Questa pagina è attualmente in costruzione. Stiamo lavorando per migliorarlo!
Con oltre 47mila plugin nel repository ufficiale di WordPress e altre migliaia disponibili su vari altri marketplace e siti, trovare quelli che funzionano bene è un compito arduo. Trovare plugin WordPress che siano sicuri e che non mettano in pericolo il tuo sito è un compito ancora più difficile a causa della natura complessa della sicurezza di WordPress e dei plugin spesso enormi con migliaia di righe di codice.
Anche se non possiamo aiutarti a evitare ogni singolo plugin dannoso, possiamo individuare quelli che hanno vulnerabilità e problemi di sicurezza conosciuti e confermati. A meno che tu non sappia cosa stai facendo, se stai testando qualcosa su un'installazione locale o se ti interessa la sicurezza di WordPress, non dovresti utilizzare i plugin pericolosi elencati di seguito sui siti di produzione. I problemi spiegati nella tabella seguente sono ben noti e documentati, rendendo facile per chiunque abbia cattive intenzioni sfruttare tali falle di sicurezza e attaccare il tuo sito.
Elencando i plugin in questa pagina, non intendiamo mancare di rispetto a loro o ai loro autori! Vogliamo solo avvisare gli utenti di non installare versioni specifiche che presentano problemi di sicurezza noti. Se ritieni che il tuo plugin sia stato elencato per errore o hai bisogno di aiuto per aggiornarlo, contattaci.
Come utilizzare questa pagina e l'elenco dei plugin vulnerabili?
Se utilizzi uno dei plugin elencati, ricontrolla il numero di versione e conferma che sia quello con problemi noti. Se è così, rimuovi immediatamente il plugin! Ciò include la disattivazione e l'eliminazione. Non solo disattivazione. Puoi anche contattare l'autore e chiedergli se i problemi sono stati risolti e, in caso contrario, esortarlo a farlo.
Tipi di vulnerabilità
Un rapido promemoria delle falle di sicurezza e dei problemi più comuni che i plugin WordPress devono affrontare. Tieni presente che la maggior parte dei problemi sono una combinazione dei due o più tipi elencati di seguito.
Visualizzazione arbitraria di file
Invece di consentire la visualizzazione solo di determinate fonti di file (ad esempio i modelli di plugin), la mancanza di controlli nel codice consente all'aggressore di visualizzare la fonte di qualsiasi file, compresi quelli con informazioni sensibili come wp-config.php
Caricamento file arbitrario
La mancanza di tipo di file e di filtraggio dei contenuti consente il caricamento di file arbitrari che possono contenere codice eseguibile che, una volta eseguito, può fare praticamente qualsiasi cosa su un sito
Escalation di privilegi
Una volta che l'aggressore ha un account sul sito, anche se è solo di tipo abbonato, può aumentare i suoi privilegi a un livello superiore, compresi quelli amministrativi.
SQL Injection
Evitando l'escape e il filtraggio dei dati inseriti nelle query SQL, è possibile che venga inserito codice dannoso nelle query e che i dati vengano eliminati, aggiornati o inseriti nel database. Questa è una delle vulnerabilità più comuni.
Esecuzione del codice remoto (RCE)
Invece di caricare ed eseguire codice dannoso, l'aggressore può eseguirlo da una posizione remota. Il codice può fare qualsiasi cosa, dal dirottamento del sito alla sua completa eliminazione.
Elenco di plugin WordPress compromessi, pericolosi e vulnerabili
Il tuo sito WordPress è stato violato?
Non disperare; succede al meglio di noi. È difficile dare consigli generici senza dare un'occhiata al tuo sito, ma se riesci ancora ad accedere al tuo amministratore WP, ti suggeriamo di installare il plugin gratuito di Security Ninja. Eseguirà oltre 40 test sul tuo sito e, con il componente aggiuntivo Core, potrai convalidare l'integrità dei tuoi file principali confrontandoli con le copie master sicure archiviate su WordPress.org. È uno strumento inestimabile per qualsiasi sito WordPress!
fonti
L'elenco degli ultimi plugin WordPress pericolosi e vulnerabili è compilato da varie fonti, tra cui:
