WordPress Vulnebility Roundup: octubre de 2020, Parte 1

En la primera mitad de octubre, se revelaron nuevas vulnerabilidades para el complemento y el tema de WordPress. En esta publicación, cubrimos las vulnerabilidades recientes del arado, el tema y el núcleo de WordPress y qué hacer si ejecuta uno de los complementos o temas vulnerables en su sitio web. WordPress Vulnerabilidad Roundup se divide en tres categorías diferentes: WordPress Core, WordPress Plugins y WordPress Temas.
En el informe de octubre, Parte 1
Las vulnerabilidades básicas de WordPress no se han revelado vulnerabilidades básicas de WordPress en la segunda mitad de julio.
Vulnerabilidades de complemento de WordPress 1. Xcloner

Las versiones de XCloner por debajo de 4.2.15 tienen una vulnerabilidad de falsificación de solicitud de sitio cruzado.
La vulnerabilidad se repara y debe actualizarse a la versión 4.2.15.
2. CONTACTO FORMOS NINJA

Las versiones del formulario de contacto Ninja se forman por debajo de 3.4.27.1 presentan una vulnerabilidad de la demanda de falsificación entre los sitios.
La vulnerabilidad se repara y debe actualizarse a la versión 3.4.27.1.
3. Codador

Todas las versiones de codificación tienen una vulnerabilidad de la demanda de falsificación entre los sitios.
Elimine el complemento hasta que se inicie una solución de seguridad.
4. Simple: presione

Simple: las versiones de prensa por debajo de 6.6.1 tienen una vulnerabilidad para controlar el acceso interrumpido, lo que podría conducir a un ataque en el código remoto.
La vulnerabilidad se repara y debe actualizarse a la versión 6.6.1.
5. Cursos de WP LMS

WP Courses Versiones LMS por debajo de 2.0.29 presenta una vulnerabilidad de control de acceso interrumpido.
La vulnerabilidad se repara y debe actualizarse a la versión 2.0.29.6. Diapositivas de 10web
El deslizador de versiones de 10Web por debajo de 1.2.36 tiene múltiples vulnerabilidades de inyección SQL autenticadas.

La vulnerabilidad se repara y debe actualizarse a la versión 1.2.36.
7. WordPress + Microsoft Office 365 / Azure AD
WordPress + Microsoft Office 365 / Azure AD bajo 11.7 Las versiones tienen una vulnerabilidad de derivación de autenticación.

La vulnerabilidad se repara y debe actualizarse a la versión 11.7.
8. El escaparate del equipo
Las versiones de exhibición del equipo por debajo de 1.22.16 tienen una vulnerabilidad autenticada almacenada en varios sitios.

La vulnerabilidad se repara y debe actualizarse a la versión 1.22.16.
9. Post Grid
2.0.73 Las versiones posteriores a la cuadrícula tienen una vulnerabilidad autenticada almacenada en sitios de sitios cruzados.

La vulnerabilidad se repara y debe actualizarse a la versión 2.0.73.
10. WPBakery Page Builder
Las versiones de WPBakery Page Builder a continuación 6.1 tienen una vulnerabilidad autenticada almacenada en varios sitios.

La vulnerabilidad se repara y debe actualizarse a la versión 6.4.1.
11. Hypercoritors
Todas las versiones de hipercomisos de vulnerabilidad no sean autenticados archivos arbitenarios.

Elimine el complemento hasta que se inicie una solución de seguridad.
12. Contenido dinámico para Elementor
El contenido dinámico para las versiones elementales por debajo de 1.9.6 presenta una vulnerabilidad a la ejecución del código de distancia autenticado.

La vulnerabilidad se repara y debe actualizarse a la versión 1.9.6.
13. Podcasting de PowerPress
Las versiones de podcasting de PowerPress de menos de 8.3.8 tienen los principales problemas de cargar los archivos de arbitraje autenticados que conducen a una vulnerabilidad a la ejecución del código remoto.

Vulnerabilidades del tema de WordPress 1. Formato
Las versiones formales por debajo de V1.2.9 tienen una vulnerabilidad de inyección de la función no autorizada.
La vulnerabilidad se repara y debe actualizarse a la versión V1.2.9.

2. Newsmag
Las versiones de Newsmag por debajo de 2.4.2 tienen una vulnerabilidad a la inyección de la función no autorizada.
La vulnerabilidad se repara y debe actualizarse a la versión 2.4.2.

3. Activello
Las versiones de Activello por debajo de 1.4.2 tienen una vulnerabilidad no autorizada por inyección de funciones.
La vulnerabilidad se repara y debe actualizarse a la versión 1.4.2.

4. Illdy
Las versiones Illdy por debajo de 2.1.7 tienen una vulnerabilidad de inyección de la función no autorizada.
La vulnerabilidad se repara y debe actualizarse a la versión 2.1.7.

5. Alegiante
Las versiones aleatorias por debajo de 1.2.6 tienen una vulnerabilidad no autorizada por la inyección de la función.
La vulnerabilidad se repara y debe actualizarse a la versión 1.2.6.

6. El periódico X.
Las versiones del periódico X por debajo de 1.3.2 tienen una vulnerabilidad no autorizada por inyección de función.
La vulnerabilidad se repara y debe actualizarse a la versión 1.3.2.

7. Pixova Lite

Las versiones de Pixova Lite por debajo de 2.0.7 tienen una vulnerabilidad no autorizada por inyección de funciones.
La vulnerabilidad se repara y debe actualizarse a la versión 2.0.7.

8. Brillo
Las versiones de Shine por debajo de 1.3.0 tienen una vulnerabilidad no autorizada por inyección de funciones. Se repara la vulnerabilidad y debe actualizarse a la versión 1.3.0.
9. Medzone Lite

Las versiones de Medzone Lite por debajo de 1.2.6 tienen una vulnerabilidad no autorizada por inyección de funciones.
La vulnerabilidad se repara y debe actualizarse a la versión 1.2.6.
10. Regina Lite

Las versiones de Regina Lite por debajo de 2.0.6 tienen una vulnerabilidad no autorizada por inyección de funciones.
La vulnerabilidad se repara y debe actualizarse a la versión 2.0.6.
12. Trascender

Las versiones de trascienda por debajo de 1.2.0 tienen una vulnerabilidad no autorizada por inyección de funciones.
La vulnerabilidad se repara y debe actualizarse a la versión 1.2.0.
13. afluente

Las versiones ricas por debajo de 1.1.2 tienen una vulnerabilidad de inyección de la función no autorizada.
La vulnerabilidad se repara y debe actualizarse a la versión 1.1.2.
14. Bonkers

Las versiones de Bonkers bajo 1.0.6 tienen vulnerabilidad no autorizada por inyección de función.
La vulnerabilidad se repara y debe actualizarse a la versión 1.0.6.
15. Tren

Las versiones de entrenamiento por debajo de 1.0.7 tienen una vulnerabilidad no autorizada por la inyección de la función.
La vulnerabilidad se repara y debe actualizarse a la versión 1.0.7.
16. Naturemag Lite

Todas las versiones de Naturemag Lite tienen una vulnerabilidad no autorizada por inyección de funciones.
Elimine el complemento hasta que se inicie una solución de seguridad.
Consejo de seguridad de octubre: ¿Por qué debería usar la autenticación de dos factores utilizando dos factores para los usuarios de los usuarios de su WordPress puede ayudarlo a mantener su sitio web seguro, incluso si utiliza uno de los complementos en esta edición del paquete de vulnerabilidad con un bypass de autenticación? Vulnerabilidad. Uso de la autenticación de dos factores para las conexiones de los usuarios de WordPress puede ayudar a mantener su sitio web seguro, incluso si utiliza un complemento con un bypass de autenticación de vulnerabilidad. ¿Por qué? La autenticación con dos factores hace que sea casi imposible para un usuario no autorizado conectarse a su sitio web. ¿Cuáles son los dos factores de autenticación? La autenticación con dos factores es un proceso de verificación de la identidad de una persona mediante la necesidad de dos métodos de verificación separados. La autenticación de dos factores agrega una capa de seguridad de WordPress adicional para verificar si está realmente conectado y no alguien que haya ganado (o incluso adivinado) contraseña. Aquí hay algunas otras razones para usar la autenticación de dos factores para agregar otra capa protectora al inicio de sesión de WordPress.

Las contraseñas reutilizadas son contraseñas débiles. Según el informe de investigación sobre la violación de datos de Verizon, más del 70% de los empleados reutilizan las contraseñas en el trabajo. Pero las estadísticas más importantes en el informe es que “el 81% de las violaciones de piratería han utilizado contraseñas robadas o débiles”.
Aunque el 91% de las personas saben que la reutilización de las contraseñas es una práctica débil, ¡un asombroso 59% de las personas reutilizan sus contraseñas en todas partes!
Muchas personas todavía usan contraseñas que han aparecido en una base de datos. Una descarga de la base de datos aparece cuando un hacker gana con éxito el acceso a una base de datos de usuarios y luego descarga el contenido en algún lugar en línea. Desafortunadamente para nosotros, estos depósitos de contenido contienen mucha conexión confidencial e información de cuenta. 1 ”que fue alojado en Mega incluyó 1,160,253,228 combinaciones de correo electrónico y contraseña únicas. Este tipo de puntaje proporcionará un hocico malicioso con más de mil millones de conjuntos de credenciales para usar en ataques crudos. Los ataques de fuerza bruta se refieren a un método de prueba y error utilizado para descubrir combinaciones de nombre de usuario y contraseña para ingresar a un sitio web.
Incluso si tiene una contraseña segura, está tan seguro como cualquier otro usuario de administrador en su sitio, por lo que es el tipo de persona que usa un administrador de contraseñas como LastPass para crear contraseñas fuertes y únicas para cada una de las cuentas, pero qué qué usted ¿Le sucede al otro administrador y usuarios de editor en su sitio? Si un atacante ha logrado comprometer una de sus cuentas, aún podría causar mucho daño a su sitio web.
Google dijo que la autenticación de dos factores es efectiva contra el 100% de los ataques automáticos de hocico. Solo esta es una razón bastante buena.
Cómo agregar autenticación de dos factores para asegurar su autenticación de WordPress con el complemento de seguridad de ITHEME ITHEMES Security Pro facilita agregar dos factores a sus sitios de WordPress. Con la autenticación en dos factores de WordPress de IThems Security Pro, los usuarios deben ingresar tanto una contraseña como un código secundario enviado a un dispositivo móvil, como un teléfono inteligente o una tableta. Tanto la contraseña como el código son necesarios para conectarse con éxito a una cuenta de usuario. Para comenzar a usar la autenticación de dos factores en su sitio web, active la función en la página principal de IThems Security Pro.
En esta publicación, desglosamos todos los pasos para agregar dos factores a su sitio web con Ithemes Security Pro, incluido cómo usar un tercero, como Google Authenticator o Authy. Vea cómo funciona un complemento de seguridad de WordPress puede ayudarlo a proteger su sitio web Ithems Security Pro, nuestro complemento de seguridad de WordPress, proporciona más de 50 formas de asegurar y proteger su sitio contra las vulnerabilidades comunes de seguridad de WordPress. Con WordPress, autenticación en dos factores, protección de fuerza sin procesar, aplicación de contraseña segura y más, puede agregar una capa de seguridad adicional a su sitio web. Obtener ithemes Security Pro
Michael Moore
Cada semana, Michael realiza un informe de vulnerabilidad de WordPress para mantener sus sitios seguros.Como gerente de producto en IThems, nos ayuda a continuar mejorando la gama IThems.Es un marco enorme y le encanta aprender sobre todas las cosas técnicas, viejas y nuevas.Puedes encontrar a Michael sentado con su esposa e hija, leyendo o escuchando música cuando no trabaja.