WordPress Vulnebility Roundup: abril de 2020, Parte 2

Se han revelado nuevas vulnerabilidades del tema de complemento y WordPress en la segunda mitad de abril, por lo que queremos informarle. En esta publicación cubrimos las vulnerabilidades recientes del complemento de WordPress, el tema y el núcleo y qué hacer si ejecuta uno de los complementos o temas vulnerables en su sitio web. WordPress Vulnerabilidad Roundup se divide en cuatro categorías diferentes:
Núcleo de WordPress
Complementos de WordPress
Temas de WordPress
Cada vulnerabilidad tendrá una calificación de amenaza baja, media, alta o crítica. Vulnerabilidades básicas Las versiones de WordPress por debajo de 5.4.1 tienen múltiples vulnerabilidades.
Los chips de reinicio de contraseña no se invalidaron correctamente
Los usuarios no autorizados pueden ver publicaciones privadas
Vulnerabilidad de las Escrituras entre sitios personalizadores
Vulnerabilidad de las Escrituras entre sitios en el bloque de búsqueda
Vulnerabilidad de las Escrituras entre sitios en WP-Object-Cache
Vulnerabilidad de las Escrituras entre sitios en las cargas de archivo
Vulnerabilidad almacenada en múltiples sitios de scripts en Customizer
Las vulnerabilidades se reparan y deben actualizarse a la versión 5.4.1.
Las vulnerabilidades de los complementos de WordPress hasta ahora se han descubierto algunas vulnerabilidades nuevas para los complementos de WordPress. Asegúrese de seguir la acción sugerida a continuación para actualizar el complemento o desinstalarlo por completo.
1. Acuerdo Medio

Las versiones del acordeón por debajo de 2.2.9 tienen una acción AJAX desprotegida contra la vulnerabilidad de XSS y se reflejan.
La vulnerabilidad se repara y debe actualizarse a la versión 2.2.9
2. Configuración de importador / exportador de alto widgets

Todas las versiones del importador / exportador de configuración de widget tienen una vulnerabilidad XSS autenticada. Elimine el complemento. Está cerrado en wordpress.org esperando la revisión.
3. Asistencia para la Biblioteca de Medios Críticos
Las versiones del Asistente de la Biblioteca de Medios por debajo de 2.82 tienen una vulnerabilidad a la ejecución del código de distancia autenticado.

La vulnerabilidad se repara y debe actualizarse a la versión 2.82.
4. Medio de abuelo
2.8.52 Las versiones de Gtranslate tienen una scripts cruzada de vulnerabilidad reflectante.

La vulnerabilidad se repara y debe actualizarse a la versión 2.8.52
5. Coge las migas de pan promedio
Todas las versiones atrapan pan de pan tienen vulnerabilidad XSS reflejada no autorizada.

Retire el complemento. Está cerrado en wordpress.org esperando la revisión.
6. WP GDPR Core High
Todas las versiones centrales de WP GDPR tienen vulnerabilidades múltiples inalcanzables.

Retire el complemento. Está cerrado en wordpress.org esperando la revisión.
7. Mappess Maps para WordPress crítico
Mappress Maps para versiones de WordPress por debajo de 2.53.9 tienen una ejecución de código remoto y mapas autenticados que conducen a vulnerabilidades almacenadas por scripts entre sitios.

La vulnerabilidad se repara y debe actualizarse a la versión 2.2.9.
8. Encuesta de bajo YOP
Las versiones de la encuesta de YOP por debajo de 6.1.5 tienen una vulnerabilidad XSS autenticada.

La vulnerabilidad se repara y debe actualizarse a la versión 6.1.5.
9. Duplicar la página y publicar
Las versiones duplicadas de la página y por debajo de 2.5.7 tienen inyecciones SQL debido a la vulnerabilidad de fragmentos duplicados.

La vulnerabilidad se repara y debe actualizarse a la versión 2.5.7.
10. Clon de la página de publicación de WP High
Todas las versiones de WP Post Page Clone tienen inyecciones SQL debido a la vulnerabilidad de los fragmentos duplicados.

Retire el complemento. Está cerrado en wordpress.org esperando la revisión.
11. Lista de archivos crítico simple
Las versiones de archivo simples por debajo de 4.2.3 tienen una vulnerabilidad a la ejecución del código remoto.

La vulnerabilidad se repara y debe actualizarse a la versión 4.2.3.

12. Encuentre y reemplace en el tiempo real real
Las versiones de búsqueda y reemplazo en tiempo real por debajo de 4.2 tienen una vulnerabilidad de la demanda de falsificación de sitios cruzados a vulnerabilidades de almacenamiento.

La vulnerabilidad se repara y debe actualizarse a la versión 4.0.2.
Temas de WordPress 1. Onetone alto
Todas las versiones de Otons tienen una vulnerabilidad no autorizada almacenada en el sitio web de secuencias de comandos entre sitios.

Elimina el tema. Está cerrado en wordpress.org esperando la revisión.
Cómo ser proactivo sobre las vulnerabilidades del tema de WordPress y los complementos que ejecutan el software obsoleto es por qué los sitios de WordPress son pirateados. Es crucial que la seguridad de su sitio de WordPress tenga una rutina de actualización. Debe iniciar sesión en sus sitios al menos una vez por semana para realizar actualizaciones. Las actualizaciones automáticas pueden ayudar a sus actualizaciones automáticas son una excelente opción para los sitios web de WordPress que no cambian muy a menudo. La falta de atención a menudo deja estos sitios descuidados y vulnerables a los ataques. Incluso con la configuración de seguridad recomendada, ejecutar software vulnerable en su sitio puede darle al atacante un punto de entrada en su sitio.
Utilizando las versiones de gestión de Ithemes Security Pro, puede activar las actualizaciones automáticas de WordPress para asegurarse de recibir los últimos parches de seguridad. Estas configuraciones lo ayudan a proteger su sitio con opciones de actualización automática a nuevas versiones o para mejorar la seguridad del usuario cuando el software del sitio está desactualizado. Actualización de versiones actualizadas.
Actualizaciones de WordPress: instale automáticamente la última versión de WordPress.

Actualizaciones automáticas para complementos: instale automáticamente las últimas actualizaciones para complementos. Esto debe activarse, a menos que mantenga activamente este sitio diario e instale las actualizaciones manualmente poco después del lanzamiento.
Actualizaciones de temas automáticos: instale automáticamente las últimas actualizaciones de temas. Esto debe activarse a menos que su tema tenga personalizaciones de archivos.
Control granular sobre las actualizaciones de complementos y temas: puede tener complementos / temas que desea actualizar manualmente o retrasar la actualización hasta que la versión haya tenido tiempo para resultar estable. Puede elegir personalizado para la posibilidad de atribuir a cada complemento o tema, ya sea la actualización inmediata (activación), no la actualización automática (desactivación) o la actualización con un retraso de una cierta cantidad de días (retraso).
Fortalecer y alertar sobre problemas críticos
Consolidar el sitio cuando se ejecuta software anticuado, automáticamente agrega protección adicional al sitio cuando no se ha instalado una actualización disponible en un mes. El complemento de seguridad iThemes activará automáticamente una seguridad más estricta cuando no se haya instalado una actualización de un mes. En primer lugar, obligará a todos los usuarios que no tienen dos factores activos a proporcionar un código de autenticación enviado a su correo electrónico antes de iniciar sesión nuevamente. , XML-RPC Pingback y bloquean varios intentos de autenticación para cada solicitud XML-RPC (ambos hará XML-RPC más fuerte contra ataques sin tener que detenerlo por completo). Verificará si hay otras instalaciones obsoletas de WordPress en su cuenta de host. Un solo sitio de WordPress con una vulnerabilidad podría permitir a los atacantes comprometer a todos los demás sitios en la misma cuenta de host.
Enviar notificaciones de correo electrónico para problemas que requieren intervención, se envía un correo electrónico a los usuarios a nivel de administrador.
¿Gestionar más sitios de WP? Actualice los complementos, los temas y el núcleo a la vez desde el tablero de sincronización ITHEMS
Ithemes Sync es nuestro tablero central para ayudarlo a administrar más sitios de WordPress. Desde el tablero de sincronización, puede ver las actualizaciones disponibles para todos sus sitios y luego actualizar los complementos, los temas y un solo clic. También puede recibir notificaciones diarias por correo electrónico cuando hay una nueva versión de actualización disponible.
Pruebe la sincronización gratuita durante 30 días. Con WordPress, autenticación en dos factores, protección de fuerza sin procesar, aplicación de contraseña segura y más, puede agregar una capa de seguridad adicional a su sitio web. Fap más sobre la seguridad de WordPress con 10 consejos clave. Descargue su libro electrónico ahora: una guía de seguridad de WordPress
Descargar ahora

Michael Moore

Cada semana, Michael realiza un informe de vulnerabilidad de WordPress para mantener sus sitios seguros. Como gerente de producto en IThems, nos ayuda a continuar mejorando la gama IThems. Es un marco enorme y le encanta aprender sobre todas las cosas técnicas, viejas y nuevas. Puedes encontrar a Michael sentado con su esposa e hija, leyendo o escuchando música cuando no trabaja.