Informe de vulnerabilidad de WordPress: julio de 2021, Parte 2

Los complementos y los temas vulnerables son la razón # 1 por la cual los sitios de WordPress son pirateados. El informe semanal de vulnerabilidad de WordPan ofrecido por WPSCan cubre las vulnerabilidades recientes del complemento de WordPress, el tema y el núcleo y qué hacer si ejecuta uno de los complementos o temas vulnerables en su sitio web. Cada vulnerabilidad tendrá una gravedad baja, media, alta o crítica. La divulgación responsable y los informes de vulnerabilidad es una parte integral de la comunidad de la comunidad de WordPress. Siendo uno de los mayores informes de vulnerabilidad de WordPress hasta ahora, comparta esta publicación con sus amigos para ayudarlo a obtener la palabra y hacer que WordPress sea más seguro para todos.
En el informe de julio, parte 2
Regístrese en el informe de vulnerabilidad semanal de WordPress
Suscríbase ahora
Vulnerabilidades básicas de WordPress
Este mes no se revelaron nuevas vulnerabilidades básicas de WordPress.
Vulnerabilidades de complemento de WordPress Esta sección enumera las vulnerabilidades de arado recientes. Cada complemento en esta lista incluye el nombre del complemento, el tipo de vulnerabilidad, la información sobre la versión de los parches y una evaluación de la gravedad de la vulnerabilidad. 1. Calendario de eventos múltiples vistas

Plugin: Evento calendario MUCHO VISTE VISNERABILIDAD: Cross Scripts reflejó parcheado no autorizado en la versión: 1.4.01 Gravedad: Promedio
La vulnerabilidad se repara, por lo que debe actualizarse a la versión 1.4.01+.
2. Post Magic en miniatura

Plugin: Magic Miniature Post Vulnerabilidad: Escrituras entre sitios reflejados parcheados en la versión: 3.3.7 Severidad: Great
La vulnerabilidad se repara, por lo que debe actualizarse a la versión 3.3.7+.3. Categoría Slisor ilimitado para woCommerce
Plugin: Categoría ilimitada Glisor para la vulnerabilidad de WooCommerce: Bypass CSRF parcheado en la versión: 2.1.0 Gravedad: promedio

La vulnerabilidad se repara, por lo que debe actualizarse a la versión 2.1.0+.
4. Paquete de refuerzo de velocidad
Plugin: Vulnerabilidad del paquete de refuerzo de velocidad: RCE autenticado parcheado en la versión: 4.2.0 Gravedad: crítico

La vulnerabilidad se repara, por lo que debe actualizarse a la versión 4.2.0+.
5. Galería de filtros
Plugin: Galería de filtro de vulnerabilidad: llamadas AJAX no autorizadas parcheadas en la versión: 0.0.7 Gravedad: Genial

La vulnerabilidad se repara, por lo que debe actualizarse a la versión 0.0.7+.
6. Iconos populares de marca SVG
Plugin: iconos SVG de vulnerabilidad de marca popular: XSS almacenado parcheado en la versión: 2.7.8 Gravedad: Promedio

La vulnerabilidad se repara, por lo que debe actualizarse a la versión 2.7.8+.
7. Gateway NMI para el complemento de WooCommerce: NMI Gateway para WooCommerce Vulnerabilidad: Bypass CSRF corregido en la versión: No conocido Remedio: Medio
Esta vulnerabilidad no ha sido reparada. Desinstale y borre el complemento hasta que se libere un parche.
8. Solicitud de oferta Plugin Wpheka: demanda de oferta Vulnerabilidad de Wpheka: Bypass CSRF corregido en la versión: sin remediación Gravedad conocida: promedio
Esta vulnerabilidad no ha sido reparada. Desinstale y borre el complemento hasta que se libere un parche.
9. Costo adicional Plugin de wooCommerce: costo adicional Vulnerabilidad de WooCommerce: Bypass CSRF corregido en la versión: No se conoce el remedio: promedio Esta vulnerabilidad se ha reparado. Desinstale y borre el complemento hasta que se libere un parche.
10. Woo Merchantx Plugin: Woo Merchantx Vulnerabilidad: CSRF Bypass Corregido en la versión: Sin remedio conocido: Promedio
Esta vulnerabilidad no ha sido reparada. Desinstale y borre el complemento hasta que se libere un parche.
11. CRM: Manejo de contacto Simplificado – Ukuupeople Plugin: CRM: Gestión de contacto Simplificada – Ukuupeople Vulnerabilidad: adición / favoritis Eliminar no autorizado corregido en la versión: no se conoce remedio: promedio
Esta vulnerabilidad no ha sido reparada. Desinstale y borre el complemento hasta que se libere un parche.
12. Luz de viaje de complemento: luz de luz Vulnerabilidad: CSRF Bypass corregido en la versión: No conocido Remedio: Medio
Esta vulnerabilidad no ha sido reparada. Desinstale y borre el complemento hasta que se libere un parche.
13. complemento de haxcan: vulnerabilidad de haxcan: acceso arbitrario a los archivos corregidos en la versión: no se conoce remedio: medio
Esta vulnerabilidad no ha sido reparada. Desinstale y borre el complemento hasta que se libere un parche.
14. Slider de héroe con animación, fondo de video y creador de introducción
Plugin: héroe deslizante con animación, fondo de video y vulnerabilidad del fabricante de introducción: bypass CSRF parcheado en la versión: 8.2.1 Gravedad: promedio
La vulnerabilidad se repara, por lo que debe actualizarse a la versión 8.2.1+.

15. Amoniaciona trasparente
Plugin: Ammon minutos Vulnerabilidad transparente: CSRF Bypass parcheado en la versión: 7.1.1 Severidad: la medievulnerabilidad se repara, por lo que debe actualizarse a la versión 7.1.1+.
16. Comentarios de Vuukle, reacciones, acciones, barra de ingresos

Complemento: comentarios de vuukle, reacciones, barra de distribución, ingreso de vulnerabilidad: bypass CSRF parcheado en la versión: 4.0 Gravedad: promedio
La vulnerabilidad se repara, por lo que debe actualizarse a la versión 4.0+.
17. WP Easypay

Plugin: WP Easypay Vulnerabilidad: Bypass CSRF parcheado en la versión: 3.2.1 Gravedad: Promedio
La vulnerabilidad se repara, por lo que debe actualizarse a la versión 3.2.1+.
18. Recuperación de la canasta abandonada para WooCommerce

Plugin: recuperación de canasta abandonada para la vulnerabilidad de WooCommerce: bypass CSRF parcheado en la versión: 1.0.4.1 Gravedad: promedio
La vulnerabilidad se repara, por lo que debe actualizarse a la versión 1.0.4.1+.
19. Ubicaciones

Complemento: ubicaciones de vulnerabilidad: bypass CSRF parcheado en la versión: 4.0 Gravedad: promedio
La vulnerabilidad se repara, por lo que debe actualizarse a la versión 4.0+.
20. Formularios

Plugin: Formularios de vulnerabilidad: Escrituras cruzadas almacenadas autenticadas parcheadas en la versión: 1.12.3 Gravedad: Bajo
La vulnerabilidad se repara, por lo que debe actualizarse a la versión 1.12.3+.
21. WP HTML CORREO

Plugin: WP HTML Vulnerabilidad por correo: CSRF en XSS parcheado en la versión: 3.0.8 Gravedad: Promedio
La vulnerabilidad se repara, por lo que debe actualizarse a la versión 3.0.8+.
22. WPCS

Plugin: Vulnerabilidad WPCS: la configuración arbitraria del complemento cambia a través de CSRF parcheado en la versión: 1.1.7 Gravedad: promedio
La vulnerabilidad se repara, por lo que debe actualizarse a la versión 1.1.7+.23. El mapa plegable
Plugin: Vulnerabilidad Mapa de prospecto: actualizar la configuración arbitraria a través de CSRF que conduce al almacenamiento parcheado XSS en la versión: 3.0.0 Gravedad: promedio

La vulnerabilidad se repara, por lo que debe actualizarse a la versión 3.0.0+.
24. Restricción de carga Complemento WP: Restricción de carga Vulnerabilidad WP: Bypass CSRF Corregido en la versión: Sin remedio conocido: promedio
Plugin: Restricción de carga Vulnerabilidad WP: Falta de control de acceso en DeletecustomType corregido en la versión: No se conoce la gravedad de la gravedad: complemento promedio: restricción de carga Vulnerabilidad de WP: falta de acceso a getSelectedMiMiTiPESByRole corregido en Versión: No conocido: Medio mediano

Esta vulnerabilidad no ha sido reparada. Desinstale y borre el complemento hasta que se libere un parche.
25. Filtro de meta datos y taxonomías de WordPress
Plugin: Meta Datos de WordPress y taxonomías Vulnerabilidad gratuita de filtro: actualizar la configuración arbitraria a través de CSRF parcheado: 1.2.8 Gravedad: promedio
La vulnerabilidad se repara, por lo que debe actualizarse a la versión 1.2.8+.
Plugin: WordPress meta datos y taxonomías Filtro Pro Vulnerabilidad: Actualizar configuraciones arbitrarias a través de CSRF parcheado en la versión: 2.2.8 Gravedad: promedio
La vulnerabilidad se repara, por lo que debe actualizarse a la versión 2.2.8.

26. Astra Pro Addon Plugin: Astra Pro Addon Vulnerabilidad: inyección SQL no autorizado parcheado en la versión: 3.5.2 Gravedad: Genial
La vulnerabilidad se repara, por lo que debe actualizarse a la versión 3.5.2+.
27. Complemento del organizador de archivos multimedia: Vulnerabilidad del organizador de archivos de medios: Director de cruce corregido en la versión: No se conoce el remedio: Promedio esta vulnerabilidad ha sido reparada. Desinstale y borre el complemento hasta que se libere un parche.

28. Presione de perfil
Plugin: ProfilePress Vulnerabilidad: Escrituras cruzadas no autorizadas parcheadas en la versión: 3.1.11 Gravedad: promedio de complemento: Vulnerabilidad ProfilePress: Escrituras no autorizadas de sitios cruzados parcheado en la versión: 3.1.11 Gravedad: promedio
La vulnerabilidad se repara, por lo que debe actualizarse a la versión 3.1.11+.
Vulnerabilidades del tema de WordPress 1. Área de trabajo
Plugin: WorkReAP Vulnerabilidad: verificaciones de autorización faltantes en AJAX parcheado en la versión: 2.2.2 Gravedad: Gran complemento: WorkReAP Vulnerabilidad: Vulnerabilidades múltiples CSRF + IDOR parcheado en la versión: 2.2.2 Gravedad: Gran complemento: WorkReAP Vulnerabilidad: Vulnerabilidad de carga no autorizada a RCE a RCE a RCE a RCE a RCE a RCE a RCE a RCE Parcheado en la versión: 2.2.2 Severidad: Genial
La vulnerabilidad se repara, por lo que debe actualizarse a la versión 2.2.2+.

Una nota sobre la divulgación responsable podría estar preguntándose por qué se revelaría una vulnerabilidad si les dan a los piratas informáticos una exploit de ataque. Bueno, es muy común que un investigador de seguridad encuentre e informe la vulnerabilidad del desarrollador de software. Con la divulgación responsable, el informe inicial del investigador se pone en privado a los desarrolladores de la compañía que posee el software, pero con el acuerdo de que los detalles completos se publicarán una vez que se haya puesto a disposición un parche. Para vulnerabilidades de seguridad significativas, podría haber un ligero retraso en la revelación de la vulnerabilidad, para darle tiempo a más personas a la corrección. El investigador de seguridad puede proporcionar una fecha límite para que el desarrollador de software responda al informe o proporcione un parche. Si este término no se respeta, el investigador puede revelar públicamente la vulnerabilidad para presionar al desarrollador para que emita un parche. La divulgación pública de una vulnerabilidad y la aparente introducción de una vulnerabilidad de cero días, un tipo de vulnerabilidad que no tiene parche y se explota en la naturaleza, puede parecer contraproducente. Pero, es la única palanca que un investigador tiene para presionar al desarrollador para remediar la vulnerabilidad.
Si un hacker descubrió la vulnerabilidad, podría usar en silencio la exploit y causar daños al usuario final (este es usted), mientras que el desarrollador de software permanece contenido al dejar vulnerabilidad sin correcciones. El Proyecto Zero de Google tiene una guía similar cuando se trata de revelar vulnerabilidades. Publican los detalles completos de la vulnerabilidad después de 90 días, si se reparó o no la vulnerabilidad. Cómo proteger su sitio web de WordPress de complementos y temas vulnerables Como puede ver en este informe, se revelan muchas vulnerabilidades de complementos y un tema de WordPress cada semana. Sabemos que puede ser difícil mantenerse actualizado con cada divulgación de vulnerabilidad informada, por lo que el complemento iThemes Pro facilita a que su sitio no ejecute un tema, complemento o una versión básica de WordPress con vulnerabilidad conocida. 1. Inicie IThemes Security Pro Site Site Sitio El escáner del escáner de complementos de seguridad Pro Security Scanns escanean la razón # 1 por la cual los sitios de WordPress están pirateados: complementos y temas obsoletos con vulnerabilidades conocidas. Sitio del escáner Consulte su sitio en busca de vulnerabilidades conocidas y aplica automáticamente un parche si está disponible. Para activar el escaneo del sitio a las nuevas instalaciones, navegue por la pestaña de verificación del sitio en las características del complemento y haga clic en el cambio para activar el escaneo del sitio. Para activar un escaneo de sitio manual, haga clic en el botón de escaneo ahora desde la tarjeta de sitio de escaneo Scinity.
Si el escaneo del sitio detecta una vulnerabilidad, haga clic en el enlace de vulnerabilidad para ver la página Detalles. En la página de vulnerabilidad del sitio de escaneo, verá si hay un disponible para la vulnerabilidad. Si hay un parche disponible, puede hacer clic en el botón de actualización del complemento para aplicar el sitio web. 2. Active la gestión de versiones a la actualización automática si remedia la vulnerabilidad de las versiones de ITHEMS Security Pro se integran con el escaneo del sitio para proteger su sitio cuando el software obsoleto no se actualiza lo suficiente. Incluso las medidas de seguridad más potentes fallarán si ejecuta un software vulnerable en su sitio web. Estas configuraciones lo ayudan a proteger su sitio con opciones de actualización a nuevas versiones automáticamente, si hay una vulnerabilidad conocida y hay un parche disponible. Desde la página de configuración de iThemes Security Pro, explore las características. Haga clic en la pestaña Verificación del sitio. Desde aquí, use el cambio para activar la gestión de versiones. Usando el conjunto de configuraciones, puede configurar aún más configuraciones, incluida la forma en que desea IThems Security Pro para administrar actualizaciones de WordPress, complementos, temas y protección adicional. Asegúrese de seleccionar una actualización automática si soluciona un cuadro de vulnerabilidad, de modo que IThemes Security Pro actualice automáticamente un complemento o tema si remedia una vulnerabilidad que se encuentra por el sitio del escáner.

3. Obtenga una alerta de correo electrónico Cuando IThems Security Pro encuentra una vulnerabilidad conocida en su sitio. Después de activar el escaneo del sitio, vaya a la configuración del Centro de notificaciones de complementos. En esta pantalla, desplácese a la sección de resultados de escaneo del sitio. Haga clic en el cuadro para activar el correo electrónico de notificación y luego haga clic en el botón Guardar Configuración. Ahora, durante cualquier escaneo programado del sitio, recibirá un correo electrónico si IThems Security Pro descubre alguna vulnerabilidad conocida. El correo electrónico se verá así.
Importante: no debe desactivar una notificación de vulnerabilidad hasta que haya confirmado que la versión actual incluye un remedio de seguridad o si la vulnerabilidad no afecta a su sitio.
Obtenga iThemes Security Pro y descanse un poco más fácil esta noche, IThemes Security Pro, nuestro complemento de seguridad de WordPress, ofrece más de 50 formas de asegurar y proteger su sitio web contra las vulnerabilidades comunes de seguridad de WordPress. Con WordPress, autenticación en dos factores, protección de fuerza sin procesar, aplicación de contraseña segura y más, puede agregar capas de seguridad adicionales a su sitio web.
Escáner de sitio para complementos y temas vulnerabilidad

La junta de seguridad del sitio en tiempo real

Detectar el cambio de archivo

Revistas de seguridad de WordPress

Dispositivos de confianza

recaptcha

Protección contra la fuerza bruta
Autenticación con dos factores
Enlaces de autenticación mágica
El privilegio de la escalada
Verificación y rechazo de contraseñas comprometidas
Obtener ithemes Security Pro
Michael Moore
Cada semana, Michael realiza un informe de vulnerabilidad de WordPress para mantener sus sitios seguros.Como gerente de producto en IThems, nos ayuda a continuar mejorando la gama IThems.Es un marco enorme y le encanta aprender sobre todas las cosas técnicas, viejas y nuevas.Puedes encontrar a Michael sentado con su esposa e hija, leyendo o escuchando música cuando no trabaja.