Informe de vulnerabilidad de WordPress: mayo de 2021, Parte 2

Los complementos y los temas vulnerables son la razón # 1 por la cual los sitios de WordPress son pirateados. El informe semanal de vulnerabilidad de WordPan ofrecido por WPSCan cubre las vulnerabilidades recientes del complemento de WordPress, el tema y el núcleo y qué hacer si ejecuta uno de los complementos o temas vulnerables en su sitio web. Cada vulnerabilidad incluye una gravedad baja, media, alta o crítica. La divulgación responsable y los informes de vulnerabilidad es una parte integral de la comunidad de la comunidad de WordPress. ¡Comparta esta publicación a sus amigos para ayudarlo a obtener la palabra y hacer que WordPress sea más seguro para todos!
En el informe del 2 de mayo
Vulnerabilidades básicas de WordPress
Este mes no se revelaron nuevas vulnerabilidades básicas de WordPress.
Vulnerabilidades de complemento de WordPress
1. Cambio simple de la lengua del administrador

Complemento: cambio simple en el lenguaje de la vulnerabilidad del administrador: cambio arbitrario en el nivel de usuario parcheado en la versión: 2.0.2 Puntuación de gravedad: 4.3 promedio
La vulnerabilidad se repara, por lo que debe actualizarse a la versión 2.0.2+.
2. Enviar a Ecourier

Plugin: envío a vulnerabilidad de Ecourier: actualizar la configuración del complemento a través de CSRF parcheado en la versión: 1.0.2 Puntuación de gravedad: 5.4 promedio
La vulnerabilidad se repara, por lo que debe actualizarse a la versión 1.0.2+.
3. Parcel Tracker Ecourier

Plugin: Vulnerabilidad Ecourier del rastreador de paquetes: actualizar la configuración del complemento a través de CSRF parcheado en la versión: 1.0.2 Puntuación de gravedad: 5.4 Promedio
La vulnerabilidad se repara, por lo que debe actualizarse a la versión 1.0.2+.4. Producto deslizante PickPlugins para woCommerce
Plugin: Pickplugins Slider de producto para vulnerabilidad de WooCommerce: Escrituras entre sitios reflejados parcheados: 1.13.22 Puntuación de gravedad: 7.1 alto

La vulnerabilidad se repara, por lo que debe actualizarse a la versión 1.13.22+.
5. Jugador de Hana FLV
Plugin: Hana FLV Vulnerabilidad del jugador: Sitios de Cross Writes Autentificados correcto en la versión: No conocido Remedio: 3.8 Low

Esta vulnerabilidad no ha sido reparada. Desinstale y borre el complemento hasta que se libere un parche.
6. Plugin Connecticator Hotjar: Vulnerabilidad Connicator: Cross -Scriptures Escrituras autentificadas en la versión: No Corrección conocida – Gravedad del enchufe cerrado: 3.8 Bajo
Esta vulnerabilidad no ha sido reparada. Desinstale y borre el complemento hasta que se libere un parche.
7. GA Google Analytics
Plugin: GA Google Analytics Vulnerabilidad: Escrituras de sitios cruzados autenticado almacenado en la versión: No hay remedio conocido de gravedad: 5.9 promedio

Esta vulnerabilidad no ha sido reparada. Desinstale y borre el complemento hasta que se libere un parche.
8. Dirija el primer complemento complemento: apunte la primera vulnerabilidad del complemento: Escrituras de sitios cruzados no autorizadas por la clave de licencia parcheada en la versión: 1.0 Puntuación de gravedad: 7.2 Alto
La vulnerabilidad se repara, por lo que debe actualizarse a la versión 1.0+.
9. Visitante de Insights de los clientes potenciales-5050
Plugin: Estadísticas para los visitantes LEADS-5050 Vulnerabilidad: Modificación no autorizada de la licencia parcheada en la versión: 1.1.

10. dsgvo todo en uno para wp
Complemento: dsgvo todo en uno para vulnerabilidad de WP: escrituras cruzadas no autorizadas parcheadas en la versión: 4.0 Puntuación de gravedad: 8.3 alto
La vulnerabilidad se repara, por lo que debe actualizarse a la versión 4.0+.

11. Ultimatewoo Plugin: Ultimatewoo Vulnerabilidad: Inyección PHP Objeto corregido en la versión: Sin corrección conocida – Gravedad del complemento cerrado: 5.6 Medio
Esta vulnerabilidad no ha sido reparada. Desinstale y borre el complemento hasta que se libere un parche.
12. Miembro final
Plugin: Ultimate Miember Vulnerabilidad: Escrituras de clasificación cruzada reflejadas parchadas autenticadas en: 2.1.20 Puntuación de gravedad: 4.4 promedio
La vulnerabilidad se repara, por lo que debe actualizarse a la versión 2.1.20+.

13. Optimización automática
Plugin: Vulnerabilidad de optimización automática: Escrituras cruzadas almacenadas autenticadas parcheadas en la versión: 2.8.4 Puntuación de gravedad: 6.6 Promedio
La vulnerabilidad se repara, por lo que debe actualizarse a la versión 2.8.4+.

14. Zlick Paywall
Plugin: Zlick Paywall Vulnerabilidad: CSRF parcheado por la versión: 2.2.2 Puntuación de gravedad: 3.1 Low
La vulnerabilidad se repara, por lo que debe actualizarse a la versión 2.2.2+.

15. Lista de deseos y comparación de WooCommerce de THEMA
Plugin: Temohigh WooCommerce Lista de deseos y comparación de vulnerabilidad: AJAX no autorizado parcheado en la versión: 1.0.5 Puntuación de gravedad: 7.2 Se repara la alta vulnerabilidad, por lo que debe actualizarse a la versión 1.0.5+.
16. Regalos simples

Plugin: Regalos de vulnerabilidad simples: Scripts cruzados reflejó parchado no autorizado en la versión: 2.36.2 Puntuación de gravedad: 7.1 High
La vulnerabilidad se repara, por lo que debe actualizarse a la versión 2.36.2+.
17. Reservas en el restaurante Redi

Plugin: Restaurantes Reservas de restaurantes Vulnerabilidad: Escrituras cruzadas no autorizadas parcheadas en la versión: 21.0426 Puntuación de gravedad: 7.1 alto
La vulnerabilidad se repara, por lo que debe actualizarse a la versión 21.0426+.
18. SEO todo en uno

Plugin: SEO Todo en una vulnerabilidad: Ejecución del código de distancia parcheado en la versión: 4.1.0.2 Puntuación de gravedad: 6.6 Promedio
La vulnerabilidad se repara, por lo que debe actualizarse a la versión 4.1.0.2+.
19. LIBTERLMS

Plugin: Lifterlms Vulnerabilidad: Escrituras de sitio cruzado autenticado en Editar perfil parcheado en la versión: 4.21.1 Puntuación de gravedad: 7.4 Alto
Vulnerabilidad: scripts cruzados reflejados a través del código de cupón al finalizar la verificación de la versión: 4.21.1 SeverityScore: 6.1 Medio
La vulnerabilidad se repara, por lo que debe actualizarse a la versión 4.21.1+.

Vulnerabilidades del tema de WordPress

No se han revelado nuevas vulnerabilidades este mes.
Una nota sobre la divulgación responsable podría estar preguntándose por qué se revelaría una vulnerabilidad si les dan a los piratas informáticos una exploit de ataque. Bueno, es muy común que un investigador de seguridad encuentre e informe la vulnerabilidad del desarrollador de software antes de que se haga público. Con la divulgación responsable, el informe inicial del investigador se realiza en privado a los desarrolladores de la compañía que poseen el software. Pero. Con el acuerdo de que los detalles completos se publicarán una vez que se haya puesto a disposición un parche. Para vulnerabilidades de seguridad significativas, podría haber un ligero retraso en la revelación de la vulnerabilidad, para darle tiempo a más personas a la corrección. El investigador de seguridad puede proporcionar una fecha límite para que el desarrollador de software responda al informe o proporcione un parche. Si este término no se respeta, el investigador puede revelar públicamente la vulnerabilidad para presionar al desarrollador para que emita un parche.
La divulgación pública de una vulnerabilidad y la aparente introducción de una vulnerabilidad de cero días, un tipo de vulnerabilidad que no tiene parche y se explota en la naturaleza, puede parecer contraproducente. Pero, es la única palanca que un investigador tiene para presionar al desarrollador para remediar la vulnerabilidad. Si un hacker descubrió la vulnerabilidad, podría usar en silencio la exploit y causar daños al usuario final (este es usted), mientras que el desarrollador de software permanece contenido al dejar vulnerabilidad sin correcciones. El Proyecto Zero de Google tiene una guía similar cuando se trata de revelar vulnerabilidades. Publican los detalles completos de la vulnerabilidad después de 90 días, si se reparó o no la vulnerabilidad. Cómo proteger su sitio web de WordPress de complementos y temas vulnerables. Hay tres excelentes formas de proteger automáticamente sus sitios web de temas y complementos vulnerables: activar actualizaciones automáticas para complementos y temas
El escáner del sitio del complemento IThemes Security Pro
Gestión de versiones en iThemes Seguridad
1. Active actualizaciones automáticas para complementos y temas que comienzan con WordPress 5.5, puede activar actualizaciones automáticas para complementos y temas. ¿Por qué se ejecutarían las actualizaciones automáticas en el núcleo de WordPress? Los complementos y temas obsoletos siguen siendo la razón # 1 por la cual los sitios de WordPress están pirateados. Las versiones de versión a menudo incluyen importantes parches de seguridad para cerrar vulnerabilidades (solo tiene que verificar cuántos problemas de seguridad y arado se revelan de mes a mes en nuestro resumen de WordPress). Por lo tanto, la ejecución de la versión más reciente de cualquier complemento o tema que haya instalado en su sitio es una buena práctica de seguridad. Ahora, el núcleo de WordPress le permitirá establecer complementos y temas para la actualización automática de su administrador de WordPress> complementos> complementos y apariencia instalados. De esta manera, puede saber cada vez que su sitio ejecuta el código más reciente disponible. 2. Active el escáner del escáner del complemento del complemento del sitio de Security Pro Security Scanner IThemes Security Pro es otra forma de asegurar y proteger el sitio web de WordPress por la primera causa de todos los hacks de software: complementos obsoletos y temas con vulnerabilidades conocidas. Sitio del escáner Consulte su sitio en busca de vulnerabilidades conocidas y aplica automáticamente un parche si está disponible. Los 3 tipos de vulnerabilidades de WordPress verificadas por Ithemes Security Pro Site Ship: WordPress Vulnerabilidades básicas
Las vulnerabilidades del complemento
Vulnerabilidades temáticas
Para activar el escaneo del sitio en su sitio, navegue por la configuración de Security Pro iThems y haga clic en el botón de activación en el módulo de sección de escaneo del sitio. Para activar un escaneo manual del sitio, haga clic en el botón de escaneo ahora en el widget de escaneo del sitio ubicado a la derecha Barra lateral de la configuración de seguridad.
Los resultados del escaneo del sitio se mostrarán en widget.
Si el escaneo del sitio detecta una vulnerabilidad, haga clic en el enlace de vulnerabilidad para ver la página de detalles.
En la página de vulnerabilidad del sitio de escaneo, verá si hay un remedio disponible para la vulnerabilidad. Si hay un parche disponible, puede hacer clic en el botón de actualización del complemento para aplicar el sitio web. Puede haber un retraso entre el momento en que hay un parche disponible y la vulnebilidad de seguridad iThemes se actualiza para reflejar el remedio. En este caso, puede deshabilitar la notificación para no recibir alertas de vulnerabilidad.
Importante: no debe desactivar una notificación de vulnerabilidad hasta que haya confirmado que la versión actual incluye un remedio de seguridad o si la vulnerabilidad no afecta a su sitio.
3. Active la gestión de versiones en ITHEMS Función de administración de Pro Security IThemes Security Pro le permite tener un poco más de control sobre WordPress, complementos y temas automáticos. Estas son las tres formas en que la administración de Ithemes Security Pro ofrece más flexibilidad en comparación con las actualizaciones automáticas de WordPress.
Gestión simplificada de complementos y temas: administre todas las actualizaciones de complementos y temas de la configuración de administración de versiones. Debidos períodos de retraso personalizados para complementos y temas: las actualizaciones automáticas de WordPress proporcionan la opción de aplicar actualizaciones de inmediato. El planificador de actualización le permite crear un retraso personalizado. El retraso puede ser una buena opción para complementos o temas que tienden a necesitar algunas versiones de búsqueda para remediar problemas después de un lanzamiento importante.

Aplique solo actualizaciones que remedien las vulnerabilidades conocidas: aplique solo actualizaciones que remedien las vulnerabilidades conocidas. Esta opción es perfecta si desea manejar todas sus actualizaciones manualmente, pero desea obtener parches de seguridad de inmediato.

Más allá de eso, la administración de versiones también tiene opciones para fortalecer su sitio cuando ejecuta software obsoleto y escaneando sitios antiguos. Para comenzar a usar la gestión de versiones, active el módulo en la configuración de seguridad principal.

Ahora haga clic en el botón Configuración de configuración para ver más de cerca la configuración.

Actualizaciones de WordPress: instale automáticamente la última versión de WordPress.
Actualizaciones de complementos: instale automáticamente las últimas actualizaciones de plug -UP. La activación de esta configuración desactivará la característica de los complementos de actualización automática de WordPress para evitar conflictos.
Actualizaciones de temas: instale automáticamente las últimas actualizaciones temáticas. La activación de esta configuración deshabilitará la función de actualización automática de WordPress para evitar conflictos.
Consolidar el sitio cuando se ejecuta software anticuado, automáticamente agrega protección adicional al sitio cuando no se instala una actualización disponible por un correo electrónico antes de iniciar sesión nuevamente.
Deshabilite el editor de archivos WP (bloquee a las personas para editar el complemento o el código del tema).
Deshabilite Pingback XML-RPC y bloquee varios intentos de autenticación para cada solicitud XML-RPC (ambos hará que XML-RPC sea más fuerte contra los ataques sin tener que detenerlo por completo).
Escanee en busca de sitios antiguos de WordPress, una cuenta de alojamiento diario para sitios antiguos de WordPress que podrían permitir que un atacante comprometa el servidor. Un solo sitio de WordPress con una vulnerabilidad podría permitir a los atacantes comprometer a todos los demás sitios en la misma cuenta de host.

Actualización automática Si remedia la vulnerabilidad: esta opción funciona en conjunto con el escaneo del sitio de Ithems Security Pro para consultar el sitio web para conocer las vulnerabilidades de WordPress, complementos y temas para aplicar un parche cuando esté disponible.

Ahora echemos un vistazo más de cerca a la configuración de las actualizaciones de complementos y tareas. Antes de comenzar, quería recordarle que activar la configuración de actualización del complemento y el tema desactivarán la función de actualización automática de WordPress para evitar conflictos.
Tanto la configuración del complemento como la actualización del tema tienen tres opciones.
Blank / None: deje la configuración sin complicaciones permitirá que WordPress administre el complemento y las actualizaciones del tema. Personalizado: la opción personalizada le permite personalizar las actualizaciones con precisión.
Todos: todos actualizarán todos sus complementos o temas tan pronto como haya una actualización disponible.
Ahora echemos un vistazo más de cerca a la opción personalizada.
Seleccionar la opción personalizada ofrece tres opciones diferentes para las actualizaciones de arados y temas.
Activación: elija qué complementos desea actualizar inmediatamente después de una nueva versión.
Desactivar: use esta opción para los complementos que desea actualizar manualmente.
Retraso: la opción de retraso le permite establecer la cantidad de días en los que desea retrasar una actualización de una versión. Esta puede ser una buena opción para los desarrolladores que tienden a necesitar más versiones para remediar problemas después de un lanzamiento importante.
Obtenga IThemes Security Pro Today IThemes Security Pro, nuestro complemento de seguridad de WordPress, ofrece más de 50 formas de asegurar y proteger su sitio web contra las vulnerabilidades comunes de seguridad de WordPress. Con WordPress, autenticación en dos factores, protección de fuerza sin procesar, aplicación de contraseña segura y más, puede agregar una capa de seguridad adicional a su sitio web. Obtener ithemes Security Pro

Michael Moore
Cada semana, Michael realiza un informe de vulnerabilidad de WordPress para mantener sus sitios seguros.Como gerente de producto en IThems, nos ayuda a continuar mejorando la gama IThems.Es un marco enorme y le encanta aprender sobre todas las cosas técnicas, viejas y nuevas.Puedes encontrar a Michael sentado con su esposa e hija, leyendo o escuchando música cuando no trabaja.