Informe de vulnerabilidad de WordPress: octubre de 2021, Parte 1

Los complementos y los temas vulnerables son la razón # 1 por la cual los sitios de WordPress son pirateados. El informe semanal de vulnerabilidad de WordPan ofrecido por WPSCan cubre las vulnerabilidades recientes del complemento de WordPress, el tema y el núcleo y qué hacer si ejecuta uno de los complementos o temas vulnerables en su sitio web. Cada vulnerabilidad tendrá una gravedad baja, media, alta o crítica. La divulgación responsable y los informes de vulnerabilidad es una parte integral de la comunidad de la comunidad de WordPress. Comparta esta publicación a sus amigos para ayudarlo a obtener la palabra y hacer que WordPress sea más seguro para todos.
El contenido del informe del 6 de octubre de 2021
¿Quiere este informe entregado en la casilla de correo electrónico cada semana?
Suscríbete al correo electrónico semanal
Vulnerabilidades básicas de WordPress
La última versión de WordPress Core 5.8.1 se ha lanzado como una versión de seguridad y mantenimiento. Como la mejor práctica, ¡siempre asegúrese de ejecutar la última versión del núcleo de WordPress!
Vulnerabilidades de complemento de WordPress
En esta sección, se revelaron las últimas vulnerabilidades del complemento de WordPress. Cada lista de complementos incluye el tipo de vulnerabilidad, el número de la versión si se corrige el grado de gravedad.
1. WP DSGVO Instruments

Plugin: WP DSGVO Herramientas Vulnerabilidad: Actualización de configuraciones de complementos no autorizadas a scripts almacenados en varios sitios parchados en: 3.1.24 – Gravedad del enchufe cerrado: alto
Esta vulnerabilidad fue reparada, pero el complemento estaba cerrado. Debe encontrar un reemplazo lo antes posible. Melavo maravilloso Cotizaciones: Cotizaciones maravillosas Vulnerabilidad: Administración + almacenamiento entre sitios corregidos en la versión: Sin corrección conocida – Gravedad del complemento cerrado: Bajo
Esta vulnerabilidad no ha sido reparada. Desinstale y borre el complemento hasta que se libere un parche.
3. problemas de WP
Plugin: Vulnerabilidad de problemas de WP: Actualización de configuración de complemento parchado no autorizado en la versión: 2.11.0 Puntuación de gravedad: Medio

La vulnerabilidad se repara, por lo que debe actualizarse a la versión 2.11.0.
4. Verifique y registre el correo electrónico del complemento: Verifique y registre el correo electrónico de vulnerabilidad: Admin + SQL parcheado en la versión: 1.0.3 Puntuación de gravedad: Medio
La vulnerabilidad se repara, por lo que debe actualizarse a la versión 1.0.3.
5. Gerente de Permalink Lite
Plugin: Vulnerabilidad de Lite Manager Permalink: administración + inyección SQL parcheada en la versión: 2.2.13.1 Puntuación de gravedad: Medio

La vulnerabilidad se repara, por lo que debe actualizarse a la versión 2.2.13.1.
6. Tabla de productos de WooCommerce lite
Plugin: Tabla de productos de WooCommerce Vulnerabilidad de lite: Escrituras entre sitios reflejados parcheados en: 2.4.0 Puntuación de gravedad: Medio

La vulnerabilidad se repara, por lo que debe actualizarse a la versión 2.4.0.
7. WP Table Builder
Plugin: Vulnerabilidad de WP Table Builder: Escrituras entre sitios reflejados parcheados en: 1.3.10 Puntuación de gravedad: alto

La vulnerabilidad se repara, por lo que debe actualizarse a la versión 1.3.10.
8. Constructor de forma visual
Plugin: Visual Form Builder Vulnerabilidad: Administración + almacenamiento entre sitios parcheados en: 3.0.4 Puntuación de gravedad: Scatvulnerabilidad se repara, por lo que debe actualizarse a la versión 3.0.4.

9. Ninjforms
Plugin: NinjaForms Vulnerabilidad: Administración + almacenamiento entre sitios parchados en la versión: 3.5.8.2 Puntuación de gravedad: Bajo
La vulnerabilidad se repara, por lo que debe actualizarse a la versión 3.5.8.2.

10. Wapointment
Plugin: Vulnerabilidad de Whappointment: Escrituras cruzadas no autorizadas parcheadas en la versión: 2.2.5 Puntuación de gravedad: Alto
La vulnerabilidad se repara, por lo que debe actualizarse a la versión 2.2.5.

11. Cuenta de cuenta regresiva y Condup, Tiempo de ventas de WooCommerce
Plugin: Countdown and Countup, WooCommerce Vulnerabilidad Temporizador de ventas: CSRF a las Escrituras de sitio cruzado parcheado en la versión: 1.5.8 Puntuación de gravedad: Alto
La vulnerabilidad se repara, por lo que debe actualizarse a la versión 1.5.8.

11. Ulistare
Plugin: Vulnerabilidad Ulisting: Configuración de actualización por CSRF parcheado en la versión: 2.0.6 Puntuación de gravedad: Medio
La vulnerabilidad se repara, por lo que debe actualizarse a la versión 2.0.6.

Complemento: vulnerabilidad ulisting: inyección SQL no autorizado parcheado en la versión: 2.0.4 Puntuación de gravedad: Alto
La vulnerabilidad se repara, por lo que debe actualizarse a la versión 2.0.4.
Plugin: Vulnerabilidad Ulisting: escalada no autorizada de privilegios parchados en la versión: 2.0.6 Puntuación de gravedad: Medio
La vulnerabilidad se repara, por lo que debe actualizarse a la versión 2.0.6.
Plugin: Vulnerabilidad Ulisting: Cambie los roles de los usuarios a través de CSRF parcheado en la versión: 2.0.6 Puntuación de gravedad: Se repara el medio, por lo que debe actualizarse a la versión 2.0.6.
Complemento: vulnerabilidad ulisting: CSRF múltiples parcheado en la versión: 2.0.6 Puntuación de gravedad: Medio
La vulnerabilidad se repara, por lo que debe actualizarse a la versión 2.0.6.
Complemento: vulnerabilidad ulisting: scripts entre sitios reflejados parcheados en la versión: 2.0.6 Puntuación de gravedad: Medio
La vulnerabilidad se repara, por lo que debe actualizarse a la versión 2.0.6.
Plugin: Vulnerabilidad Ulisting: IDOR autenticado parcheado en la versión: 2.0.6 Puntuación de gravedad: Medio
La vulnerabilidad se repara, por lo que debe actualizarse a la versión 2.0.6.
12. Ye modo de mantenimiento
Plugin: yith Mode de mantenimiento Vulnerabilidad: Administrador múltiple + Escrituras entre sitios almacenados parcheados en: 1.4.0 Puntuación de gravedad: Bajo
La vulnerabilidad se repara, por lo que debe actualizarse a la versión 1.4.0.
Plugin: yith Mode de mantenimiento Vulnerabilidad: Administración + almacenamiento entre sitios parcheados en la versión: 1.3.8 Puntuación de gravedad: Bajo

La vulnerabilidad se repara, por lo que debe actualizarse a la versión 1.3.8.
13. Formas de contacto de WordPress del cemeter
Plugin: WordPress Formas de contacto de vulnerabilidad del cemeter: Administración + almacenamiento entre sitios parcheados: 1.4.12 Puntuación de gravedad: Bajo
La vulnerabilidad se repara, por lo que debe actualizarse a la versión 1.4.12.
14. Etiquetas OG

Plugin: Etiquetas Vulnerabilidad OG: Actualización de la configuración del complemento a través de CSRF parcheado en la versión: 2.0.2 Puntuación de gravedad: Se repara el medio, por lo que debe actualizarse a la versión 2.0.2.
15. Conexiones del director comercial
Plugin: Conexiones de vulnerabilidad del director comercial: Administración + almacenamiento entre sitios parcheados en: 10.4.3 Puntuación de gravedad: Bajo

La vulnerabilidad se repara, por lo que debe actualizarse a la versión 10.4.3.
16. Flat de precarga
Plugin: Vulnerabilidad plana de precarga: Administración + almacenamiento entre sitios parchados en: 1.5.5 Puntuación de gravedad: Medio

La vulnerabilidad se repara, por lo que debe actualizarse a la versión 1.5.5.
Plugin: Preloader Flat Vulnerabilidad: CSRF a escrituras de sitios cruzados parcheado en la versión: 1.54 Puntuación de gravedad: Alto
La vulnerabilidad se repara, por lo que debe actualizarse a la versión 1.5.4.

17. Etiqueta de nube genial
Plugin: Nube de etiquetas maravillosas Vulnerabilidad: contribuyente + Escrituras entre sitios almacenados parcheados: 2.26 Puntuación de gravedad: medio
La vulnerabilidad se repara, por lo que debe actualizarse a la versión 2.26.
18. Subconstrucción
Complemento: vulnerabilidad subconstrucción: scripts entre sitios reflejados parcheados en la versión: 1.19 Puntuación de gravedad: alto

La vulnerabilidad se repara, por lo que debe actualizarse a la versión 1.19.
19. Menú Restaurante del complemento MotoPress: Vulnerabilidad del menú del restaurante MetaPress: scripts autenticados almacenados en sitios cruzados corregidos en la versión: sin corrección conocida – Gravedad del enchufe cerrado: Bajo
Esta vulnerabilidad no ha sido reparada. Este complemento ha sido cerrado a partir del 20 de septiembre de 2021. Desinstalar y eliminar.20. AutomatorWP

Plugin: Automatorwp Vulnerabilidad: falta de autorización y escalada de privilegios parchados en la versión: 1.7.6 Puntuación de gravedad: Medio
La vulnerabilidad se repara, por lo que debe actualizarse a la versión 1.7.6.
21. Reacciones de WP Lite
Complemento: reacciones WP vulnerabilidad de lite: scripts autenticados almacenados en sitios cruzados parcheados en la versión: 1.3.6 Puntuación de gravedad: baja
La vulnerabilidad se repara, por lo que debe actualizarse a la versión 1.3.6.

22. Lista de precios elegante

Plugin: Lista elegante de precios de vulnerabilidad: suscriptor + carga de imagen arbitraria parcheada en la versión: 6.9.1 Puntuación de gravedad: Medio
La vulnerabilidad se repara, por lo que debe actualizarse a la versión 6.9.1.

Plugin: Lista elegante de precios de vulnerabilidad: imágenes arbitrarias inalcanzables parcheadas en la versión: 6.9.0 Puntuación de gravedad: Medio
La vulnerabilidad se repara, por lo que debe actualizarse a la versión 6.9.0.
23 iconos sociales ligeros Complemento: íconos sociales ligeros Vulnerabilidad: guiones entre sitios reflejados parcheados en la versión: 3.0.9 Puntuación de gravedad: alto

La vulnerabilidad se repara, por lo que debe actualizarse a la versión 3.0.9.
Plugin: iconos sociales ligeros Vulnerabilidad: Escrituras entre sitios reflejados parcheados en la versión: 3.1.3 Puntuación de gravedad: alto
La vulnerabilidad se repara, por lo que debe actualizarse a la versión 3.1.3.
24. WPematico RSS Feed Fetcher
Plugin: WPematico RSS Feed Fetcher Vulnerabilidad: Administración + almacenamiento entre sitios parcheados en la versión: 2.6.12 Puntuación de gravedad: Scatvulnerabilidad se repara, por lo que debe actualizarse a la versión 2.6.12.
25. Manager de descarga de WordPress
Plugin: WordPress Descarga de descarga Vulnerabilidad: Administración + almacenamiento entre sitios parcheados en la versión: 3.2.16 Puntuación de gravedad: Bajo
La vulnerabilidad se repara, por lo que debe actualizarse a la versión 3.2.16.
26. Calendario de eventos modernos Lite

Plugin: Calendario de eventos modernos Vulnerabilidad de lite: scripts autenticados almacenados en sitios cruzados parcheados en la versión: 5.22.3 Puntuación de gravedad: bajo
La vulnerabilidad se repara, por lo que debe actualizarse a la versión 5.22.3.
27. Credova_Financial

Plugin: Credova_Cinancial Vulnerabilidad: divulgación de información confidencial parcheada en la versión: 1.4.9 Puntuación de gravedad: Medio
La vulnerabilidad se repara, por lo que debe actualizarse a la versión 1.4.9.
28. JS Job Manager Plugin: JS Job Manager Vulnerabilidad: Instalación / activación del complemento arbitrario no autorizado corregido en la versión: No Corrección conocida – Gravedad del enchufe cerrado: crítico

Esta vulnerabilidad no ha sido reparada. Este complemento ha sido cerrado desde el 30 de septiembre de 2021. Desinstalar y eliminar.
29. Eventos fáciles
Plugin: eventos de vulnerabilidad leve: múltiples CSRF a las escrituras de sitios cruzados almacenados y eliminando el evento parcheado en la versión: 1.5.50 Puntuación de gravedad: alto

La vulnerabilidad se repara, por lo que debe actualizarse a la versión 1.5.50.
30. Stripe for WooCommerce
Plugin: Stripe para la vulnerabilidad de WooCommerce: faltan los controles de autorización en el secuestro de la cuenta financiera parcheada en la versión: 3.3.10 Puntuación de gravedad: el medio está reparado, por lo que debe actualizarse a la versión 3.3.10.
Cómo proteger su sitio web de WordPress de complementos y temas vulnerables
Como puede ver en este informe, cada semana se revelan muchas vulnerabilidades nuevas del complemento y el tema de WordPress. Sabemos que puede ser difícil mantenerse actualizado con cada divulgación de vulnerabilidad informada, por lo que el complemento iThemes Pro facilita a que su sitio no ejecute un tema, complemento o una versión básica de WordPress con vulnerabilidad conocida. 1. Inicie IThemes Security Pro Site Site Sitio El escáner del escáner de complementos de seguridad Pro Security Scanns escanean la razón # 1 por la cual los sitios de WordPress están pirateados: complementos y temas obsoletos con vulnerabilidades conocidas. Sitio del escáner Consulte su sitio en busca de vulnerabilidades conocidas y aplica automáticamente un parche si está disponible. Para activar el escaneo del sitio a las nuevas instalaciones, explore la pestaña de verificación del sitio en las características del complemento y haga clic en el conmutador para activar el escaneo del sitio.

Para activar un escaneo de sitio manual, haga clic en el botón Escanear ahora en la tarjeta de sitio de escaneo de scirity.
Si el escaneo del sitio detecta una vulnerabilidad, haga clic en el enlace de vulnerabilidad para ver la página de detalles.
En la página de vulnerabilidad del sitio de escaneo, verá si hay un remedio disponible para la vulnerabilidad. Si hay un parche disponible, puede hacer clic en el botón de actualización del complemento para aplicar el sitio web. 2. Active la gestión de versiones a la actualización automática si remedia la vulnerabilidad de las versiones de ITHEMS Security Pro se integran con el escaneo del sitio para proteger su sitio cuando el software obsoleto no se actualiza lo suficiente. Incluso las medidas de seguridad más potentes fallarán si ejecuta un software vulnerable en su sitio web. Estas configuraciones lo ayudan a proteger su sitio con opciones de actualización a nuevas versiones automáticamente, si hay una vulnerabilidad conocida y hay un parche disponible. Desde la página de configuración de iThemes Security Pro, explore las características. Haga clic en la pestaña Verificación del sitio. Desde aquí, use el cambio para activar la gestión de versiones. Usando el conjunto de configuraciones, puede configurar aún más configuraciones, incluida la forma en que desea IThems Security Pro para administrar actualizaciones de WordPress, complementos, temas y protección adicional. Asegúrese de seleccionar una actualización automática si soluciona un cuadro de vulnerabilidad, de modo que IThemes Security Pro actualice automáticamente un complemento o tema si remedia una vulnerabilidad encontrada por el sitio del escáner.3. Obtenga una alerta por correo electrónico Cuando IThems Security Pro encuentra una vulnerabilidad conocida en su sitio. Después de activar el escaneo del sitio, acceda a la configuración del centro de notificación de complementos. En esta pantalla, desplácese a la sección de resultados de escaneo del sitio.

Haga clic en el cuadro para activar el correo electrónico de notificación y luego haga clic en el botón Guardar Configuración. Ahora, durante cualquier escaneo programado del sitio, recibirá un correo electrónico si IThems Security Pro descubre alguna vulnerabilidad conocida. El correo electrónico se verá así. Obbita el iThemes Security Pro y descansa un poco más fácil esta noche IThemes Security Pro, nuestro complemento de seguridad de WordPress, ofrece más de 50 formas de asegurar y proteger el sitio contra las vulnerabilidades comunes por seguridad de WordPress. Con WordPress, autenticación en dos factores, protección de fuerza sin procesar, aplicación de contraseña segura y más, puede agregar capas de seguridad adicionales a su sitio web.
Escáner de sitio para complementos y temas vulnerabilidad
La junta de seguridad del sitio en tiempo real
Detectar el cambio de archivo

Revistas de seguridad de WordPress

Dispositivos de confianza

recaptcha

Protección contra la fuerza bruta

Autenticación con dos factores

Enlaces de autenticación mágica
El privilegio de la escalada
Verificación y rechazo de contraseñas comprometidas
Obtener ithemes Security Pro
Michael Moore
Cada semana, Michael realiza un informe de vulnerabilidad de WordPress para mantener sus sitios seguros. Como gerente de producto en IThems, nos ayuda a continuar mejorando la gama IThems. Es un marco enorme y le encanta aprender sobre todas las cosas técnicas, viejas y nuevas. Puedes encontrar a Michael sentado con su esposa e hija, leyendo o escuchando música cuando no trabaja.