Informe de vulnerabilidad de WordPress: junio de 2021, Parte 1

Los complementos y los temas vulnerables son la razón # 1 por la cual los sitios de WordPress son pirateados. El informe semanal de vulnerabilidad de WordPan ofrecido por WPSCan cubre las vulnerabilidades recientes del complemento de WordPress, el tema y el núcleo y qué hacer si ejecuta uno de los complementos o temas vulnerables en su sitio web. Cada vulnerabilidad tendrá una gravedad baja, media, alta o crítica. La divulgación responsable y los informes de vulnerabilidad es una parte integral de la comunidad de la comunidad de WordPress. Comparta esta publicación a sus amigos para ayudarlo a obtener la palabra y hacer que WordPress sea más seguro para todos.
En el informe de junio, Parte 1
Regístrese en las actualizaciones semanales de seguridad y noticias semanales de WordPress
Suscríbase ahora
Vulnerabilidades básicas de WordPress A partir de hoy, la versión actual de WordPress es 5.7.2. ¡Asegúrese de actualizar todos sus sitios web!
¡Buenas noticias! En junio de 2021, no se revelaron nuevas vulnerabilidades básicas.
Vulnerabilidades de complementos de WordPress Esta sección del informe cubre las vulnerabilidades recientemente reveladas en los complementos de WordPress. Cada complemento enumerado aquí incluye información sobre la versión corregida, junto con información sobre la gravedad de la vulnerabilidad. Finalmente, verá un mensaje de estado si la vulnerabilidad ha sido reparada y si debe actualizar o desinstalar / eliminar el complemento.
Vista previa en la nueva pestaña 1. IflyChat Plugin: Iflychat Vulnerabilidad: Escrituras cruzadas autenticadas almacenadas en la versión: No conocido Remedio: Medio
Esta vulnerabilidad no ha sido reparada. Desinstale y borre el complemento hasta que se libera un parche.2. Plugin Lave Preload: fácil vulnerabilidad de precarga: escrituras de sitios cruzados autentificadas correctamente en la versión: no hay remedio conocido de gravedad: medio
Esta vulnerabilidad no ha sido reparada. Desinstale y borre el complemento hasta que se libere un parche.
3. Gerente de proyectos y documentos SP Plugin: Gerente de proyectos y documentos SP Vulnerabilidad: Carga de shell Autonificada en la versión: No hay remedio conocido de gravedad: medio
Esta vulnerabilidad no ha sido reparada. Desinstale y borre el complemento hasta que se libere un parche.
4. Ley de barras de las cookies de complementos: Barra de la ley de las cookies Vulnerabilidad: Cross Escrituras Autenticado almacenado en la versión: No hay remedio conocido de severidad: Medium
Esta vulnerabilidad no ha sido reparada. Desinstale y borre el complemento hasta que se libere un parche.
5. Solución del mercado multivendor para wooCommerce
Plugin: Solución del mercado multivendor para la vulnerabilidad de WoCommerce: comentarios arbitrarios sobre el producto no autorizado parcheado en la versión: 3.7.4 Puntuación de gravedad: medio

La vulnerabilidad se repara, por lo que debe actualizarse a la versión 3.7.4+.
6. Galería de archivos de complemento: Galería de archivos de vulnerabilidad: RCE no autorizado corregido en la versión: No hay remedio conocido de severidad: Criticador de complementos: Galería de archivos de vulnerabilidad: Escrituras entre sitios reflejados en la versión: No hay remedio conocido: entorno
Esta vulnerabilidad no ha sido reparada. Desinstale y borre el complemento hasta que se libera un parche. Redirecciones simples 301 de BetterLinks
Plugin: Redirección simple 301 de BetterLinks Vulnerabilidad: Exportación de redirección no autorizada parcheada en la versión: 2.0.4 Puntuación de gravedad: crítico
Plugin: Redirección simple 301 Betterlinks Vulnerabilidad: Importación de redirección no autorizada parcheada en la versión: 2.0.4 Puntuación de gravedad: Plugin Critic: Redirección simple 301 Betterlinks Vulnerabilidad: Instalación del complemento Arbitrar Patched en la versión: 2.0.4 Puntuación de gravedad: Alto complemento: Redirección simple simple 301 de BetterLinks Vulnerabilidad: Actualice y recupere el valor del comodín parcheado en la versión: 2.0.4 Puntuación de gravedad: Medio de complemento: Redirección simple 301 Betterlinks Vulnerabilidad: Activación del complemento arbitrario parcheado en la versión: 2.0.4 Puntuación alta: Alta: alto

Las vulnerabilidades se han reparado, por lo que debe actualizarse a la versión 2.0.4+.
8. Complemento de visitantes: Vulnerabilidad Visitantes: Escrituras cruzadas no autorizadas almacenadas en la versión: No hay remedio conocido de gravedad: alto
Esta vulnerabilidad no ha sido reparada. Desinstale y borre el complemento hasta que se libere un parche.
9. Sendit WP Boletín Plugin: Sendit Vulnerabilidad Boletín WP: inyección SQL corregida en la versión: No hay remedio conocido de gravedad: medio
Esta vulnerabilidad no ha sido reparada. Desinstale y borre el complemento hasta que se libere un parche.
10. Menú lateral
Plugin: Vulnerabilidad del menú lateral: inyección SQL parcheada en la versión: 3.1.5 Puntuación de gravedad: High se repara, por lo que debe actualizarse a la versión 3.1.5+.
11. Calendario en inglés islámico Xllletech

Plugin: Xllletech Inglés Vulnerabilidad del calendario islámico: inyección SQL autenticado parcheado en la versión: 2.6.8 Puntuación de gravedad: Medio
La vulnerabilidad se repara, por lo que debe actualizarse a la versión 2.6.8+.
12. Ninjafirewall

Plugin: NinjaFirewall Vulnerabilidad: PHAR autenticado parcheado en la versión: 4.3.4 Puntuación de gravedad: Low

La vulnerabilidad se repara, por lo que debe actualizarse a la versión 4.3.4+.
Vulnerabilidades de WordPress Esta sección del informe cubre las vulnerabilidades recientemente reveladas en WordPress. Cada complemento enumerado aquí incluye información sobre la versión corregida, junto con información sobre la gravedad de la vulnerabilidad. Finalmente, verá un mensaje de estado si la vulnerabilidad ha sido reparada y si debe actualizar o desinstalar / eliminar el tema.

1. JNews
Tema: JNews Vulnerabilidad: Escrituras entre sitios reflejados parcheados en: 8.0.6 Gravedad: Promedio
La vulnerabilidad se repara, por lo que debe actualizarse a la versión 8.0.6+.
2. Citybook

Tema: Citybook Vulnerabilidad: inalcanzable scripts cruzados reflejados (XSS) parcheados en la versión: 2.4.4 Puntuación de gravedad: Alto
La vulnerabilidad se repara, por lo que debe actualizarse a la versión 2.4.4+.
Una nota sobre la revelación responsable de las vulnerabilidades de WordPress puede preguntarse por qué se revelará una vulnerabilidad si les dan a los piratas informáticos una explotación de ataque. Bueno, es muy común que un investigador de seguridad encuentre e informe la vulnerabilidad del desarrollador de software. Complete se publicará una vez que se haya puesto a disposición un parche. Para vulnerabilidades de seguridad significativas, podría haber un ligero retraso en la revelación de la vulnerabilidad, para darle tiempo a más personas a la corrección. El investigador de seguridad puede proporcionar una fecha límite para que el desarrollador de software responda al informe o proporcione un parche. Si este término no se respeta, el investigador puede revelar públicamente la vulnerabilidad para presionar al desarrollador para que emita un parche.

La divulgación pública de una vulnerabilidad y la aparente introducción de una vulnerabilidad de cero días, un tipo de vulnerabilidad que no tiene parche y se explota en la naturaleza, puede parecer contraproducente. Pero, es la única palanca que un investigador tiene para presionar al desarrollador para remediar la vulnerabilidad. Si un hacker descubrió la vulnerabilidad, podría usar en silencio la exploit y causar daños al usuario final (este es usted), mientras que el desarrollador de software permanece contenido al dejar vulnerabilidad sin correcciones. El Proyecto Zero de Google tiene una guía similar cuando se trata de revelar vulnerabilidades. Publican los detalles completos de la vulnerabilidad después de 90 días, si se reparó o no la vulnerabilidad. Cómo proteger su sitio web de WordPress de complementos y temas vulnerables del escáner de complementos IThemes Security Pro es otra forma de asegurar y proteger el sitio web de WordPress para la primera causa de todos los hacks de software: complementos obsoletos y temas con temas. Vulnerabilidades conocidas. Sitio del escáner Consulte su sitio en busca de vulnerabilidades conocidas y aplica automáticamente un parche si está disponible. Los 3 tipos de vulnerabilidades de WordPress verificados WordPress
Las vulnerabilidades del complemento
Vulnerabilidades temáticas
Para activar el escaneo del sitio en las nuevas instalaciones, explore la configuración de IThems Security Pro y haga clic en el botón de activación en el módulo de escaneo del sitio.
Para activar un escaneo de sitio manual, haga clic en el botón Escanear ahora en el widget de escaneo del sitio ubicado en la barra lateral derecha.
Los resultados del escaneo del sitio se mostrarán en widget. Si el escaneo del sitio detecta una vulnerabilidad, haga clic en el enlace de vulnerabilidad para ver la página de detalles.
En la página de vulnerabilidad del sitio de escaneo, verá si hay un remedio disponible para la vulnerabilidad. Si hay un parche disponible, puede hacer clic en el botón de actualización del complemento para aplicar el sitio web. Puede haber un retraso entre el momento en que hay un parche disponible y la vulnebilidad de seguridad iThemes se actualiza para reflejar el remedio. En este caso, puede deshabilitar la notificación para no recibir alertas de vulnerabilidad.
Importante: no debe desactivar una notificación de vulnerabilidad hasta que haya confirmado que la versión actual incluye un remedio de seguridad o si la vulnerabilidad no afecta a su sitio.
Obtenga una alerta por correo electrónico cuando iThemes Security Pro encuentra una vulnerabilidad conocida a su sitio web. Plugin Ithemes Security Pro puede enviarle un correo electrónico a los resultados de un escaneo de sitio si encuentra complementos vulnerables. En su sitio después de activar el escaneo del sitio, vaya a la configuración del centro de notificación del complemento. En esta pantalla, desplácese a la sección de resultados de escaneo del sitio.

Haga clic en el cuadro para activar el correo electrónico de notificación y luego haga clic en el botón Guardar Configuración. Ahora, recibirá un correo electrónico si Ithemes Security Pro descubre alguna vulnerabilidad conocida. El correo electrónico se verá así.

Obtenga iThemes Security Pro ahora para proteger y proteger su sitio de seguridad Pro Security Pro, nuestro complemento de seguridad de WordPress, ofrece más de 50 formas de asegurar y proteger su sitio web contra las vulnerabilidades comunes de seguridad de WordPress. Con WordPress, autenticación en dos factores, protección de fuerza sin procesar, aplicación de contraseña segura y más, puede agregar una capa de seguridad adicional a su sitio web. Obtenga ITHEMS Security Informes de vulnerabilidad Programario WordPress de mayo de 2021 Mire la vulnerabilidad de WordPress a continuación:

Mayo de 2021 Parte 4

Mayo de 2021 Parte 3
Mayo de 2021 Parte 2
Mayo de 2021 Parte 1

Michael Moore

Cada semana, Michael realiza un informe de vulnerabilidad de WordPress para mantener sus sitios seguros. Como gerente de producto en IThems, nos ayuda a continuar mejorando la gama IThems. Es un marco enorme y le encanta aprender sobre todas las cosas técnicas, viejas y nuevas. Puedes encontrar a Michael sentado con su esposa e hija, leyendo o escuchando música cuando no trabaja.