WordPress Vulnebility Roundup: noviembre de 2020, Parte 1

En la primera mitad de noviembre, se revelaron algunas nuevas vulnerabilidades para el tema del complemento y WordPress. Esta publicación cubre las vulnerabilidades recientes del complemento de WordPress, el tema y el núcleo y qué hacer si ejecuta uno de los complementos o temas vulnerables en su sitio web. WordPress Vulnerabilidad Roundup se divide en tres categorías diferentes: WordPress Core, WordPress Plugins y WordPress Temas.
En noviembre, la Parte 1 Informe
WordPress 5.5.2 Se lanzó vulnerabilidades básicas el 29 de octubre e incluyeron 10 remedios de seguridad básicos de WordPress.
Aquí está la lista de remedios de seguridad mencionados en el lanzamiento de WordPress Post 5.5.2.
Solicitudes de diseño reforzadas.
Remedio para desactivar las incorporaciones de spam en los sitios de apagado.
Se ha resuelto un problema de seguridad que podría conducir a un XSS de variables globales.
Se ha remediado un problema de aumentar los privilegios en XML-RPC.
Se ha resuelto un problema relacionado con los privilegios crecientes en relación con la publicación de comentarios a través de XML-RPC.
Se ha resuelto un problema de seguridad en el que un ataque trasero podría conducir a RCE.
Se ha eliminado un método de almacenamiento XSS en Post Slugs.
El método de omitir meta protegido podría eliminarse que podría conducir a la eliminación arbitraria de los archivos.
Se eliminó un método que podría conducir a CSRF.
Las vulnerabilidades se han reparado, así que actualice WordPress a la versión 5.5.2.
Vulnerabilidades de complemento de WordPress 1. Buscar SW Ajax WooCommerce

Las versiones SW AJAX WOOCOMMERCE Search SW por debajo de 1.2.8 tienen vulnerabilidades XSS y XFS.
La vulnerabilidad se repara y debe actualizarse a la versión 1.2.8.2. Access Press Icons sociales
Las versiones de Icons sociales de AccessPress por debajo de 1.8.1 tienen una auténtica vulnerabilidad de inyección SQL.

La vulnerabilidad se repara y debe actualizarse a la versión 1.8.1.
3. Soporte de cumplimiento de GDPR CCPA
Las versiones de asistencia para el cumplimiento del GDPR CCPA por debajo de 2.4 tienen una vulnerabilidad no autorizada para la inyección de objetos PHP.

La vulnerabilidad se repara y debe actualizarse a la versión 2.4.
4. Realidad aumentada
Todas las versiones de realidad aumentada tienen una carga de archivo PHP no autorizada que conduce a la vulnerabilidad de RCE.

Elimine el complemento hasta que se inicie una solución de seguridad.
5. Welcart E-Commerce
Las versiones de comercio electrónico de WelCart por debajo de 1.9.36 han autenticado la vulnerabilidad mediante la inyección de objetos PHP.

La vulnerabilidad se repara y debe actualizarse a la versión 1.9.36.
6. WooCommerce
Las versiones de WooCommerce por debajo de 4.6.2 tienen una vulnerabilidad para crear la cuenta de invitado.

La vulnerabilidad se repara y debe actualizarse a la versión 4.6.2.
7. Bloques de WooCommerce
WooCommerce bloquea las versiones por debajo de 3.7.1 muestran una vulnerabilidad para crear la cuenta de invitado.

La vulnerabilidad se repara y debe actualizarse a la versión 3.7.1.
8. Cart Lite abandonado para WooCommerce
Lite de carro abandonado para versiones de WooCommerce por debajo de 5.8.3 tiene una inyección de vulnerabilidad no autorizada SQL.

La vulnerabilidad se repara y debe actualizarse a la versión 5.8.3.
9. WP Activity Journal
Las versiones de registro de actividad de WP por debajo de 4.1.5 tienen una inyección SQL en la vulnerabilidad de la base de datos externa. Se repara la vulnerabilidad y debe actualizarse a la versión 4.1.5.

10. Miembro final

Las versiones de los miembros finales por debajo de 2.1.12 tienen una subida no autorizada de privilegios por roles de usuario, actualización de perfil y vulnerabilidades de meta usuarios.
La vulnerabilidad se repara y debe actualizarse a la versión 2.1.12.

11. Reseñas finales
Las versiones de Ultimate Reviews por debajo de 2.1.33 tienen una vulnerabilidad no autorizada para la inyección de objetos PHP.
La vulnerabilidad se repara y debe actualizarse a la versión 2.1.33.

Vulnerabilidades del tema de WordPress 1. Greenmart
Las versiones de GreenMart por debajo de 2.4.3 tienen una vulnerabilidad reflectante de secuencia de comandos.
La vulnerabilidad se repara y debe actualizarse a la versión 2.4.3.

Consejo de seguridad de noviembre: ¿Por qué necesita un registro de revistas de seguridad de WordPress es una parte esencial de su estrategia de seguridad de WordPress? La grabación y el monitoreo insuficientes pueden conducir a un retraso en la detección de una violación de seguridad. ¡La mayoría de los estudios de violación muestran que el tiempo para detectar una violación es de más de 200 días! Este período de tiempo permite que un atacante viole otros sistemas, modifique, robe o destruya más datos. Por estas razones, el registro insuficiente ha aterrizado en los primeros 10 seguridad para aplicaciones web OWASP.
¡La mayoría de los estudios de violación muestran que el tiempo para detectar una violación es de más de 200 días! Las revistas de seguridad de WordPress tienen varias ventajas en su estrategia de seguridad general. Identifique y detenga el comportamiento malicioso.
Actividad en el sitio que puede advertirle sobre una violación.
Evalúa cuánto daño se ha causado.
Ayuda a reparar un sitio pirateado.
Si su sitio está pirateado, querrá tener la mejor información para ayudarlo en una investigación y recuperación rápidas. ¿Qué son los registros de seguridad de WordPress? WordPress Security Journals en Ithemes Security Pro realiza un seguimiento de eventos de seguridad importantes que aparecen en su sitio web. Es importante que estos eventos monitoreen para indicar si ocurre o inyendo o cuando ocurra una violación de seguridad.
Los registros de seguridad de su sitio web son una parte vital de cualquier estrategia de seguridad. La información que se encuentra en estos registros se puede utilizar para bloquear a los malos actores, para resaltar un cambio no deseado en el sitio y para ayudar a identificar y corregir el punto de entrada de un ataque exitoso. Cómo agregar revistas de seguridad de WordPress a su sitio web La forma más simple de agregar registros de seguridad a su sitio web es con un complemento como IThemes Security Pro. Tan pronto como se instale y active iThems Security Pro, comenzará a monitorear y registrar importantes actividades de seguridad como sucede en su sitio web.
Ithemes Security Pro transforma los datos de sus revistas en un tablero de seguridad de WordPress en tiempo real, para que pueda ver mejor toda la actividad de seguridad que ocurre en su sitio. Consulte nuestra publicación sobre registros de seguridad. WordPress, para averiguar qué eventos de seguridad usted debe monitorear y cómo registrarlos. Vea cómo funciona un complemento de seguridad de WordPress puede ayudarlo a proteger su sitio web Ithems Security Pro, nuestro complemento de seguridad de WordPress, proporciona más de 50 formas de asegurar y proteger su sitio contra las vulnerabilidades comunes de seguridad de WordPress. Con WordPress, autenticación en dos factores, protección de fuerza sin procesar, aplicación de contraseña segura y más, puede agregar una capa de seguridad adicional a su sitio web.
Obtener ithemes Security Pro

Michael Moore

Cada semana, Michael realiza un informe de vulnerabilidad de WordPress para mantener sus sitios seguros. Como gerente de producto en IThems, nos ayuda a continuar mejorando la gama IThems. Es un marco enorme y le encanta aprender sobre todas las cosas técnicas, viejas y nuevas. Puedes encontrar a Michael sentado con su esposa e hija, leyendo o escuchando música cuando no trabaja.