WordPress Vulnebility Roundup: enero de 2020, Parte 2

Se han revelado nuevas vulnerabilidades del tema de complemento y WordPress en la segunda mitad de enero, por lo que queremos informarle. En esta publicación cubrimos las vulnerabilidades recientes del complemento de WordPress, el tema y el núcleo y qué hacer si ejecuta uno de los complementos o temas vulnerables en su sitio web. WordPress Vulnerabilidad Roundup se divide en cuatro categorías diferentes:
1. WordPress Core
2. complementos de WordPress
3. Temas de WordPress
4. Se rompe por Internet
Vulnerabilidades básicas de WordPress
No se revelaron vulnerabilidades de WordPress en enero de 2020.
Las vulnerabilidades de los complementos de WordPress hasta ahora se han descubierto algunas vulnerabilidades nuevas para los complementos de WordPress. Asegúrese de seguir la acción sugerida a continuación para actualizar el complemento o desinstalarlo por completo.
1. Fragmentos de bacalao

El código Fragments Versiones 2.13.3 y abajo presentan una vulnerabilidad para falsificar las solicitudes entre sitios que pueden conducir a un ataque en el código remoto. Que debes hacer
Las vulnerabilidades han sido reparadas, por lo que debe actualizarse a la versión 2.14.0.
2. Restablecer la base de datos de WP

Las versiones de restablecimiento de la base de datos WP 3.1 y a continuación tienen dos vulnerabilidades. La primera vulnerabilidad sería que un usuario no autorizado restablezca cualquier tabla de base de datos al estado de configuración inicial de WordPress. La segunda vulnerabilidad permitiría a cualquier usuario dar privilegios administrativos a su cuenta y renunciar a otros usuarios en la tabla.
Que debes hacer
Las vulnerabilidades se han reparado, por lo que debe actualizarse a la versión 3.15.
3. Prueba encadenada

Las versiones del cuestionario encadenado 1.1.8 y abajo son vulnerables a un ataque XSS no autorizado. Lo que debo hacer es reparado, por lo que debe actualizarse a la versión 1.1.8.2.
4. Siento el país
Creemos que la versión 3.0 y las versiones posteriores son vulnerables a un ataque XSS no autorizado. Que debes hacer

WordPress.org Cerrado Sensim Ara el 17 de enero de 2020, por lo que debe eliminar el complemento y encontrar un reemplazo.
5. Formularios y seguimiento de Marketo
Los formularios de Marketo y la búsqueda de la versión 3.2.2 y el siguiente son vulnerables a un ataque de secuencia de comandos de sarga transversal que podría conducir a la falsificación de aplicaciones de sitios cruzados debido a la falta de controles e higiene CRSF. Que debes hacer

WordPress.org cerró los formularios y el seguimiento del mercado el 11 de diciembre de 2019, por lo que debe eliminar el complemento y encontrar un reemplazo.
6. Color contextual de la barra de administración
Las versiones contextuales de la barra de administración Color 0.2 y a continuación tienen una vulnerabilidad autenticada almacenada en sitios de sitios cruzados. Que debes hacer

La vulnerabilidad ha sido reparada y debe actualizarse a la versión 0.3.
7. Presentación de diapositivas 2J
2J Las versiones de presentación de diapositivas 1.3.33 y abajo han autenticado la vulnerabilidad para desactivar el complemento arbitrario que permitirá a un usuario privilegios mínimos, como un suscriptor, deshabilitar cualquier complemento instalado en el sitio. Que debes hacer

La vulnerabilidad ha sido reparada y debe actualizarse a la versión 1.3.40.
8. Chatbot con IBM Watson
Chatbot con versiones de IBM Watson 0.8.20 y abajo incluye la vulnerabilidad de XSS, que permitirá a un atacante remoto ejecutar JavaScript en el navegador de la víctima, engañando a la víctima para que se quede con el HTML en la caja de chat.

La vulnerabilidad ha sido reparada, por lo que debe actualizarse a la versión 0.8.21.
9. Accesibilidad a WP
Las versiones de Accesibilidad 1.6.10 de WP y a continuación tienen una vulnerabilidad menor almacenada en el sitio web de secuencias de comandos de sitios cruzados en las “Styings de disciplina cuando se enfoca” en el complemento de accesibilidad WP. Que debes hacer
La vulnerabilidad ha sido reparada, por lo que debe actualizarse a la versión 1.7.0.

10. Accesionalmente
Las versiones de Accessly por debajo de 3.3.2 tienen una vulnerabilidad arbitraria de ejecución de PHP. La vulnerabilidad permite que un atacante realice el código PHP utilizando el widget de autenticación. La vulnerabilidad fue explotada en la naturaleza.
Que debes hacer

La vulnerabilidad ha sido reparada, por lo que debe actualizarse a la versión 3.3.2.
11. Miembro final
Las versiones de miembro de Ultimate 2.1.2 y a continuación tienen una referencia directa insegura de objetos que permitirían a un atacante cambiar los perfiles de otros usuarios y las fotos de portada que debe hacer.
La vulnerabilidad ha sido reparada, por lo que debe actualizarse a la versión 2.1.3.

12. WP DS FAQ Plus
Las versiones WP DS FAQ Plus 1.4.1 y abajo son vulnerables a un ataque almacenado por escrituras de sitios cruzados. Que debes hacer
La vulnerabilidad ha sido reparada, por lo que debe actualizarse a la versión 1.4.2.

13. Wpcentral
Las versiones WPCentral 1.4.7 y a continuación tienen una vulnerabilidad para escapar de los privilegios que permitirán a cualquier usuario conectado aumentar sus privilegios. Si permite que alguien se registre y cree un usuario en su sitio, un atacante podría crear un nuevo usuario con un usuario de suscriptor y luego otorgar privilegios de su administrador. Lo que debo hacer es reparado, por lo que debe actualizar a la versión 1.4.8.
14. WPS oculta la autenticación

WPS oculta las versiones de inicio de sesión 1.5.4.2 y abajo tenían una vulnerabilidad que permitiría a un atacante evitar los datos de conexión secreta. Si en 2020 usa una URL de inicio de sesión personalizada como estrategia de seguridad, consulte las 5 reglas simples para la seguridad de la conexión de WordPress.
Que debes hacer
La vulnerabilidad ha sido reparada, por lo que debe actualizarse a la versión 1.5.5.

15. Formulario de contacto limpio y simple
Las versiones de Formulario de contacto 4.7.0 limpias y simples tienen una vulnerabilidad almacenada en el sitio falsificado que permitiría a un usuario con capacidades de administración enviar el código malicioso a través de las opciones de complemento. El código malicioso se ejecutará en cada página con el formulario de contacto. Que debes hacer
WordPress.org cerró el formulario de contacto limpio y simple el 23 de enero de 2020, por lo que debe eliminar el complemento y encontrar un reemplazo.
16. La forma de los campos calculada

Las versiones 1.0.353 de la forma de campo calculada tienen una vulnerabilidad autenticada almacenada en varios sitios. La vulnerabilidad permitirá a un usuario autenticado con acceso a editar o crear contenido desde el formulario de campo calculado para inyectar JavaScript en campos de entrada como “nombre de campo” y “nombre de formulario”. Lo que debo hacer es repararse, por lo que debe actualizar a la versión 1.0.354.
17. Flamenco
Las versiones Flamingo 2.1 y abajo tienen una vulnerabilidad de la inyección de CSV. La vulnerabilidad permitirá a los usuarios con privilegios de bajo nivel inyectar el comando OS que se incluirá en el archivo CSV exportado, lo que podría conducir a un código intencional.


Que debes hacer
La vulnerabilidad ha sido reparada, por lo que debe actualizarse a la versión 2.1.1.
Temas de WordPress

1. Carspot
Las versiones Carspot 2.2.0 y las versiones posteriores tienen múltiples vulnerabilidades, incluidas 2 vulnerabilidades separadas de autenticación persistente en sitios y una vulnerabilidad insegura de referencia directa. Que debes hacer
La vulnerabilidad ha sido reparada, por lo que debe actualizarse a la versión 2.2.1.
2. Houzez – Bienes inmuebles
Las versiones de Houzez-Real Estate 1.8.3.1 y abajo tienen una vulnerabilidad no autorizada en el sitio web de secuencias de comandos entre sitios. Que debes hacer

La vulnerabilidad ha sido reparada, por lo que debe actualizarse a la versión 1.8.4.
Cómo ser proactivo sobre el tema de WordPress y las vulnerabilidades de los complementos
Ejecutar un software obsoleto es por qué los sitios de WordPress son pirateados. Es crucial que la seguridad de su sitio de WordPress tenga una rutina de actualización. Debe iniciar sesión en sus sitios al menos una vez por semana para realizar actualizaciones. ¿Cómo puede ayudar a sus actualizaciones automáticas automáticas es una excelente opción para los sitios web de WordPress que no cambian muy a menudo? La falta de atención a menudo deja estos sitios descuidados y vulnerables a los ataques. Incluso con la configuración de seguridad recomendada, ejecutando un software vulnerable en su sitio. Puede darle al atacante un punto de entrada en su sitio. Usando la gestión de versiones de Security Pro Ithemes, puede activar las actualizaciones automáticas de WordPress para garantizar que reciba los últimos parches de seguridad. Estas configuraciones lo ayudan a proteger su sitio con opciones de actualización automática a nuevas versiones o para mejorar la seguridad del usuario cuando el software del sitio está desactualizado. Actualización de versiones actualizadas.

Actualizaciones de WordPress: instale automáticamente la última versión de WordPress.
Actualizaciones automáticas para complementos: instale automáticamente las últimas actualizaciones para complementos. Esto debe activarse, a menos que mantenga activamente este sitio diario e instale las actualizaciones manualmente poco después del lanzamiento.
Actualizaciones de temas automáticos: instale automáticamente las últimas actualizaciones de temas. Esto debe activarse a menos que su tema tenga personalizaciones de archivos.
Control granular sobre las actualizaciones de complementos y temas: puede tener complementos / temas que desea actualizar manualmente o retrasar la actualización hasta que la versión haya tenido tiempo para resultar estable. Puede elegir personalizado para la posibilidad de atribuir a cada complemento o tema, ya sea la actualización inmediata (activación), no la actualización automática (desactivación) o la actualización con un retraso de una cierta cantidad de días (retraso). Consolidación y alerta sobre problemas críticos

Consolidar el sitio cuando se ejecuta software anticuado, automáticamente agrega protección adicional al sitio cuando no se ha instalado una actualización disponible en un mes. El complemento de seguridad iThemes activará automáticamente una seguridad más estricta cuando no se haya instalado una actualización de un mes. En primer lugar, obligará a todos los usuarios que no tienen dos factores activos a proporcionar un código de autenticación enviado a su correo electrónico antes de iniciar sesión nuevamente. , XML-RPC Pingback y bloquean varios intentos de autenticación para cada solicitud XML-RPC (ambos hará que XML-RPC sea más contra los ataques sin tener que detenerlo por completo).
Busque otros sitios antiguos de WordPress: esto verificará si hay otras instalaciones obsoletas de WordPress en su cuenta de host. Un solo sitio de WordPress con una vulnerabilidad podría permitir a los atacantes comprometer a todos los demás sitios en la misma cuenta de host.
Enviar notificaciones de correo electrónico para problemas que requieren intervención, se envía un correo electrónico a los usuarios a nivel de administrador.
¿Gestionar más sitios de WP? Actualice los complementos, los temas y el núcleo de WP en múltiples sitios simultáneamente desde la sincronización IThemes Sync es nuestro tablero central para ayudarlo a administrar más sitios de WordPress. Desde el tablero de sincronización, puede ver las actualizaciones disponibles para todos sus sitios y luego actualizar los complementos, los temas y un solo clic. También puede recibir notificaciones diarias por correo electrónico cuando hay una nueva versión de actualización disponible.
Pruebe la sincronización gratuita durante 30 días que tiene varias violaciones en Internet, incluimos violaciones en la web, porque es esencial estar al tanto de las vulnerabilidades fuera del ecosistema de WordPress. Las operaciones al software del servidor pueden exponer datos confidenciales. Las violaciones de la base de datos pueden exponer las credenciales de los usuarios en su sitio, abriendo la puerta de los atacantes para acceder a su sitio. 1. Aumento
Zoom remedió un defecto que podría abrir las reuniones de los piratas informáticos. A cada reunión de zoom se le asigna una ID de reunión generada por el azar de 9-10 dígitos. Los investigadores de seguridad de Check Point han logrado corregir algunas ID de reuniones de manera correcta y con éxito. Check Point reveló que la vulnerabilidad del zoom remedió el defecto, reemplazando la generación aleatoria de la identificación de la reunión con una poderosa ID criptográfica, agregó varios dígitos a los números de identificación de la reunión y provocó que los requisitos de contraseña se modifiquen la opción predeterminada programada para un complemento de seguridad de WordPress puede ayudarlo a Proteja su sitio web Ithemes Security Pro, nuestro complemento de seguridad de WordPress, ofrece más de 30 formas de proteger y proteger su sitio web contra las vulnerabilidades comunes de seguridad de WordPress. Con WordPress, autenticación en dos factores, protección de fuerza sin procesar, aplicación de contraseña segura y más, puede agregar una capa de seguridad adicional a su sitio web. Fap más sobre la seguridad de WordPress con 10 consejos clave. Descargue su libro electrónico ahora: una guía de seguridad de WordPress
Descargar ahora
Obtener seguridad
Michael Moore
Cada semana, Michael realiza un informe de vulnerabilidad de WordPress para mantener sus sitios seguros. Como gerente de producto en IThems, nos ayuda a continuar mejorando la gama IThems. Es un marco enorme y le encanta aprender sobre todas las cosas técnicas, viejas y nuevas. Puedes encontrar a Michael sentado con su esposa e hija, leyendo o escuchando música cuando no trabaja.