WordPress Vulnerabilidad Breviar: mayo de 2020, Parte 2

Las nuevas vulnerabilidades del complemento y los temas de WordPress se revelaron en la segunda mitad de mayo, por lo que queremos informarle. En esta publicación cubrimos las vulnerabilidades recientes del complemento de WordPress, el tema y el núcleo y qué hacer si ejecuta uno de los complementos o temas vulnerables en su sitio web. Se han revelado nuevas vulnerabilidades del tema de complemento y WordPress en la segunda mitad de abril, por lo que queremos informarle. En esta publicación cubrimos las vulnerabilidades recientes del complemento de WordPress, el tema y el núcleo y qué hacer si ejecuta uno de los complementos o temas vulnerables en su sitio web.
WordPress Vulnerabilidad Roundup se divide en cuatro categorías diferentes:
Núcleo de WordPress
Complementos de WordPress
Temas de WordPress
Cada vulnerabilidad tendrá una calificación de amenaza baja, media, alta o crítica. Las vulnerabilidades básicas de WordPress no se han revelado vulnerabilidades de WordPress en mayo de 2020. Se han descubierto vulnerabilidades de complementos de WordPress para algunas nuevas vulnerabilidades para los complementos de WordPress. Asegúrese de seguir la acción sugerida a continuación para actualizar el complemento o desinstalarlo por completo. 1. Kit de sitio web de Google – Crítico

El kit de sitios web de las versiones de Google por debajo de 1.8.0 tiene una vulnerabilidad para escapar de los privilegios, lo que permitirá a un atacante convertirse en el propietario de la consola de búsqueda.
La vulnerabilidad se repara y debe actualizarse a la versión 1.8.0.
2. Testimonios fáciles – crítico

Las versiones fáciles de testimonios por debajo de 3.6 tienen una vulnerabilidad autenticada almacenada en varios sitios.
La vulnerabilidad se repara y debe actualizarse a la versión 3.6.3. Revisión del producto WP – alto
Las versiones de revisión de productos de WP por debajo de 3.7.6 tienen una vulnerabilidad no autorizada almacenada en el sitio web de secuencias de comandos de sitios cruzados.

La vulnerabilidad se repara y debe actualizarse a la versión 3.7.6.
4. Pop -Up Iniciar sesión / Inscrito – Crítico
Las versiones de conexión emergente / registro por debajo de 1.5 tienen una vulnerabilidad autenticada almacenada en el sitio web de secuencias de comandos de sitios cruzados.

La vulnerabilidad se repara y debe actualizarse a la versión 1.5.
5. Galería de fotos de 10Web – Criticate
La galería de fotos de las versiones de 10web por debajo de 1.5.55 tiene una inyección de vulnerabilidad no autorizada SQL.

La vulnerabilidad se repara y debe actualizarse a la versión 1.5.55.
6. Miembros del equipo – Critics
Las versiones de los miembros del equipo por debajo de 5.0.4 tienen una vulnerabilidad autenticada almacenada en varios sitios.

La vulnerabilidad se repara y debe actualizarse a la versión 5.0.4.
7. Visual Composer Website Builder – Genial
Las versiones del constructor de sitios web del compositor visual por debajo de 27.0 tienen varias vulnerabilidades de autenticación entre sitios.

La vulnerabilidad se repara y debe actualizarse a la versión 27.0.
8. WordPress Infinite Scroll – crítico
Las versiones infinitas de WordPress por debajo de 5.3.2 tienen una vulnerabilidad de inyección SQL auténtica.

La vulnerabilidad se repara y debe actualizarse a la versión 5.3.2.
9. Perfil WP Frontand – Bajo
Las versiones del perfil WP Frotend por debajo de 1.2.2 tienen una vulnerabilidad para falsificar las aplicaciones del sitio cruzado.

La vulnerabilidad se repara y debe actualizarse a la versión 1.2.2.
10. suscripciones pagas pro – medios suscripciones pagas por debajo de 2.3.3 tienen una inyección SQL autenticada.
La vulnerabilidad se repara y debe actualizarse a la versión 2.3.3.

11. Thirstyafilates -Medium -in -Affiliated Link Manager
Thirstyafilates versiones Administrador de enlaces de afiliados a continuación 3.9.3 tienen una vulnerabilidad autenticada almacenada Scripting Criss.
La vulnerabilidad se repara y debe actualizarse a la versión 3.9.3.

12. Formularios oficiales de registro de Mailerlite – crítico
Las versiones oficiales de los formularios de registro de Mailerlite por debajo de 1.4.5 tienen múltiples vulnerabilidades de CSRF.
La vulnerabilidad se repara y debe actualizarse a la versión 1.4.5.

13. Sweetalert Sweetalert Contacto Forma 7 – Bajo

Completar las versiones Sweetalert 7 por debajo de 1.0.8 Las versiones tienen una vulnerabilidad autenticada almacenada en el sitio web de secuencias de comandos de sitios cruzados.
La vulnerabilidad se repara y debe actualizarse a la versión 1.0.8.

14. Formulador de formulario por 10web – alto
Las versiones de fabricantes de formularios a continuación tienen 1.13.36 una vulnerabilidad de inyección SQL auténtica.
La vulnerabilidad se repara y debe actualizarse a la versión 1.13.36.

Los temas de WordPress no se han revelado vulnerabilidades del tema de WordPress en la segunda mitad de mayo. Cómo ser proactivo sobre las vulnerabilidades del tema de WordPress y los complementos que ejecutan el software obsoleto es por qué los sitios de WordPress son pirateados. Es crucial que la seguridad de su sitio de WordPress tenga una rutina de actualización. Debe iniciar sesión en sus sitios al menos una vez por semana para realizar actualizaciones.
Las actualizaciones automáticas pueden ayudar a sus actualizaciones automáticas son una excelente opción para los sitios web de WordPress que no cambian muy a menudo. La falta de atención a menudo deja estos sitios descuidados y vulnerables a los ataques. Incluso con la configuración de seguridad recomendada, ejecutando un software vulnerable en su sitio. Puede darle al atacante un punto de entrada en su sitio. Usando la gestión de versiones de Security Pro Ithemes, puede activar las actualizaciones automáticas de WordPress para garantizar que reciba los últimos parches de seguridad. Estas configuraciones lo ayudan a proteger su sitio con opciones de actualización automática a nuevas versiones o para mejorar la seguridad del usuario cuando el software del sitio está desactualizado. Actualización de versiones actualizadas.
Actualizaciones de WordPress: instale automáticamente la última versión de WordPress.
Actualizaciones automáticas para complementos: instale automáticamente las últimas actualizaciones para complementos. Esto debe activarse, a menos que mantenga activamente este sitio diario e instale las actualizaciones manualmente poco después del lanzamiento.

Actualizaciones de temas automáticos: instale automáticamente las últimas actualizaciones de temas. Esto debe activarse a menos que su tema tenga personalizaciones de archivos.
Control granular sobre las actualizaciones de complementos y temas: puede tener complementos / temas que desea actualizar manualmente o retrasar la actualización hasta que la versión haya tenido tiempo para resultar estable. Puede elegir personalizado para la posibilidad de atribuir a cada complemento o tema, ya sea la actualización inmediata (activación), no la actualización automática (desactivación) o la actualización con un retraso de una cierta cantidad de días (retraso). Consolidación y alerta sobre problemas críticos
Consolidar el sitio cuando se ejecuta software anticuado, automáticamente agrega protección adicional al sitio cuando no se ha instalado una actualización disponible en un mes. El complemento de seguridad iThemes activará automáticamente una seguridad más estricta cuando no se haya instalado una actualización de un mes. En primer lugar, obligará a todos los usuarios que no tienen dos factores activos a proporcionar un código de autenticación enviado a su correo electrónico antes de iniciar sesión nuevamente. , XML-RPC Pingback y bloquean varios intentos de autenticación para cada solicitud XML-RPC (ambos hará que XML-RPC sea más contra los ataques sin tener que detenerlo por completo).
Busque otros sitios antiguos de WordPress: esto verificará si hay otras instalaciones obsoletas de WordPress en su cuenta de host. Un solo sitio de WordPress con una vulnerabilidad podría permitir a los atacantes comprometer a todos los demás sitios en la misma cuenta de host.
Enviar notificaciones de correo electrónico para problemas que requieren intervención, se envía un correo electrónico a los usuarios a nivel de administrador.
¿Gestionar más sitios de WP? Actualice los complementos, los temas y el núcleo a la vez desde el tablero de sincronización de sincronización ITheme es nuestro tablero central para ayudarlo a administrar más sitios de WordPress. Desde el tablero de sincronización, puede ver las actualizaciones disponibles para todos sus sitios y luego actualizar los complementos, los temas y un solo clic. También puede recibir notificaciones diarias por correo electrónico cuando hay una nueva versión de actualización disponible.
Pruebe la sincronización gratuita durante 30 días, un complemento de seguridad de WordPress puede ayudarlo a proteger su sitio web Ithemes Security Pro, nuestro complemento de seguridad de WordPress, proporciona más de 30 formas de proteger y proteger el sitio contra vulnerabilidades comunes. De seguridad de WordPress. Con WordPress, autenticación en dos factores, protección de fuerza sin procesar, aplicación de contraseña segura y más, puede agregar una capa de seguridad adicional a su sitio web.
Obtenga más información sobre la seguridad de WordPress con 10 consejos clave. Descargue su libro electrónico ahora: una guía de seguridad de WordPress
Descargar ahora
Michael Moore

Cada semana, Michael realiza un informe de vulnerabilidad de WordPress para mantener sus sitios seguros. Como gerente de producto en IThems, nos ayuda a continuar mejorando la gama IThems. Es un marco enorme y le encanta aprender sobre todas las cosas técnicas, viejas y nuevas. Puedes encontrar a Michael sentado con su esposa e hija, leyendo o escuchando música cuando no trabaja.