate sono quelle inferiori alla 2.6.1. Questa vulnerabilità permette di estrarre informazioni sensibili dai database presenti sul sito attraverso query SQL.

Hustle – Email Marketing, Lead Generation, Optins, Popups, un plugin pensato per il marketing che aiuta a ottimizzare e aumentare il traffico sul tuo sito è invece affetto da una vulnerabilità Sensitive Information Exposure, classificata con 8.6 su 10. La vulnerabilità mette nelle condizioni utenti malevoli anche non in possesso di credenziali di autenticazione di estrarre dati sensibili. La versione da aggiornare è la 7.8.4.

Un’altra vulnerabilità di livello molto alto, 8.8 su 10, è quella riscontrata dentro il plugin WordPress PDF Invoices and Packing Slips For WooCommerce. Nel caso di questo plugin pensato per semplificare le fatture con WooCommerce è stata riscontrata la stessa vulnerabilità PHP Object Injection già menzionata in precedenza. Per questo plugin la versione sicura è la 1.3.8. Il plugin sviluppato da Akowebs non è ancora molto diffuso ma se sei tra gli utenti che l’hanno installato o se avevi intenzione di farlo è bene assicurarti di prendere la versione aggiornata.

L’ultima vulnerabilità tra quelle più pericolose riscontrate da Wordfence riguarda il plugin Ultimate Member – User Profile, Registration, Login, Member Directory, Content Restriction & Membership Plugin. Un nome molto lungo per un plugin da oltre 200.000 installazioni con un tasso di aggiornamento molto alto e utile soprattutto per quei siti web che cercano di trasformarsi in community e hanno quindi bisogno di profili utente che siano anche piacevoli alla vista. La vulnerabilità che è stata riscontrata, 7.2 su 10, è di tipo Stored Cross-Site Scripting. Una vulnerabilità che consentirebbe a utenti malevoli non autentificati di inserire script web pericolosi all’interno delle pagine prese di mira. Per questo plugin la versione sicura è la 2.8.4.